Aujourd’hui, c’est le Patch Tuesday de mai 2024 de Microsoft, qui comprend des mises à jour de sécurité pour 61 failles et trois zero-days activement exploités ou divulgués publiquement.
Ce Patch Tuesday ne corrige qu’une seule vulnérabilité critique, une vulnérabilité d’exécution de code à distance Microsoft SharePoint Server.
Le nombre de bugs dans chaque catégorie de vulnérabilité est indiqué ci-dessous :
-
17 vulnérabilités d’élévation de privilèges
-
2 Vulnérabilités de contournement des fonctionnalités de sécurité
-
27 vulnérabilités d’exécution de code à distance
-
7 Vulnérabilités en matière de divulgation d’informations
-
3 Vulnérabilités par déni de service
-
4 Vulnérabilités d’usurpation d’identité
Le nombre total de 61 failles n’inclut pas 2 failles Microsoft Edge corrigées le 2 mai et quatre corrigées le 10 mai.
Trois zero-day fixes
Le Patch Tuesday de ce mois-ci corrige deux vulnérabilités zero-day activement exploitées et une divulguée publiquement.
Microsoft classe un zero-day comme une faille divulguée publiquement ou activement exploitée sans correctif officiel disponible.
Les deux vulnérabilités zero-day activement exploitées dans les mises à jour d’aujourd’hui sont :
CVE-2024-30040 - Vulnérabilité de contournement de la fonctionnalité de sécurité de la plateforme MSHTML Windows
Microsoft a corrigé un contournement activement exploité des atténuations OLE, qui ont été ajoutées à Microsoft 365 et Microsoft Office pour protéger les utilisateurs des contrôles COM/OLE vulnérables.
« Un attaquant devrait convaincre l’utilisateur de charger un fichier malveillant sur un système vulnérable, généralement par le biais d’un e-mail ou d’un message de messagerie instantanée, puis convaincre l’utilisateur de manipuler le fichier spécialement conçu, mais pas nécessairement de cliquer ou d’ouvrir le fichier malveillant », explique Microsoft.
« Un attaquant non authentifié qui exploiterait avec succès cette vulnérabilité pourrait obtenir l’exécution de code en convainquant un utilisateur d’ouvrir un document malveillant, auquel cas l’attaquant pourrait exécuter du code arbitraire dans le contexte de l’utilisateur », a poursuivi Microsoft.
On ne sait pas comment la faille a été exploitée lors d’attaques ni qui l’a découverte.
CVE-2024-30051 - Vulnérabilité d’élévation de privilèges dans la bibliothèque principale Windows DWM
Microsoft a corrigé une faille de la bibliothèque principale Windows DWM activement exploitée qui fournit des privilèges SYSTEM.
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges SYSTEM », explique Microsoft.
Kaspersky affirme que les récentes attaques de phishing du logiciel malveillant Qakbot ont utilisé des documents malveillants pour exploiter la faille et obtenir des privilèges SYSTEM sur les appareils Windows.
Microsoft a déclaré que la faille avait été divulguée par les chercheurs suivants : Mert Degirmenci et Boris Larin de Kaspersky, Quan Jin de DBAPPSecurity WeBin Lab, Guoxian Zhong de DBAPPSecurity WeBin Lab, et Vlad Stolyarov et Benoit Sevens de Google Threat Analysis Group Bryce Abdo et Adam Brunner de Google Mandiant.
Microsoft déclare que la CVE-2024-30051 a également été divulguée publiquement, mais on ne sait pas où cela a été fait. En outre, Microsoft indique qu’une faille de déni de service dans Microsoft Visual Studio, suivie sous le nom de CVE-2024-30046, a également été divulguée publiquement.
Recommandations COMPUTERLAND
L'importance des mises à jour des correctifs de sécurité de Microsoft
Les mises à jour des correctifs de sécurité de Microsoft sont essentielles pour maintenir la sécurité et l'intégrité de vos systèmes informatiques. Ces correctifs sont conçus pour résoudre les vulnérabilités qui pourraient être exploitées par des cybercriminels pour accéder à vos systèmes et données.
En ne mettant pas à jour ces correctifs, vous exposez vos systèmes à des risques inutiles tels que le vol d'identité, la perte de données ou même le sabotage de votre infrastructure informatique. De plus, la non-conformité aux normes de sécurité peut entraîner des amendes et des sanctions pour votre organisation.
Comment Computerland peut aider
Computerland, en tant que fournisseur de services informatiques de premier plan, peut vous aider à gérer efficacement les mises à jour des correctifs de sécurité de Microsoft. Nous offrons une gamme de services, y compris :
- 1. Gestion des correctifs: Nous surveillons et appliquons les derniers correctifs de sécurité à vos systèmes pour vous assurer qu'ils sont toujours à jour.
- 2. Audit de sécurité: Nous effectuons des audits réguliers pour identifier les vulnérabilités potentielles et nous assurer que tous les correctifs nécessaires sont en place.
- 3. Support technique : Notre équipe d'experts est disponible pour vous aider avec toute question ou problème lié à la sécurité de vos systèmes.
En faisant appel à
Computerland, vous pouvez vous concentrer sur votre cœur de métier tout en ayant la tranquillité d'esprit que vos systèmes informatiques sont sécurisés et à jour.
Microsoft Original Alerte
1 May, 2024
DropBox affirme que des pirates informatiques ont volé les données des clients et les secrets
La société de stockage en nuage DropBox affirme que des pirates informatiques ont pénétré dans les systèmes de production de sa plate-forme de signature électronique DropBox Sign et ont eu accès à des jetons d’authentification, des clés MFA, des mots de passe hachés et des informations sur les clients.
DropBox Sign (anciennement HelloSign) est une plateforme de signature électronique permettant aux clients d’envoyer des documents en ligne pour recevoir des signatures juridiquement contraignantes.
La société affirme avoir détecté un accès non autorisé aux systèmes de production de DropBox Sign le 24 avril et lancé une enquête.
Recommandations COMPUTERLAND
Que devez-vous faire en cas de piratage de Dropbox Sign ?
Dropbox a déjà réinitialisé les mots de passe de tous les comptes Dropbox Sign. Vous devrez donc changer le mot de passe dans tous les cas. Nous vous recommandons d’utiliser un tout nouveau mot de passe plutôt qu’une version légèrement modifiée de l’ancien. Idéalement, vous devriez générer une longue combinaison aléatoire de caractères à l’aide du Gestionnaire de mot de passe et l’y stocker.
Étant donné que des jetons d’authentification à deux facteurs ont également été volés, vous devez également les réinitialiser. Si vous avez utilisé le SMS, la réinitialisation s’est produite automatiquement. Et si vous avez utilisé une application, vous devrez le faire vous-même. Pour ce faire, procédez à nouveau à l’enregistrement de votre application d’authentification auprès du service Dropbox Sign.
La liste des données volées par les pirates comprend également des clés d’authentification pour l’API Dropbox Sign. Donc, si votre entreprise a utilisé cet outil via l’API, vous devez générer une nouvelle clé.
Enfin, si vous avez utilisé le même mot de passe dans d’autres services, vous devez le changer le plus rapidement possible. Surtout s’il était accompagné du même nom d’utilisateur, de la même adresse e-mail ou du même numéro de téléphone que ceux que vous avez spécifiés lors de votre inscription à Dropbox Sign. Encore une fois, pour cela, il est pratique d’utiliser le gestionnaire de mots de passe.
Dropbox
1 May, 2024
Alerte Sécurité! HPE Aruba Networking corrige quatre failles critiques RCE dans ArubaOS.
HPE Aruba Networking a publié son avis de sécurité d’avril 2024 détaillant les vulnérabilités critiques d’exécution de code à distance (RCE) affectant plusieurs versions d’ArubaOS, son système d’exploitation réseau propriétaire.
L’avis énumère dix vulnérabilités, dont quatre sont des problèmes de débordement de la mémoire tampon non authentifiés de gravité critique (
CVSS v3.1 : 9.8) qui peuvent entraîner l’exécution de code à distance (RCE).
Les quatre failles critiques d’exécution de code à distance sont les suivantes :
- CVE-2024-26305 – Faille dans le démon Utility d’ArubaOS permettant à un attaquant non authentifié d’exécuter du code arbitraire à distance en envoyant des paquets spécialement conçus au port UDP PAPI (protocole de gestion des points d’accès d’Aruba) (8211).
- CVE-2024-26304 – Faille dans le service de gestion L2/L3, permettant l’exécution de code à distance non authentifié via des paquets conçus envoyés au port UDP PAPI.
- CVE-2024-33511 – Vulnérabilité dans le service de signalement automatique qui peut être exploitée en envoyant des paquets spécialement conçus au port du protocole PAPI pour permettre à des attaquants non authentifiés d’exécuter du code arbitraire à distance.
- CVE-2024-33512 – Faille permettant à des attaquants distants non authentifiés d’exécuter du code en exploitant un débordement de mémoire tampon dans le service de base de données d’authentification des utilisateurs locaux accessible via le protocole PAPI.
Les produits concernés par les failles récemment révélées sont les suivants :
- HPE Aruba Networking Mobility Conductor, contrôleurs de mobilité, passerelles WLAN et passerelles SD-WAN gérées par Aruba Central.
- ArubaOS 10.5.1.0 et versions antérieures, 10.4.1.0 et versions antérieures, 8.11.2.1 et versions antérieures, et 8.10.0.10 et versions antérieures.
Toutes les versions d’ArubaOS et de SD-WAN qui ont atteint la fin de vie.
Cela inclut ArubaOS version antérieure à 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4 et SD-WAN 2.3.0 à 8.7.0.0 et 2.2 à 8.6.0.4.
Recommandations COMPUTERLAND
Mettez à jour vos systèmes dès que possible!
--> Lisez ce lien pour savoir si votre ArubaOS, le système d’exploitation d'HPE est impacté:
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-004.txt
Note:
À l’heure actuelle, HPE Aruba Networking n’a connaissance d’aucun cas d’exploitation active ni de l’existence d’exploits de preuve de concept (PoC) pour les vulnérabilités mentionnées.
Néanmoins, il est recommandé aux administrateurs système d’appliquer les mises à jour de sécurité disponibles dès que possible.
#CyberSecurite #HPE #ArubaNetworking #RCE”
HPE Aruba Alerte
24 April, 2024
Les pirates d’ArcaneDoor exploitent les zero-days de Cisco
Cisco a averti qu’un groupe de pirates informatiques soutenu par l’État exploite deux vulnérabilités zero-day dans les pare-feu Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) depuis novembre 2023 pour pénétrer dans les réseaux gouvernementaux du monde entier.
Les pirates, identifiés comme
UAT4356 par Cisco Talos et
STORM-1849 par Microsoft, ont commencé à infiltrer des appareils périphériques vulnérables au début du mois de novembre 2023 dans le cadre d’une campagne de cyberespionnage suivie sous le nom d’ArcaneDoor.
Même si Cisco n’a pas encore identifié le vecteur d’attaque initial, il a découvert et corrigé deux failles de sécurité –
CVE-2024-20353 (déni de service) et CVE-2024-20359 (exécution de code local persistant) – que les acteurs de la menace ont utilisées comme zero-day dans ces attaques.
Plus tôt ce mois-ci, Cisco a mis en garde contre des attaques par force brute à grande échelle ciblant les services VPN et SSH sur les appareils
Cisco, CheckPoint, Fortinet, SonicWall et Ubiquiti dans le monde entier. --> https://www.bleepingcomputer.com/news/security/cisco-warns-of-large-scale-brute-force-attacks-against-vpn-services/
Recommandations COMPUTERLAND
Cisco exhorte ses clients à effectuer une mise à niveau
La société a publié des mises à jour de sécurité mercredi pour corriger les deux zero-day et recommande désormais à tous les clients de mettre à niveau leurs appareils vers un logiciel fixe pour bloquer toute attaque entrante.
Les administrateurs Cisco sont également « fortement encouragés » à surveiller les journaux système pour détecter tout signe de redémarrage non planifié, de modifications de configuration non autorisées ou d’activité suspecte sur les informations d’identification.
« Quel que soit votre fournisseur d’équipement réseau, il est maintenant temps de vous assurer que les appareils sont correctement corrigés, qu’ils se connectent à un emplacement central et sécurisé et qu’ils sont configurés pour disposer d’une authentification multifacteur (MFA) forte », a ajouté la société.
Cisco fournit également des instructions sur la vérification de l’intégrité des périphériques ASA ou FTD dans cet avis. https://www.cyber.gc.ca/en/news-events/cyber-activity-impacting-cisco-asa-vpns
En mars, il a également partagé des conseils sur l’atténuation des attaques par pulvérisation de mots de passe ciblant les services VPN d’accès à distance (RAVPN) configurés sur les périphériques Cisco Secure Firewall.
Cisco
23 April, 2024
Microsoft publie des correctifs Exchange pour les problèmes de mise à jour de sécurité
Microsoft a publié des mises à jour de correctifs pour résoudre plusieurs problèmes connus affectant les serveurs Exchange
après l’installation des mises à jour de sécurité de mars 2024.
Si vous avez installé l’unité d’unité de mise à jour de mars 2024 et que vous n’avez rencontré aucun problème connu résolu dans la mise à jour facultative et que vous n’avez pas besoin des nouvelles fonctionnalités, vous pouvez attendre la prochaine unité d’unité d’utilisateur Exchange Server, qui inclura également ces correctifs.
Recommandations COMPUTERLAND
« L’unité d’unité d’urgence d’avril 2024 inclut les mêmes mises à jour de sécurité que l’unité d’unité d’unité de mars 2024, tout en résolvant les problèmes connus de l’unité d’unité d’unité de mars 2024 », a expliqué l’équipe d’échange.
« Si vous n’avez pas installé l’unité d’unité d’urgence de mars 2024, vous pouvez installer directement l’unité
d’unité d’avril 2024 et ignorer l’unité d’unité d’urgence de mars 2024. »
Avec les correctifs de ce mois-ci, Redmond a résolu un problème connu qui empêchait les domaines de téléchargement de fonctionner comme prévu dans certains Microsoft Outlook. Cela entraînait l’affichage des images en ligne sur Outlook sur le Web (OWA) et le téléchargement des pièces jointes à l’aide du client OWA.
Microsoft Original Alerte
22 April, 2024
Microsoft : les pirates d’APT28 exploitent une faille de Windows signalée par la NSA
Microsoft avertit que le groupe de menace russe APT28 exploite une vulnérabilité de
Windows Print Spouleur pour élever les privilèges et voler des informations d’identification et des données à l’aide d’un outil de piratage jusqu’alors inconnu appelé GooseEgg.
APT28 utilise cet outil pour exploiter la vulnérabilité
CVE-2022-38028 « depuis au moins juin 2020 et peut-être dès avril 2019 ».
Redmond a corrigé la vulnérabilité signalée par la National Security Agency des États-Unis lors du Patch Tuesday
d’octobre 2022 de Microsoft, mais ne l’a pas encore étiquetée comme activement exploitée dans son avis.
Recommandations COMPUTERLAND
L'importance des mises à jour des correctifs de sécurité de Microsoft
Les mises à jour des correctifs de sécurité de Microsoft sont essentielles pour maintenir la sécurité et l'intégrité de vos systèmes informatiques. Ces correctifs sont conçus pour résoudre les vulnérabilités qui pourraient être exploitées par des cybercriminels pour accéder à vos systèmes et données.
En ne mettant pas à jour ces correctifs, vous exposez vos systèmes à des risques inutiles tels que le vol d'identité, la perte de données ou même le sabotage de votre infrastructure informatique. De plus, la non-conformité aux normes de sécurité peut entraîner des amendes et des sanctions pour votre organisation.
Comment Computerland peut aider
Computerland, en tant que fournisseur de services informatiques de premier plan, peut vous aider à gérer efficacement les mises à jour des correctifs de sécurité de Microsoft. Nous offrons une gamme de services, y compris :
- 1. Gestion des correctifs: Nous surveillons et appliquons les derniers correctifs de sécurité à vos systèmes pour vous assurer qu'ils sont toujours à jour.
- 2. Audit de sécurité: Nous effectuons des audits réguliers pour identifier les vulnérabilités potentielles et nous assurer que tous les correctifs nécessaires sont en place.
- 3. Support technique : Notre équipe d'experts est disponible pour vous aider avec toute question ou problème lié à la sécurité de vos systèmes.
En faisant appel à
Computerland, vous pouvez vous concentrer sur votre cœur de métier tout en ayant la tranquillité d'esprit que vos systèmes informatiques sont sécurisés et à jour.
Microsoft Original Alerte
9 April, 2024
Microsoft Patch Tuesday d’avril 2024 corrige 150 failles de sécurité, 67 RCE
Le Patch Tuesday d’avril 2024 de Microsoft, qui comprend des mises à jour de sécurité pour 150 failles et soixante-sept bogues d’exécution de code à distance.
Seules trois vulnérabilités critiques ont été corrigées dans le cadre du Patch Tuesday d’aujourd’hui, mais il existe plus de soixante-sept bogues d’exécution de code à distance. Plus de la moitié des failles RCE se trouvent dans les pilotes Microsoft SQL, partageant probablement une faille commune.
Le nombre de bogues dans chaque catégorie de vulnérabilité est indiqué ci-dessous :
- 31 Vulnérabilités liées à l’élévation de privilèges
- 29 Vulnérabilités de contournement des fonctionnalités de sécurité
- 67 vulnérabilités d’exécution de code à distance
- 13 Vulnérabilités en matière de divulgation d’informations
- 7 Vulnérabilités de déni de service
- 3 Vulnérabilités d’usurpation d’identité
Le nombre total de 150 failles n’inclut pas les 5 failles Microsoft Edge corrigées le 4 avril et les 2 failles Mariner. Mariner est une distribution Linux open-source développée par Microsoft pour ses services Microsoft Azure.
Pour en savoir plus sur les mises à jour non liées à la sécurité publiées aujourd’hui, vous pouvez consulter nos articles dédiés à la nouvelle mise à jour cumulative de Windows 10 KB5036892 et à la mise à jour KB5036892 de Windows 10.
Le Patch Tuesday de ce mois-ci a corrigé deux vulnérabilités zero-day activement exploitées dans des attaques de logiciels malveillants.
Microsoft n’a d’abord pas marqué les zero-days comme activement exploités, mais Sophos et Trend Micro ont partagé des informations sur la façon dont ils ont été activement exploités dans les attaques.
CVE-2024-26234 - Vulnérabilité d’usurpation de pilote proxy
Sophos a indiqué que cette CVE est attribuée à un pilote malveillant signé avec un certificat Microsoft Hardware Publisher valide.
Le pilote a été utilisé pour déployer une porte dérobée précédemment divulguée par Stairwell.
Le chef d’équipe, Christopher Budd, a déclaré à BleepingComputer que les pilotes précédents avaient signalé à Microsoft qu’ils n’avaient pas reçu de CVE, mais qu’un avis avait été émis.
On ne sait pas pourquoi une CVE a été publiée aujourd’hui pour ce pilote, à moins que ce ne soit parce qu’un certificat Microsoft Hardware Publisher valide l’a signé.
CVE-2024-29988 - Vulnérabilité de contournement de la fonctionnalité de sécurité d’invite SmartScreen
CVE-2024-29988 est un contournement de correctif pour la faille CVE-2024-21412 (également un contournement de correctif pour CVE-2023-36025), qui permet aux pièces jointes de contourner les invites Microsoft Defender Smartscreen lors de l’ouverture du fichier.
Cela a été utilisé par le groupe de piratage Water Hydra, motivé par l’argent, pour cibler les forums de trading forex et les canaux Telegram de trading d’actions dans des attaques de spearphishing qui ont déployé le cheval de Troie d’accès à distance (RAT) DarkMe.
Recommandations COMPUTERLAND
L'importance des mises à jour des correctifs de sécurité de Microsoft
Les mises à jour des correctifs de sécurité de Microsoft sont essentielles pour maintenir la sécurité et l'intégrité de vos systèmes informatiques. Ces correctifs sont conçus pour résoudre les vulnérabilités qui pourraient être exploitées par des cybercriminels pour accéder à vos systèmes et données.
En ne mettant pas à jour ces correctifs, vous exposez vos systèmes à des risques inutiles tels que le vol d'identité, la perte de données ou même le sabotage de votre infrastructure informatique. De plus, la non-conformité aux normes de sécurité peut entraîner des amendes et des sanctions pour votre organisation.
Comment Computerland peut aider
Computerland, en tant que fournisseur de services informatiques de premier plan, peut vous aider à gérer efficacement les mises à jour des correctifs de sécurité de Microsoft. Nous offrons une gamme de services, y compris :
- 1. Gestion des correctifs: Nous surveillons et appliquons les derniers correctifs de sécurité à vos systèmes pour vous assurer qu'ils sont toujours à jour.
- 2. Audit de sécurité: Nous effectuons des audits réguliers pour identifier les vulnérabilités potentielles et nous assurer que tous les correctifs nécessaires sont en place.
- 3. Support technique : Notre équipe d'experts est disponible pour vous aider avec toute question ou problème lié à la sécurité de vos systèmes.
En faisant appel à
Computerland, vous pouvez vous concentrer sur votre cœur de métier tout en ayant la tranquillité d'esprit que vos systèmes informatiques sont sécurisés et à jour.
Microsoft Original Alerte
12 February, 2024
Alerte de la communauté : Campagne malveillante en cours ayant un impact sur les environnements cloud Azure
Aperçu de la Campagne
- Détection en Novembre 2023 : Proofpoint a identifié une campagne intégrant du phishing de credentials et la prise de contrôle de comptes cloud (ATO). Les acteurs de la menace ciblent les utilisateurs avec des leurres de phishing personnalisés via des documents partagés, redirigeant vers des pages de phishing malveillantes.
- Cibles Variées : Les attaques visent un large éventail de postes dans différentes organisations, affectant des centaines d'utilisateurs à l'échelle mondiale, y compris des directeurs de vente, des gestionnaires de comptes, des gestionnaires financiers, et des cadres supérieurs.
Techniques et Comportements
- Indicateurs de Compromission (IOCs) : Utilisation d'un agent utilisateur Linux spécifique par les attaquants pour accéder à des applications Microsoft365, manipulation de l'authentification multi-facteurs (MFA), exfiltration de données, phishing interne et externe, fraude financière, et création de règles de boîte de réception pour l'obfuscation.
Risques Post-Compromission
- Manipulation de MFA : Les attaquants enregistrent leurs propres méthodes MFA pour maintenir un accès persistant.
- Exfiltration de Données : Accès et téléchargement de fichiers sensibles.
- Phishing et Fraude Financière : Utilisation de l'accès aux boîtes de réception pour mouvement latéral et ciblage de comptes spécifiques, ainsi que pour commettre des fraudes financières.
Infrastructure Opérationnelle
- Utilisation de Proxies : Les attaquants emploient des services proxy pour masquer leur localisation réelle et contourner les politiques de géo-fencing.
- Sources Potentielles : Des indices suggèrent une possible implication d'acteurs basés en Russie et au Nigeria.
Recommandations COMPUTERLAND
Recommandations
-
Surveillance et Mitigation : Surveiller l'agent utilisateur spécifique et les domaines sources, changer immédiatement les credentials des utilisateurs compromis, et identifier les tentatives de prise de contrôle de compte (ATO).
-
Détection et Réponse : Identifier les vecteurs de menace initiaux et employer des politiques d'auto-réparation pour réduire le temps de présence des attaquants.
Proofpoint Alerte
12 February, 2024
New Fortinet RCE bug is actively exploited, CISA confirms
La Cybersecurity and Infrastructure Security Agency (CISA) a confirmé aujourd'hui que des attaquants exploitent activement une faille critique d'exécution de code à distance (RCE) corrigée par Fortinet jeudi. La vulnérabilité (CVE-2024-21762) est due à une faiblesse d'écriture hors limites dans le système d'exploitation FortiOS, qui peut permettre à des attaquants non authentifiés d'exécuter du code arbitraire à distance en utilisant des requêtes HTTP malveillantes.
Fortiguard
Les administrateurs qui ne peuvent pas déployer immédiatement les mises à jour de sécurité pour corriger les appareils vulnérables peuvent supprimer le vecteur d'attaque en désactivant le VPN SSL sur l'appareil.
L'annonce de la CISA intervient un jour après que Fortinet a publié un avis de sécurité indiquant que la faille était "potentiellement exploitée dans le monde réel".
Bien que l'entreprise n'ait pas encore partagé plus de détails concernant le potentiel CVE-2022-48618, la CISA a ajouté la vulnérabilité à son Catalogue des Vulnérabilités Exploitées Connues, avertissant que de telles failles sont "des vecteurs d'attaque fréquents pour les acteurs malveillants de cyber" et posent "des risques significatifs pour l'entreprise fédérale".
L'agence de cybersécurité a également ordonné aux agences fédérales américaines de sécuriser les appareils FortiOS contre ce bogue de sécurité dans les sept jours, soit d'ici le 16 février, conformément à la directive opérationnelle contraignante (BOD 22-01) émise en novembre 2021.
Fortinet a également corrigé deux autres vulnérabilités critiques RCE (CVE-2024-23108 et CVE-2024-23109) dans sa solution FortiSIEM cette semaine. Initialement, l'entreprise a nié que les CVE étaient réels et a affirmé qu'ils étaient des doublons d'une faille similaire (CVE-2023-34992) corrigée en octobre. Cependant, le processus de divulgation de Fortinet a été très confus, l'entreprise ayant d'abord nié la réalité des CVE et affirmé qu'ils avaient été générés par erreur en tant que doublons d'une faille similaire (CVE-2023-34992) corrigée en octobre.
Les vulnérabilités ont été découvertes et signalées par l'expert en vulnérabilités de Horizon3, Zach Hanley, l'entreprise admettant finalement que les deux CVE étaient des variantes du bogue CVE-2023-34992 original.
Recommandations COMPUTERLAND
Il est fortement conseillé de sécuriser tous les appareils Fortinet dès que possible, car les failles de Fortinet (souvent en tant que zero-days) sont couramment ciblées pour pénétrer dans les réseaux d'entreprises lors de campagnes d'espionnage cybernétique et d'attaques de ransomware.
Par exemple, Fortinet a indiqué mercredi que le groupe de hackers chinois Volt Typhoon avait utilisé deux failles SSL VPN FortiOS (CVE-2022-42475 et CVE-2023-27997) dans des attaques où ils ont déployé le malware personnalisé Coathanger.
Coathanger est un cheval de Troie d'accès à distance (RAT) qui cible les appareils de sécurité réseau Fortigate et a été récemment utilisé pour infiltrer un réseau militaire du Ministère de la Défense néerlandais.
Fortinet Originale Alerte
7 February, 2024
QNAP publie deux douzaines de correctifs
QNAP Systems, basé à Taïwan, a publié des correctifs pour 24 vulnérabilités affectant divers produits, dont deux failles de haute gravité permettant l’exécution de commandes. Le duo (CVE-2023-45025 et CVE-2023-39297) a un impact sur les versions QTS, QuTS hero et QuTScloud.
Une faille permet RCE sans authentification, tandis qu’une autre nécessite une authentification.
De plus, QNAP a résolu les vulnérabilités CVE-2023-47567 et CVE-2023-47568, qui nécessitaient toutes deux une authentification de l’administrateur pour l’exploitation et affectaient les produits susmentionnés.
Recommandations COMPUTERLAND
Recommandation
Pour sécuriser votre appareil, nous vous recommandons de mettre régulièrement à jour votre système vers la dernière version pour bénéficier des correctifs de vulnérabilité.
Vous pouvez vérifier l’état du support produit pour voir les dernières mises à jour disponibles pour votre modèle de NAS.
Mise à jour de QTS ou QuTS hero
-
Connectez-vous à QTS ou QuTS hero en tant qu’administrateur.
-
Accédez au Panneau de configuration > Mise à jour du micrologiciel du système >.
-
Sous Live Update (Mise à jour en direct), cliquez sur Rechercher la mise à jour.
Le système télécharge et installe la dernière mise à jour disponible.
Note : Vous pouvez également télécharger la mise à jour sur le site Web de QNAP. Atteindre Soutien >Centre de téléchargement , puis effectuez une mise à jour manuelle pour votre appareil spécifique.
Mettre à jour vos versions de QNAP !!!
Security Advisories | QNAP
QNAP Originale Alerte
3 February, 2024
AnyDesk affirme que des pirates informatiques ont pénétré dans ses serveurs de production et réinitialisé les mots de passe
Les violations de sécurité impliquant des outils d'accès à distance comme AnyDesk sont devenues une préoccupation majeure dans le paysage de la cybersécurité. Ces outils, conçus pour faciliter l'accès et le contrôle à distance des systèmes informatiques, peuvent devenir des vecteurs d'attaque si des cybercriminels parviennent à les exploiter. Voici un résumé général des problématiques et des recommandations de sécurité liées à l'utilisation de logiciels d'accès à distance, inspirées des incidents et des meilleures pratiques de l'industrie.
AnyDesk Breach: Navigating the Storm of Remote Access Security
Problématiques de sécurité avec AnyDesk et outils similaires
-
Accès non autorisé : Les attaquants peuvent utiliser des techniques de phishing ou d'ingénierie sociale pour obtenir les identifiants d'accès à distance, leur permettant de contrôler un système à l'insu de l'utilisateur.
-
Faiblesses des mots de passe : Des mots de passe faibles ou réutilisés peuvent être facilement devinés ou obtenus via des attaques par force brute.
-
Manque de sensibilisation des utilisateurs : Les utilisateurs peuvent ne pas être conscients des risques de sécurité associés à l'octroi d'un accès à distance à leur système.
-
Failles de sécurité dans le logiciel : Comme tout logiciel, les outils d'accès à distance peuvent contenir des vulnérabilités que les développeurs doivent régulièrement corriger.
Recommandations COMPUTERLAND
Recommandations pour sécuriser l'accès à distance
-
Utiliser l'authentification à deux facteurs (2FA) : L'activation de la 2FA ajoute une couche de sécurité supplémentaire, rendant plus difficile pour un attaquant d'accéder au système même s'il obtient le mot de passe.
-
Mettre en place des politiques de mots de passe forts : Encourager l'utilisation de mots de passe longs, uniques et complexes.
-
Former les utilisateurs : Sensibiliser les utilisateurs aux risques de sécurité et aux bonnes pratiques, comme la reconnaissance des tentatives de phishing.
-
Mettre à jour régulièrement le logiciel : Appliquer les mises à jour de sécurité dès qu'elles sont disponibles pour corriger les vulnérabilités connues.
-
Surveiller les activités d'accès à distance : Utiliser des outils de surveillance pour détecter et alerter sur les comportements anormaux ou non autorisés.
-
Restreindre l'accès : Limiter les droits d'accès à distance aux seuls utilisateurs qui en ont strictement besoin, et uniquement aux ressources nécessaires.
Conclusion
La sécurité de l'accès à distance est cruciale pour protéger les ressources informatiques contre les accès non autorisés et les cyberattaques. En suivant les meilleures pratiques et en restant vigilant face aux nouvelles menaces, les organisations et les individus peuvent réduire considérablement les risques associés à l'utilisation d'outils comme AnyDesk.
Anydesk Alerte
27 October, 2023
L’exploit Citrix Bleed permet aux pirates de détourner des comptes NetScaler
Ce lundi, Citrix a émis un
avertissement aux administrateurs des appliances NetScaler ADC et Gateway, les exhortant à corriger la faille immédiatement, car le taux d’exploitation a commencé à augmenter.
Aujourd’hui, les chercheurs d’Assetnote ont partagé plus de détails sur la méthode d’exploitation de CVE-2023-4966 et
ont publié un exploit PoC sur GitHub pour démontrer leurs résultats et aider ceux qui souhaitent tester l’exposition.
La faille CVE-2023-4966 Citrix Bleed est une vulnérabilité liée à la mémoire tampon non authentifiée affectant Citrix NetScaler ADC et NetScaler Gateway, des périphériques réseaux utilisés pour l’équilibrage de charge, la mise en œuvre de pare-feu, la gestion du trafic, le VPN et l’authentification des utilisateurs.
Maintenant qu’un exploit CVE-2023-4966 est accessible au public, on s’attend à ce que les acteurs malveillants ciblent davantage les appareils Citrix Netscaler pour obtenir un accès initial aux réseaux d’entreprise.
Le service de surveillance des menaces Shadowserver signale des pics de tentatives d’exploitation suite à la publication du PoC d’Assetnote, de sorte que l’activité malveillante a déjà commencé.
Recommandations COMPUTERLAND
Étant donné que ces types de vulnérabilités sont couramment utilisés pour les attaques par ransomware et par vol de données, il est fortement conseillé aux administrateurs système de déployer immédiatement des correctifs pour résoudre la faille.
BleepingComputer Alerte Origniale
27 October, 2023
Les mises à jour de VMware vCenter Server corrigent des vulnérabilités d’écriture et de divulgation d’informations hors limites (CVE-2023-34048, CVE-2023-34056)
Le bulletin de sécurité VMSA-2023-0023 de VMware a été publié le 25 octobre 2023, concernant des vulnérabilités dans VMware vCenter Server et VMware Cloud Foundation.
Il mentionne une vulnérabilité d'écriture hors limites (CVE-2023-34048) et une divulgation partielle d'informations (CVE-2023-34056). La première a un score
CVSSv3 de 9.8 et peut permettre une exécution de code à distance, tandis que la seconde a un score de 4.3 et peut permettre l'accès à des données non autorisées.
La vulnérabilité (CVE-2023-34048) a été signalée par Grigory Dorodnov de Trend Micro’s Zero Day Initiative et est due à une faiblesse d’écriture hors limites dans l’implémentation du protocole DCE/RPC de vCenter.
Description
vCenter Server contient une vulnérabilité d’écriture hors limites dans l’implémentation du protocole DCERPC. VMware a évalué la gravité de ce problème comme étant dans la plage de gravité critique avec un score de base CVSSv3 maximal de 9,8.
Recommandations COMPUTERLAND
Les risques associés incluent l'exécution de code à distance et l'accès non autorisé à des données par des acteurs malveillants.
Pour se protéger, il est recommandé d'appliquer les mises à jour fournies par VMware pour les produits affectés, comme indiqué dans l'avis de sécurité. Aucun contournement en produit n'a été trouvé viable, donc la mise à jour est essentielle pour la mitigation des risques
Des correctifs sont disponibles pour résoudre ces problèmes
1.
VMWare Alerte Originale
10 October, 2023
Vulnérabilité critique dans Citrix Gateway et Citrix ADC
Nous vous contactons aujourd'hui avec une information cruciale concernant la sécurité de vos systèmes NetScaler ADC et NetScaler Gateway de Citrix. De récentes vulnérabilités ont été découvertes et documentées sous les identifiants CVE-2023-4966 et CVE-2023-4967, présentant des niveaux de risque élevés avec des scores de 9.4 et 8.2 respectivement sur l'échelle CVSS (Common Vulnerability Scoring System).
Résumé des Vulnérabilités
- CVE-2023-4966 : Cette vulnérabilité a reçu un score de 9.4, indiquant un niveau de menace critique. Les attaquants pourraient exploiter cette faille pour compromettre la sécurité de votre système sans nécessiter d'authentification.
- CVE-2023-4967 : Avec un score de 8.2, cette vulnérabilité est également grave et pourrait permettre à des acteurs malveillants de perturber l'intégrité et la disponibilité de vos services.
Impact Potentiel
L'exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant non authentifié d'exécuter du code arbitraire, compromettant ainsi la confidentialité, l'intégrité et la disponibilité de vos systèmes et données.
Recommandations COMPUTERLAND
Mesures Recommandées
Nous vous exhortons à prendre les mesures suivantes immédiatement :
- Mise à Jour : Mettez à jour vos systèmes vers les versions sécurisées fournies par Citrix.
- Audit de Sécurité : Vérifiez vos journaux et systèmes pour toute activité suspecte ou non autorisée.
Support et Assistance
Nous comprenons que la mise à jour et la sécurisation de vos systèmes peuvent être complexes et nous sommes ici pour vous aider. Si vous avez besoin d'une assistance ou de plus amples informations n'hésitez pas à nous contacter dès que possible via l’adresse
service.delivery.management.team@computerland.be
Ressources Supplémentaires
Pour plus d'informations sur ces vulnérabilités et les mesures de mitigation, veuillez consulter le bulletin de sécurité officiel de Citrix :
Lien vers le Bulletin.
Engagement envers la Sécurité
Votre sécurité est notre priorité absolue et nous nous engageons à vous fournir les informations et le support nécessaires pour naviguer à travers ces défis de sécurité. Nous vous remercions pour votre vigilance et votre coopération continues.
Nous vous remercions de votre attention immédiate à ce sujet critique.
Cordialement
L'équipe sécurité (Joël Di Prima)
Citrix Originale Alerte
9 September, 2023
Vulnérabilité Zero-Day de Cisco VPN
Résumé
Cisco a émis un avertissement concernant une vulnérabilité zero-day (CVE-2023-20269) dans ses produits Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD).
Cette vulnérabilité est activement exploitée par des groupes de ransomware pour obtenir un accès initial aux réseaux d'entreprise.
Détails de la Vulnérabilité
-
Impact: La vulnérabilité affecte la fonction VPN de Cisco ASA et Cisco FTD.
-
Exploitation: Elle permet aux attaquants non autorisés de mener des attaques par force brute contre des comptes existants.
-
Conséquences: Une fois l'accès obtenu, les attaquants peuvent établir une session VPN SSL sans client, ce qui peut avoir diverses répercussions selon la configuration du réseau de la victime.
Acteurs de Menace
Akira Ransomware Gang:
-
Activités: Le gang de ransomware Akira a été identifié comme exploitant activement des vulnérabilités dans les dispositifs VPN de Cisco pour obtenir un accès aux réseaux d'entreprise.
-
Méthodes: Ils ont été signalés pour avoir compromis les réseaux d'entreprise principalement via ces dispositifs VPN, suggérant une possible exploitation d'une vulnérabilité inconnue.
Source: BleepingComputer
LockBit Ransomware Gang:
-
Historique: LockBit est apparu pour la première fois en 2020 et fonctionne selon un modèle de ransomware-as-a-service, où les affiliés utilisent le ransomware déjà développé pour exécuter des attaques. LockBit a été l'un des groupes de ransomware les plus prolifiques.
-
Activités Récents: Une nouvelle version de leur ransomware, LockBit 3.0 (également connu sous le nom de LockBit Black), a été lancée en juin 2022. Cependant, le code source de cette version a été volé et partagé en ligne en septembre de la même année.
-
Conséquences du Vol de Code: D'autres gangs de ransomware utilisent maintenant ce code volé pour créer leurs propres versions personnalisées du ransomware. Certains de ces variants ne font référence à LockBit d'aucune manière dans leurs notes de rançon, suggérant qu'ils sont l'œuvre d'acteurs autres que le groupe LockBit original.
Source: SC Magazine et SiliconANGLE
Ces deux gangs ont des méthodes et des antécédents différents, mais ils ont tous deux étés impliqués dans des activités malveillantes liées au ransomware et à l'exploitation de vulnérabilités.
Recommandations COMPUTERLAND
Mesures de Contournement Suggérées
-
Utilisation de politiques d'accès dynamiques (DAP) pour arrêter les tunnels VPN.
-
Mise en œuvre de restrictions dans la base de données utilisateur LOCAL.
-
Utilisation de l'authentification multi-facteurs (MFA) pour atténuer les risques.
Pour aider les clients à déterminer leur exposition aux vulnérabilités des logiciels Cisco ASA, FMC, FTD et FXOS, Cisco fournit le vérificateur de logiciels Cisco. Cet outil identifie tous les avis de sécurité Cisco qui ont un impact sur une version logicielle spécifique et la version la plus ancienne qui corrige les vulnérabilités décrites dans chaque avis (« Première correction »). Le cas échéant, l’outil renvoie également la version la plus ancienne qui corrige toutes les vulnérabilités décrites dans tous les avis identifiés par le vérificateur de logiciels (« Première correction combinée »).
Pour utiliser l’outil, accédez à la page Cisco Software Checker et suivez les instructions. Vous pouvez également utiliser le formulaire suivant pour rechercher des vulnérabilités qui affectent une version logicielle spécifique. Pour utiliser le formulaire, procédez comme suit :
- Choisissez les avis que l’outil recherchera : tous les avis, uniquement les avis ayant une cote d’impact critique ou élevé (SIR), ou uniquement cet avis.
- Choisissez le logiciel approprié.
- Choisissez la plate-forme appropriée.
-
- Entrez un numéro de version, par exemple, 2.9.1.158 pour les appliances de sécurité Cisco Firepower série 4100 ou 9.16.2.11 pour le logiciel Cisco ASA.
- Cliquez sur Vérifier.
Et suivre les recommandations mentionné dans l'article de Cisco
Cisco
22 August, 2023
Vulnérabilité critique récemment identifiée par Microsoft sous la référence CVE-2023-36874
Cher client,
Nous souhaitons vous informer d'une vulnérabilité critique récemment identifiée par Microsoft sous la référence CVE-2023-36874. Cette vulnérabilité touche le composant Windows Error Reporting (WER) et pose un risque important pour les systèmes qui n'ont pas été patchés. Vu son exploitation accrue par des acteurs malveillants, il est important de s'assurer que vos postes de travail sont à jour.
Originalement, en raison d'une défaillance dans le service Rapport d'erreurs Windows (WER), un attaquant local et authentifié, disposant des autorisations nécessaires pour créer des dossiers et enregistrer des données de performance sur le système, pourrait potentiellement augmenter ses privilèges. Maintenant vu l'exploitation public possible à distance rend les systèmes plus vulnérables.
Voici les détails essentiels de cette vulnérabilité :
Une preuve de concept (PoC) est disponible : Un PoC rédigé en langage C++ a été rendu public sur GitHub. Ce PoC illustre l'exploitation de la vulnérabilité. Toutefois, il est crucial de comprendre que, bien qu'il ait été créé à des fins éducatives, des individus malveillants pourraient l'utiliser à des fins préjudiciables.
- Source : GitHub - d0rb/CVE-2023-36874: CVE-2023-36874 PoC
- Description : Le PoC exploite la vulnérabilité en interagissant avec le composant WER, en chargeant un rapport spécifique et en soumettant ce rapport pour déclencher l'exploitation de la vulnérabilité.
Voir le tableau de bord pour une répartition plus détaillée : https://patchtuesdaydashboard.com/
Ce tableau représente le scoring de vulnérabilité et ses risques pour les "Mises à jour de sécurité de Juillet et d'Août 2023"
Recommandations COMPUTERLAND
Nous vous recommandons vivement d'adopter les mises à jour publiées en juillet afin de remédier à cette vulnérabilité sur l'ensemble de vos postes de travail et ainsi que les mises à jour d'Aout.
(Le patch concerné se trouve dans la source Microsoft mentionnée ci-dessous).
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises"
Depuis la publication, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques.
Pour mettre à jour suivez ces instructions : Ouvrez les Paramètres > Mise à jour et sécurité > Windows Update. Cliquez sur le bouton Rechercher les mises à jour.
N.B: Si vous n'avez pas de solution pour le patch management, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et nos SDM (Service delivery manager) sont à votre service. N'hésitez pas à nous contacter à l’adresse service.delivery.management.team@computerland.be.
Microsoft Original Alerte
9 August, 2023
Patch Tuesday d'août 2023 de Microsoft
Résumé :
-
Microsoft a publié des mises à jour de sécurité pour 87 vulnérabilités, dont deux exploitées activement et vingt-trois vulnérabilités d'exécution de code à distance (RCE).
-
Sur les 23 bugs RCE corrigés, seulement six ont été classés comme "Critiques" par Microsoft.
Répartition des vulnérabilités :
-
Elevation of Privilege : 18 vulnérabilités
-
Security Feature Bypass : 3 vulnérabilités
-
Remote Code Execution (RCE) : 23 vulnérabilités
-
Information Disclosure : 10 vulnérabilités
-
Denial of Service (DoS) : 8 vulnérabilités
-
Spoofing : 12 vulnérabilités
Il est à noter que ces chiffres ne comprennent pas les douze vulnérabilités de Microsoft Edge (Chromium) corrigées plus tôt ce mois-ci.
Deux vulnérabilités activement exploitées :
-
ADV230003 - Microsoft Office Defense in Depth Update (divulguée publiquement) :
-
Microsoft a publié une mise à jour "Defense in Depth" pour Office afin de corriger un contournement de patch de la vulnérabilité RCE précédemment atténuée et activement exploitée, CVE-2023-36884.
-
Cette faille permettait aux acteurs de menaces de créer des documents Microsoft Office spécialement conçus pour contourner la fonction de sécurité "Mark of the Web (MoTW)", permettant d'ouvrir des fichiers sans afficher d'avertissement de sécurité et d'exécuter du code à distance.
-
La vulnérabilité a été activement exploitée par le groupe de hackers RomCom, précédemment connu pour déployer le ransomware Industrial Spy. Cette opération de ransomware a depuis été rebaptisée "Underground".
-
La faille a été découverte par Paul Rascagneres et Tom Lancaster de Volexity.
-
CVE-2023-38180 - .NET et Visual Studio Denial of Service Vulnerability :
-
Microsoft a corrigé une vulnérabilité activement exploitée pouvant provoquer une attaque DoS sur les applications .NET et Visual Studio.
-
Microsoft n'a pas partagé de détails supplémentaires sur la manière dont cette faille a été utilisée dans les attaques et n'a pas divulgué qui a découvert la vulnérabilité.
Recommandations COMPUTERLAND
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises"
Depuis la publication, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques.
Voir le tableau de bord pour une répartition plus détaillée :
https://patchtuesdaydashboard.com/
Ce tableau représente le scoring de vulnérabilité et ses risques pour les "Mises à jour de sécurité d'Août 2023"
Autre source importante:
Microsoft August 2023 Patch Tuesday - SANS Internet Storm Center
Microsoft Original Alerte
3 August, 2023
Midnight Blizzard mène une ingénierie sociale ciblée sur Microsoft Teams
Chers clients,
Nous souhaitons vous informer d'une menace critique connue sous le nom de "Midnight Blizzard" qui cible spécifiquement les utilisateurs de Microsoft Teams. Cette attaque est menée par le Service de renseignement étranger de la Fédération de Russie (SVR) et vise principalement les gouvernements, les entités diplomatiques, les ONG et les fournisseurs de services informatiques.
Résumé de l'Attaque:
- Méthode: L'attaque commence par des messages de phishing envoyés via Microsoft Teams, se faisant passer pour des équipes de support technique ou de sécurité.
- Objectif: Les attaquants tentent d'obtenir l'approbation des utilisateurs pour les invites d'authentification multifactorielle (MFA), leur permettant d'accéder aux comptes Microsoft 365.
- Impact: Une fois l'accès obtenu, les attaquants peuvent voler des informations, créer, modifier et supprimer des publicités, et même accéder à des informations financières.
Recommandations COMPUTERLAND
Mesures de Protection:
- Éduquer les utilisateurs sur les attaques de phishing et de vol d'informations d'identification.
- Déployer des méthodes d'authentification résistantes au phishing.
- Spécifier les organisations Microsoft 365 de confiance pour définir les domaines externes autorisés ou bloqués comme les domaines malicieux mentioner dans le rapport de Microsoft dans votre External access - Microsoft Teams admin center .
- identityVerification.onmicrosoft.com
- msftprotection.onmicrosoft.com
- accountsVerification.onmicrosoft.com
- azuresecuritycenter.onmicrosoft.com
- teamsprotection.onmicrosoft.com
- Mettre en œuvre le contrôle d'accès conditionnel dans Microsoft Defender pour les applications Cloud.
Nous vous encourageons à prendre ces mesures de protection au sérieux et à rester vigilants face à cette menace. Notre équipe sécurité est à votre disposition pour toute assistance ou information supplémentaire.
Microsoft Original Alerte
19 July, 2023
Nouvelle faille critique Citrix ADC et Gateway exploitée en tant que zero-day
Citrix alerte aujourd’hui ses clients d’une vulnérabilité de gravité critique (CVE-2023-3519) dans NetScaler ADC et NetScaler Gateway qui a déjà des exploits dans la nature, et « recommande vivement » d’installer des versions mises à jour sans délai.
Le problème de sécurité peut être le même que celui annoncé plus tôt ce mois-ci sur un forum de pirates informatiques comme une vulnérabilité zero-day.
Patch obligatoire
Anciennement Citrix ADC et Citrix Gateway, les deux produits NetScaler ont reçu de nouvelles versions aujourd’hui pour atténuer un ensemble de trois vulnérabilités.
Le plus grave d’entre eux a reçu une note de 9,8 sur 10 et il est suivi comme CVE-2023-3519. Un attaquant peut l’exploiter pour exécuter du code à distance sans authentification.
Pour que les pirates puissent tirer parti du problème de sécurité dans les attaques, l’appliance vulnérable doit être configurée comme une passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou comme un serveur virtuel d’authentification (le serveur dit AAA).
Recommandations COMPUTERLAND
Dans un bulletin de sécurité publié aujourd’hui, Citrix indique que « des exploits de CVE-2023-3519 sur des appliances non atténuées ont été observés » et conseille vivement à ses clients de passer à une version mise à jour qui résout le problème :
-
NetScaler ADC et NetScaler Gateway versions 13.1-49.13 et ultérieures
-
NetScaler ADC et NetScaler Gateway versions 13.0-91.13 et ultérieures de la version 13.0
-
NetScaler ADC 13.1-FIPS 13.1-37.159 et versions ultérieures de 13.1-FIPS
-
NetScaler ADC 12.1-FIPS 12.1-65.36 et versions ultérieures de 12.1-FIPS
-
NetScaler ADC 12.1-NDcPP 12.1-65.36 et versions ultérieures de 12.1-NDcPP
La société note que NetScaler ADC et NetScaler Gateway version 12.1 ont atteint le stade de fin de vie et que les clients doivent passer à une variante plus récente du produit.
Dans le contexte actuel, il est crucial pour les organisations utilisant les appliances NetScaler ADC et Gateway de Citrix de mettre à jour leurs systèmes le plus rapidement possible afin de minimiser les risques d'exploitation de ces failles.
Citrix Originale Alerte
12 July, 2023
Microsoft Patch Tuesday July 2023
Le correctif Microsoft d’aujourd’hui corrige 132 vulnérabilités. Neuf des vulnérabilités sont classées comme critiques, et 6 d’entre elles sont répertoriées comme exploitées auparavant dans la nature.
En particulier, CVE-2023-36884 inclut une vulnérabilité d’exécution de code à distance via des documents Microsoft Word et a été liée à l’acteur de menace Storm-0978. Microsoft Threat Intelligence a une entrée de blog qui traite de cette situation. Prenez note des mesures d’atténuation recommandées, car les mises à jour seront probablement publiées hors cycle pour celui-ci.
D’autres vulnérabilités exploitées incluent :
CVE-2023-35311 est un contournement de la fonctionnalité de sécurité de Microsoft Outlook qui était exploité dans la nature et qui fonctionnait dans le volet de visualisation et contourne l’avertissement de sécurité.
CVE-2023-32046 est une vulnérabilité d’élévation de privilèges activement exploitée dans Windows MSHTML qui pourrait être exploitée en ouvrant un fichier spécialement conçu dans un courrier électronique ou un site Web malveillant.
CVE-2023-32049 est une vulnérabilité de contournement de fonctionnalité de sécurité avec Windows SmartScreen qui était exploitée pour empêcher l’invite Ouvrir un fichier - Avertissement de sécurité lors du téléchargement/ouverture de fichiers à partir d’Internet.
CVE-2023-36874 est une faille d’escalade de privilèges activement exploitée qui pourrait permettre aux acteurs de la menace d’obtenir des privilèges d’administrateur local. Les attaquants devraient disposer d’un accès local à la machine ciblée et l’utilisateur devrait pouvoir créer des traces de dossiers et de performances pour exploiter pleinement cette vulnérabilité.
Microsoft a également publié un avis à fort impact (ADV230001) selon lequel les attaquants abusaient des pilotes certifiés par le programme Windows Hardware Developer Program (MWHDP) de Microsoft en tant qu’activité de post-exploitation. Les comptes de développeurs impliqués ont été suspectés, et Microsoft a pris des mesures pour ne plus faire confiance aux pilotes qui n’étaient pas correctement certifiés.
Recommandations COMPUTERLAND
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises"
Depuis la publication, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques.
Voir le tableau de bord pour une répartition plus détaillée :
https://patchtuesdaydashboard.com/
Ce tableau représente le scoring de vulnérabilité et ses risques pour les "Mises à jour de sécurité de Juillet 2023"
Microsoft Original Alerte
11 July, 2023
Fortinet met en garde contre une faille RCE critique dans les appareils FortiOS, FortiProxy
Fortinet a révélé une faille de gravité critique affectant FortiOS et FortiProxy, permettant à un attaquant distant d’exécuter du code arbitrairement sur des appareils vulnérables.
La faille, découverte par la société de cybersécurité Watchtower, est suivie comme CVE-2023-33308 et a reçu une note CVSS v3 de 9,8 sur 10,0, la qualifiant de « critique ».
« Une vulnérabilité de débordement basée sur la pile [CWE-124] dans FortiOS et FortiProxy peut permettre à un attaquant distant d’exécuter du code ou une commande arbitraire via des paquets conçus atteignant des politiques de proxy ou des stratégies de pare-feu avec le mode proxy parallèlement à l’inspection approfondie des paquets SSL », prévient Fortinet dans un nouvel avis.
Recommandations COMPUTERLAND
En raison de la nature critique de la vulnérabilité,
nous vous recommandons fortement de mettre à niveau votre firmware FortiOS vers la dernière version.
La faille impacte les versions suivantes de FortiOS :
-
FortiOS version 7.2.0 à 7.2.3
-
FortiOS version 7.0.0 à 7.0.10
-
FortiProxy versions 7.2.0 à 7.2.2
-
FortiProxy versions 7.0.0 à 7.0.9
Fortinet a précisé que le problème avait été résolu dans une version précédente sans avis correspondant, de sorte qu’il n’avait pas d’impact sur la dernière branche de version, FortiOS 7.4.
Des correctifs pour CVE-2023-33308 ont été fournis dans les versions suivantes :
-
FortiOS version 7.2.4 ou supérieure
-
FortiOS version 7.0.11 ou supérieure
-
FortiProxy version 7.2.3 ou supérieure
-
FortiProxy version 7.0.10 ou supérieure
L’avis Fortinet a précisé que les produits FortiOS des branches de version 6.0, 6.2, 6.4, 2.x et 1.x ne sont pas affectés par CVE-2023-33308.
Fortinet Originale Alerte
14 June, 2023
Microsoft Patch Tuesday Juin 2023
Aujourd’hui, c’est le mardi des correctifs de juin 2023 de Microsoft, avec des mises à jour de sécurité pour 78 failles, dont 38 vulnérabilités d’exécution de code à distance.
Alors que trente-huit bogues RCE ont été corrigés, Microsoft n’a répertorié que six failles comme « critiques », notamment les attaques par déni de service, l’exécution de code à distance et l’élévation des privilèges.
Le nombre de bogues dans chaque catégorie de vulnérabilité est répertorié ci-dessous :
-
17 Vulnérabilités d’élévation de privilèges
-
3 Vulnérabilités de contournement de la fonctionnalité de sécurité
-
32 Vulnérabilités d’exécution de code à distance
-
5 Vulnérabilités de divulgation d’informations
-
10 Vulnérabilités de déni de service
-
10 Vulnérabilités d’usurpation d’identité
-
1 Edge - Vulnérabilités Chromium
Cette liste n’inclut pas seize vulnérabilités Microsoft Edge précédemment corrigées le 2 juin 2023.
Ce Patch Tuesday ne corrige aucune vulnérabilité zero-day ou bugs activement exploités, soulageant une partie de la pression généralement ressentie par les administrateurs Windows au cours de cette journée.
Vulnérabilités Importantes
Bien qu’il n’y ait pas de vulnérabilités zero-day dans le Patch Tuesday de juin 2023, il y a quelques failles notables énumérées ci-dessous:
CVE-2023-29357 - Vulnérabilité d’élévation de privilèges dans Microsoft SharePoint Server
Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans Microsoft SharePoint qui pourrait permettre aux attaquants d’assumer les privilèges d’autres utilisateurs, y compris les administrateurs.
« Un attaquant qui a eu accès à des jetons d’authentification JWT usurpés peut les utiliser pour exécuter une attaque réseau qui contourne l’authentification et leur permet d’accéder aux privilèges d’un utilisateur authentifié », peut-on lire dans l’avis de Microsoft.
Microsoft dit que Jang (Nguyễn Tiến Giang) de StarLabs SG a découvert la vulnérabilité.
CVE-2023-32031 - Vulnérabilité d’exécution de code à distance dans Microsoft Exchange Server
Microsoft a corrigé une vulnérabilité dans Microsoft Exchange qui permet l’exécution de code authentifié à distance.
« L’attaquant responsable de cette vulnérabilité pourrait cibler les comptes du serveur dans le cadre d’une exécution de code arbitraire ou distante. En tant qu’utilisateur authentifié, l’attaquant pourrait tenter de déclencher un code malveillant dans le contexte du compte du serveur via un appel réseau », peut-on lire dans l’avis de Microsoft.
Cette vulnérabilité a été découverte par Piotr Bazydlo de Trend Micro Zero Day Initiative.
Microsoft a également publié de nombreuses mises à jour Microsoft Office pour les vulnérabilités, permettant aux acteurs de la menace d’utiliser des documents Excel et OneNote malveillants pour exécuter du code à distance.
Ces vulnérabilités sont suivies comme CVE-2023-32029 (Excel), CVE-2023-33133 (Excel), CVE-2023-33137 (Excel), CVE-2023-33140 (OneNote), CVE-2023-33131 (Outlook).a publié des mises à jour de sécurité pour Cisco AnyConnect et d’autres produits.
Recommandations COMPUTERLAND
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises"
Depuis la publication, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques.
Voir le tableau de bord pour une répartition plus détaillée :
https://patchtuesdaydashboard.com/
Ce tableau représente le scoring de vulnérabilité et ses risques pour les "Mises à jour de sécurité de Juin 2023"
Microsoft Original Alerte / BleepingComputer
12 June, 2023
Fortinet corrige une faille RCE critique
Nous avons connaissance d’une vulnérabilité critique d’exécution de code (RCE) affectant la fonctionnalité VPN SSL de Fortinet. Cette vulnérabilité peut être exploitée sans informations d’identification et affecte toutes les appliances VPN SSL, même si l’authentification multifacteur est activée.
Source: Fortinet fixes critical RCE flaw in Fortigate SSL-VPN devices, patch now (bleepingcomputer.com)
Recommandations COMPUTERLAND
En raison de la nature critique de la vulnérabilité,
nous vous recommandons fortement de mettre à niveau votre firmware FortiOS vers la dernière version.
Les dernières versions du firmware sont :
6.0.17
6.2.15
6.4.13
7.0.12
7.2.5
CERT alerte officielle
31 May, 2023
Netapp/Microsoft KB5021130 : Comment gérer les modifications du protocole Netlogon liées à CVE-2022-38023
Cher(e) client,
Je me permets de vous contacter au nom de COMPUTERLAND pour vous informer d'une situation cruciale concernant vos systèmes d'exploitation Microsoft et les modifications prévues de leurs méthodes d'authentification. Si vos systèmes NetApp ne sont pas mis à jour en conséquence, vous pourriez rencontrer des refus d'accès à vos fichiers.
Voici un aperçu du calendrier de mise à jour prévu par Microsoft :
-
Le 11 avril, une mise à jour initiale modifiera une clef de registre, supprimant ainsi la possibilité de désactiver le RPC Sealing depuis l'interface Windows. Cette mise à jour ne devrait pas avoir d'impact majeur pour le moment.
-
Le 13 juin, une mise à jour renforcée imposera à tous les clients d'utiliser le RPC Sealing. À ce stade, il sera toujours possible de forcer la non-utilisation de ce mode en modifiant une clef de registre sur tous les contrôleurs de domaine (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal 0 à 1). Cela réactivera temporairement le mode compatible.
-
Le 11 juillet, une mise à jour finale supprimera la possibilité d'activer le mode compatible via la clef de registre. Tous les clients devront alors utiliser le RPC Sealing.
À noter : si vous utilisez les fonctionnalités CIFS sur vos systèmes NetApp, il est impératif de les mettre à jour avant le 13 juin. La mise à jour recommandée dépend de votre version actuelle. Certaines mises à jour ne sont pas encore disponibles mais seront lancées au cours du mois d'avril.
Recommandations COMPUTERLAND
Si vous n'avez pas mis à jour vos systèmes NetApp d'ici le 11 juillet, il reste une option non recommandée de ne pas installer la mise à jour du 11 juillet (le numéro de KB n'est pas encore connu). Cependant, la solution préférable reste de mettre à jour vos systèmes NetApp vers l'une des versions listées ci-dessus.
En cas de réplication Snapmirror entre plusieurs systèmes NetApp, il est crucial de mettre à jour toutes les appliances, même celles qui ne sont que des destinations de réplication et ne sont pas attaquées en CIFS.
Évidemment, COMPUTERLAND est prêt à vous aider dans ce processus de mise à jour. Vous pouvez contacter votre responsable commercial ou votre responsable contrat (SDM) qui répondront à vos questions et pourront établir une proposition pour l'installation des correctifs désormais disponibles.
Il est important de noter que ces actions préventives urgentes ne sont pas couvertes par votre contrat actuel et seront facturées selon le tarif en vigueur.
Enfin, sachez que COMPUTERLAND pourrait avoir à communiquer à nouveau sur ce genre de situation si des circonstances similaires se présentaient à l'avenir.
Pour toute information supplémentaire, n'hésitez pas à nous contacter à l'adresse suivante : security@computerland.be.
Nous vous remercions pour votre compréhension et restons à votre entière disposition pour vous accompagner dans cette démarche.
Bien à vous,
COMPUTERLAND
Microsoft Original Alerte
10 May, 2023
Microsoft Patch Tuesday Mai 2023
Ce mois-ci, nous avons reçu des correctifs pour 49 vulnérabilités. Parmi ceux-ci, 6 sont critiques et 2 sont déjà exploités, selon Microsoft.
Le vecteur d’attaque est local, le CVSS est 7,8 et la gravité est Important.
-
La deuxième vulnérabilité exploitée est la vulnérabilité liée au contournement de la fonctionnalité de sécurité de démarrage sécurisé (CVE-2023-24932). Selon l’avis, pour exploiter cette vulnérabilité, un attaquant disposant d’un accès physique ou de droits d’administration sur un périphérique cible pourrait installer une stratégie de démarrage affectée.
Le CVSS pour cette vulnérabilité est 6,7 et sa gravité est Important.
-
Concernant les vulnérabilités critiques, il existe une exécution de code à distance (RCE) affectant le système de fichiers réseau Windows (CVE-2023-24941). Selon l’avis, cette vulnérabilité pourrait être exploitée sur le réseau en effectuant un appel non authentifié et spécialement conçu à un service NFS (Network File System) pour déclencher une exécution de code à distance (RCE). L’avis détaille également une procédure d’atténuation.
Le CVSS pour cette vulnérabilité est 9,8 – le plus élevé pour ce mois-ci.
-
Une deuxième vulnérabilité critique qui mérite d’être mentionnée est un RCE affectant le protocole LDAP (Lightweight Directory Access Protocol) de Windows (CVE-2023-28283). Selon l’Avis, un attaquant non authentifié qui parviendrait à exploiter cette vulnérabilité pourrait obtenir l’exécution de code via un ensemble spécialement conçu d’appels LDAP pour exécuter du code arbitraire dans le contexte du service LDAP. La complexité de l’attaque est élevée, ce qui signifie que l’exploitation réussie de cette vulnérabilité nécessite qu’un attaquant gagne une condition de course.
Le CVSS pour cette vulnérabilité est 8.1.
Voir ce tableau de bord pour une ventilation plus détaillée : Microsoft Patch Tuesday by Morphus Labs
Mises à jour de sécurité de mai 2023
Recommandations COMPUTERLAND
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises"
Depuis la publication, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques.
Voir le tableau de bord pour une répartition plus détaillée :
https://patchtuesdaydashboard.com/
Ce tableau représente le scoring de vulnérabilité et ses risques pour les "Mises à jour de sécurité de Mai 2023"
Microsoft Original Alerte
25 April, 2023
Une nouvelle panne de Microsoft 365 provoque des problèmes de connectivité Exchange Online
Microsoft étudie les problèmes Microsoft 365 en cours empêchant certains clients Exchange Online d’accéder à leurs boîtes aux lettres.
« Nous avons identifié un problème affectant la connectivité Exchange Online pour les utilisateurs en Amérique du Nord et nous enquêtons davantage », a tweeté la société plus tôt.
« Vous trouverez plus de détails dans le Centre d’administration Microsoft 365 sous EX546390. »
Selon la plate-forme de surveillance des pannes Downdetector, des milliers de Microsoft 365 signalent rencontrer des problèmes de connexion au serveur et de connexion, ainsi que lors de l’accès à leurs boîtes aux lettres Outlook.
Certains clients voient des erreurs lorsqu’ils essaient de se connecter à leurs comptes, tandis que d’autres sont pris dans une boucle de connexion où ils sont invités à entrer leurs mots de passe.
Microsoft affirme que ces problèmes de connectivité Exchange Online n’affectent que les utilisateurs nord-américains.
Alors que la société a ajouté que plus d’informations sur cette panne peuvent être dans le centre d’administration Microsoft 365 sous EX546390, l’avis indique seulement que Microsoft « examine un problème potentiel » et « l’impact potentiel sur l’utilisateur final ».
Recommandations COMPUTERLAND
Microsoft
a résolu davantage de problèmes liés à Microsoft 365 empêchant certains utilisateurs de rechercher des ressources dans plusieurs services, y compris, mais sans s’y limiter, Outlook sur le Web, Exchange Online, SharePoint Online, Microsoft Teams et les clients de bureau Outlook.
Merci de votre patience.
BleepingComputer Alerte Origniale
24 April, 2023
APC met en garde contre des failles RCE critiques non authentifiées dans le logiciel UPS
Le logiciel de surveillance en ligne Easy UPS d’APC est vulnérable à l’exécution arbitraire de code à distance non authentifiée, ce qui permet aux pirates de prendre le contrôle des appareils et, dans le pire des cas, de désactiver complètement ses fonctionnalités.
Les onduleurs (Uninterruptible Power Supply) sont essentiels pour protéger les centres de données, les batteries de serveurs et les infrastructures réseau plus petites en assurant un fonctionnement transparent en cas de fluctuations ou de pannes de courant.
APC (by Schneider Electric) est l’une des marques d’onduleurs les plus populaires. Ses produits sont largement déployés sur les marchés grand public et des entreprises, y compris les infrastructures gouvernementales, de soins de santé, industrielles, informatiques et de vente au détail.
Plus tôt ce mois-ci, le fournisseur a publié une notification de sécurité pour avertir des trois failles suivantes affectant ses produits:
-
CVE-2023-29411 : authentification manquante pour une fonction critique permettant à un attaquant de modifier les informations d’identification de l’administrateur et d’exécuter du code arbitraire sur l’interface Java RMI. (Score CVSS v3.1 : 9,8, « critique »)
-
CVE-2023-29412 : gestion incorrecte de la distinction majuscules/minuscules permettant à un attaquant d’exécuter du code arbitraire lors de la manipulation de méthodes internes via l’interface Java RMI. (Score CVSS v3.1 : 9,8, « critique »)
-
CVE-2023-29413 : authentification manquante pour une fonction critique qui pourrait conduire un attaquant non authentifié à imposer une condition de déni de service (DoS). (Score CVSS v3.1 : 7,5, « élevé »)
Recommandations COMPUTERLAND
L’action recommandée pour les utilisateurs du logiciel concerné est de mettre à niveau vers V2.5-GS-01-23036 ou version ultérieure, disponible en téléchargement ici (APC, SE).
Actuellement, la seule mesure d’atténuation pour les clients ayant un accès direct à leurs unités Easy UPS est de passer à la suite logicielle PowerChute Serial Shutdown (PCSS) sur tous les serveurs protégés par votre Easy UPS OnLine (modèles SRV, SRVL), qui assure l’arrêt série et la surveillance.
Les recommandations générales de sécurité fournies par le fournisseur incluent le placement d’appareils critiques connectés à Internet derrière des pare-feu, l’utilisation de VPN pour l’accès à distance, la mise en œuvre de contrôles d’accès physiques stricts et l’évitement de laisser les appareils en mode « Programme ».
APC by Schneider Electric
12 April, 2023
Microsoft Avril 2023
Ce mois-ci, nous avons reçu des correctifs pour 114 vulnérabilités. Parmi celles-ci, 7 sont critiques, et 1 est déjà exploitée, selon Microsoft.
La vulnérabilité exploitée est une élévation de privilège affectant le pilote Windows Common Log File System (CVE-2023-28252). L'avis indique que la gravité de la vulnérabilité est importante, que le vecteur d'attaque est local et que la complexité de l'attaque est faible. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM. Comme cette vulnérabilité est exploitée, il est recommandé d'appliquer le correctif dès que possible. Le CVSS pour cette vulnérabilité est 7.8.
Parmi les vulnérabilités critiques, il y a une exécution de code à distance (RCE) affectant Microsoft Message Queuing (MSMQ) (CVE-2023-21554). La technologie MSMQ permet aux applications s'exécutant à des moments différents de communiquer sur des réseaux hétérogènes et des systèmes qui peuvent être temporairement hors ligne. Pour exploiter cette vulnérabilité, un attaquant doit envoyer un paquet MSMQ malveillant spécialement conçu à un serveur MSMQ. Cela pourrait entraîner l'exécution de code à distance côté serveur. Le service MSMQ, qui est un composant Windows, doit être activé pour qu'un système soit exploitable par cette vulnérabilité. Vous pouvez vérifier si un service nommé Message Queuing est en cours d'exécution et si le port TCP 1801 écoute sur la machine. Le CVSS pour cette vulnérabilité est 9.8.
Il existe également un RCE affectant le service de serveur DHCP (CVE-2023-28231). Selon l'avis, un attaquant authentifié pourrait exploiter cette vulnérabilité en tirant parti d'un appel RPC spécialement conçu vers le service DHCP. L'exploitation réussie de cette vulnérabilité nécessite qu'un attaquant accède d'abord au réseau restreint avant de lancer une attaque. Le CVSS pour cette vulnérabilité est 8.8.
Recommandations COMPUTERLAND
Notre comité de révision de NRB &Computerland pour les correctifs pour les serveurs Windows a identifié 2 vulnérabilités critiques nécessitant une atténuation urgente.
Les vulnérabilités critiques sont :
Security Update Guide - Microsoft Security Response Center (. Le CVSS pour cette vulnérabilité est 9.8.)
Security Update Guide - Microsoft Security Response Center (. Le CVSS pour cette vulnérabilité est 9.8.)
Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises"
Depuis la publication de cet exploit logiciel, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques comme le mentionne Microsoft.
Microsoft Original Alerte
15 March, 2023
Microsoft March 2023 Patch Tuesday
Vulnérabilité d’élévation de privilèges dans Microsoft Outlook
La vulnérabilité la plus pressante ce mois-ci est celle de Microsoft Outlook. CVE-2023-23397 a déjà été exploité, il est donc important de mettre à jour dès que possible. Microsoft mentionne ce qui suit à propos du processus d’exploitation :
Des attaquants externes pourraient envoyer des e-mails spécialement conçus qui provoqueraient une connexion de la victime à un emplacement UNC externe contrôlé par les attaquants. Cela enverra le hachage Net-NTLMv2 de la victime à l’attaquant qui pourra ensuite le relayer à un autre service et s’authentifier en tant que victime.
Une autre information utile est que le volet de visualisation Outlook n’est pas un vecteur d’attaque. L’exploitation de cette vulnérabilité peut avoir lieu avant que l’e-mail ne soit affiché dans le volet de visualisation.
Enfin, il existe d’autres options d’atténuation, telles que l’ajout d’utilisateurs au groupe de sécurité Utilisateurs protégés, qui empêche l’utilisation de NTLM comme mécanisme d’authentification ou bloque TCP 445/SMB sortant de votre réseau à l’aide d’un pare-feu de périmètre, d’un pare-feu local et via vos paramètres VPN.
Vulnérabilité d’exécution de code à distance dans ICMP
CVE-2023-23415 est une autre vulnérabilité critique corrigée ce mois-ci. Avec un score de base CVSS de 9,8, il est proche d’atteindre la note la plus sévère possible. Cette vulnérabilité d’exécution de code à distance ICMP (Internet Control Message Protocol) n’a pas encore été exploitée selon Microsoft, mais elle est plus susceptible d’être exploitée à l’avenir.
Microsoft indique que pour exploiter cette vulnérabilité, un attaquant doit envoyer une erreur de protocole de bas niveau contenant un paquet IP fragmenté à l’intérieur d’un autre paquet ICMP dans son en-tête à l’ordinateur cible.
Vulnérabilité d’exécution de code à distance dans la pile de protocole HTTP
La troisième vulnérabilité critique est celle de la pile de protocole HTTP. CVE-2023-23392 a également un score CVSS de 9,8 et n’est pas encore exploité mais est plus susceptible d’être exploité à l’avenir. La « bonne » nouvelle est que seul Windows Server 2022 est vulnérable.
Pour exploiter cette vulnérabilité, un attaquant non authentifié pourrait envoyer un paquet spécialement conçu à un serveur ciblé utilisant la pile de protocole HTTP (http.sys) pour traiter des paquets.
Bien que la mise à jour soit le moyen le plus simple d’empêcher l’exploitation, vous pouvez choisir d’atténuer la vulnérabilité en désactivant HTTP/3 s’il est activé.
Recommandations COMPUTERLAND
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises"
Depuis la publication, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques.
Voir le tableau de bord pour une répartition plus détaillée :
https://patchtuesdaydashboard.com/
Ce tableau représente le scoring de vulnérabilité et ses risques pour les « Mises à jour de sécurité de Mars 2023 ».
Microsoft Original Alerte
9 March, 2023
Vulnérabilité dans Veeam Backup
Veeam a exhorté ses clients à corriger une vulnérabilité de sécurité de service de sauvegarde de haute gravité ayant un impact sur son logiciel de sauvegarde et de réplication.
La faille (suivie comme CVE-2023-27532) a été signalée à la mi-février par un chercheur en sécurité connu sous le nom de Shanigen, et elle affecte toutes les versions de Veeam Backup & Replication (VBR).
Les attaquants non authentifiés peuvent l’exploiter pour accéder aux hôtes de l’infrastructure de sauvegarde après avoir obtenu des identifiants chiffrés stockés dans la base de données de configuration VeeamVBR.
RISQUE(S)
- Atteinte à la confidentialité des données
SYSTÈMES AFFECTÉS
- Veeam Backup & Replication versions antérieures à 12 (build 12.0.0.1420 P20230223)
- Veeam Backup & Replication versions antérieures à 11a (build 11.0.1.1261 P20230227)
RÉSUMÉ
Une vulnérabilité a été découverte dans Veeam. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données.
Recommandations COMPUTERLAND
Nous vous recommandons de mettre à jour vos installations immédiatement, VEEAM a développé des correctifs pour V11a et V12 afin d’atténuer cette vulnérabilité.
Note:
- Cette vulnérabilité affecte toutes les versions de Veeam Backup & Replication.
- Si vous utilisez une version antérieure de Veeam Backup & Replication, veuillez d’abord effectuer une mise à niveau vers une version prise en charge.
- Si vous utilisez une appliance Veeam tout-en-un sans composants d’infrastructure de sauvegarde à distance, vous pouvez également bloquer les connexions externes au port TCP 9401 dans le pare-feu du serveur de sauvegarde à titre de correction temporaire jusqu’à l’installation du correctif.
- Le patch doit être installé sur le serveur Veeam Backup & Replication. Tous les nouveaux déploiements de Veeam Backup & Replication versions 12 et 11 installés à l’aide des images ISO datées de 20230223 (V12) et 20230227 (V11) ou ultérieures ne sont pas vulnérables.
VEEAM Originale Alerte
8 March, 2023
Fortinet met en garde contre une nouvelle vulnérabilité RCE critique non authentifiée
Fortinet a révélé une vulnérabilité « critique » affectant FortiOS et FortiProxy, qui permet à un attaquant non authentifié d’exécuter du code arbitraire ou d’effectuer un déni de service (DoS) sur l’interface graphique d’appareils vulnérables à l’aide de requêtes spécialement conçues.
Cette vulnérabilité de débordement de tampon est suivie comme CVE-2023-25610 et a un score CVSS v3 de 9,3, ce qui la classe critique. Ce type de faille se produit lorsqu’un programme tente de lire plus de données à partir d’une mémoire tampon que ce qui est disponible, ce qui entraîne l’accès à des emplacements de mémoire adjacents, entraînant un comportement à risque ou des pannes.
L’avis de sécurité publié hier par Fortinet indique qu’il n’a connaissance d’aucun cas d’exploitation active dans la nature pour le moment, et il affecte les produits suivants:
- FortiOS version 7.2.0 à 7.2.3
- FortiOS version 7.0.0 à 7.0.9
- FortiOS version 6.4.0 à 6.4.11
- FortiOS version 6.2.0 à 6.2.12
- FortiOS 6.0, toutes versions
- FortiProxy versions 7.2.0 à 7.2.2
- FortiProxy versions 7.0.0 à 7.0.8
- FortiProxy versions 2.0.0 à 2.0.11
- FortiProxy 1.2, toutes versions
- FortiProxy 1.1, toutes versions
Les versions de mise à niveau cibles qui corrigent la vulnérabilité CVE-2023-25610 sont les suivantes :
- FortiOS version 7.4.0 ou supérieure
- FortiOS version 7.2.4 ou supérieure
- FortiOS version 7.0.10 ou supérieure
- FortiOS version 6.4.12 ou supérieure
- FortiOS version 6.2.13 ou supérieure
- FortiProxy version 7.2.3 ou supérieure
- FortiProxy version 7.0.9 ou supérieure
- FortiProxy version 2.0.12 ou supérieure
- FortiOS-6K7K version 7.0.10 ou supérieure
- FortiOS-6K7K version 6.4.12 ou supérieure
- FortiOS-6K7K version 6.2.13 ou supérieure
Recommandations COMPUTERLAND
Il est temps de mettre à jours rapidement les Fortinet avant une catastrophe.
Pour ceux qui ne peuvent pas appliquer les mises à jour, Fortinet suggère la solution de contournement consistant à désactiver l’interface d’administration HTTP / HTTPS ou à limiter les adresses IP pouvant y accéder à distance.
Des instructions sur la façon d’appliquer les solutions de contournement, qui couvrent également les cas d’utilisation de port autre que par défaut, sont incluses dans l’avis de sécurité.
Les acteurs de la menace gardent un œil sur les failles de gravité critique affectant les produits Fortinet, en particulier ceux qui ne nécessitent aucune authentification pour être exploités, car ils fournissent une méthode pour obtenir un accès initial aux réseaux d’entreprise. Pour cette raison, il est impératif d’atténuer rapidement cette vulnérabilité.
Un exploit de preuve de concept fonctionnel pour tirer parti de la faille a été rendu public seulement quatre jours plus tard, et l’exploitation active dans la nature a commencé le 22 février 2023.
Fortinet Originale Alerte
8 March, 2023
Vulnérabilité RCE dans Microsoft Word
18 h 30 | Le 14février 2023, Microsoft a publié ses mises à jour Patch Tuesday dans lesquelles ils décrivent CVE-2023-21716. Cette vulnérabilité est une vulnérabilité de corruption de tas dans l’analyseur RTF de Microsoft Word et permet à un attaquant non authentifié d’exécuter du code ou des commandes arbitraires avec les privilèges de la victime.
La vulnérabilité peut être déclenchée par exemple par une pièce jointe dans un email. Les utilisateurs n’ont pas besoin d’ouvrir un document RTF malveillant. Le simple chargement du fichier dans le plan de prévisualisation de Microsoft Outlook, par exemple, suffit à compromettre le système.
Le 5 mars 2023, un exploit de preuve de concept a été publié. Microsoft a publié des correctifs et plusieurs solutions de contournement. Il est conseillé d’appliquer l’une ou l’autre des mesures d’atténuation.
La vulnérabilité CVE-2023-21716 a un score CVSS de 9,8. L’échelle CVSS va de 0 à 10. Un score de 9,8 ou plus est rare et implique un risque élevé d’exploitation à fort impact. La vulnérabilité CVE-2023-21716 est une vulnérabilité de corruption de tas dans l’analyseur RTF de Microsoft Word et permet à un attaquant non authentifié d’exécuter du code ou des commandes arbitraires avec les privilèges de la victime. Les utilisateurs n’ont pas besoin d’ouvrir un document RTF malveillant. Le simple chargement du fichier dans le plan de prévisualisation de Microsoft Outlook, par exemple, suffit à compromettre le système.
Microsoft a déclaré qu’il n’y avait aucune indication que la vulnérabilité soit exploitée dans la nature jusqu’à hier. Cependant, maintenant que le code d’exploitation est accessible au public, un plus grand nombre d’attaquants commence à utiliser cette vulnérabilité.
Cette vulnérabilité existe dans les produits suivants :
Recommandations COMPUTERLAND
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises"
Depuis la publication de cet exploit logiciel, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques comme le mentionne Microsoft.
Microsoft Original Alerte
1 March, 2023
Aruba Networks corrige six vulnérabilités critiques dans ArubaOS
Aruba Networks a publié un avis de sécurité pour informer ses clients de six vulnérabilités de gravité critique affectant plusieurs versions d’ArubaOS, son système d’exploitation réseau propriétaire.
Les failles affectent Aruba Mobility Conductor, Aruba Mobility Controller, les passerelles WLAN et SD-WAN gérées par Aruba.
Aruba Networks est une filiale californienne de Hewlett Packard Enterprise, spécialisée dans les réseaux informatiques et les solutions de connectivité sans fil.
Les failles critiques corrigées par Aruba cette fois-ci peuvent être séparées en deux catégories : les failles d’injection de commande et les problèmes de débordement de tampon basés sur la pile dans le protocole PAPI (Aruba Networks access point management protocol).
Toutes les failles ont été découvertes par l’analyste en sécurité Erik de Jong, qui les a signalées au fournisseur via le programme officiel de bug bounty.
Les vulnérabilités d’injection de commande sont suivies comme CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 et CVE-2023-22750, avec une note CVSS v3 de 9,8 sur 10,0.
Un attaquant distant non authentifié peut les exploiter en envoyant des paquets spécialement conçus au PAPI via le port UDP 8211, ce qui entraîne l’exécution arbitraire de code en tant qu’utilisateur privilégié sur ArubaOS.
Les bugs de débordement de tampon basés sur la pile sont suivis comme CVE-2023-22751 et CVE-2023-22752, et ont également une note CVSS v3 de 9,8.
Ces failles sont exploitables en envoyant des paquets spécialement conçus au PAPI via le port UDP 8211, permettant à des attaquants distants non authentifiés d’exécuter du code arbitraire en tant qu’utilisateurs privilégiés sur ArubaOS.
Les versions concernées sont les suivantes :
- ArubaOS 8.6.0.19 et versions antérieures
- ArubaOS 8.10.0.4 et versions antérieures
- ArubaOS 10.3.1.0 et versions antérieures
- SD-WAN 8.7.0.0-2.3.0.8 et versions antérieures
Les versions de mise à niveau cibles, selon Aruba, devraient être:
- ArubaOS 8.10.0.5 et versions ultérieures
- ArubaOS 8.11.0.0 et versions ultérieures
- ArubaOS 10.3.1.1 et versions ultérieures
- SD-WAN 8.7.0.0-2.3.0.9 et versions ultérieures
Recommandations COMPUTERLAND
Une solution de contournement pour les administrateurs système qui ne peuvent pas appliquer les mises à jour de sécurité ou qui utilisent des périphériques en fin de vie consiste à activer le mode « Sécurité PAPI améliorée » à l’aide d’une clé autre que celle par défaut.
Toutefois, l’application des mesures d’atténuation ne résout pas 15 autres vulnérabilités de gravité élevée et huit vulnérabilités de gravité moyenne répertoriées dans l’avis de sécurité d’Aruba, qui sont corrigées par les nouvelles versions.
Aruba déclare qu’elle n’a connaissance d’aucune discussion publique, code d’exploitation ou exploitation active de ces vulnérabilités à la date de publication de l’Avis, le 28 février 2022.
HPE Officiel
17 February, 2023
Fortinet publie des correctifs pour 40 failles affectant FortiWeb, FortiOS, FortiNAC et FortiProxy
Fortinet a publié des mises à jour de sécurité pour corriger 40 vulnérabilités dans sa gamme de logiciels, notamment FortiWeb, FortiOS, FortiNAC et FortiProxy, entre autres.
Deux des 40 défauts sont notés critique, 15 sont notés élevé, 22 sont classés moyens et un est noté faible en gravité.
En tête de liste se trouve un bogue grave résidant dans la solution de contrôle d’accès réseau FortiNAC (CVE-2022-39952, score CVSS : 9,8) qui pourrait entraîner l’exécution arbitraire de code.
« Un contrôle externe de la vulnérabilité de nom de fichier ou de chemin [CWE-73] dans le serveur Web FortiNAC peut permettre à un attaquant non authentifié d’effectuer une écriture arbitraire sur le système », a déclaré Fortinet dans un avis plus tôt cette semaine.
Les produits concernés par la vulnérabilité sont les suivants :
-
FortiNAC version 9.4.0
-
FortiNAC versions 9.2.0 à 9.2.5
-
FortiNAC versions 9.1.0 à 9.1.7
-
FortiNAC 8.8 toutes versions
-
FortiNAC 8.7 toutes versions
-
FortiNAC 8.6 toutes versions
-
FortiNAC 8.5 toutes versions, et
-
FortiNAC 8.3 toutes versions
Des correctifs ont été publiés dans FortiNAC versions 7.2.0, 9.1.8, 9.1.8 et 9.1.8. La société de tests d’intrusion Home a déclaré qu’elle prévoyait de publier un code de preuve de concept (PoC) pour la faille « bientôt », ce qui rend impératif que les utilisateurs agissent rapidement pour appliquer les mises à jour.
Le deuxième défaut notable est un ensemble de débordements de tampon basés sur la pile dans le démon proxy de FortiWeb (CVE-2021-42756, score CVSS : 9,3) qui pourrait permettre à un attaquant distant non authentifié d’exécuter du code arbitraire via des requêtes HTTP spécialement conçues.
CVE-2021-42756 affecte les versions ci-dessous de FortiWeb, avec des correctifs disponibles dans les versions FortiWeb 6.0.8, 6.1.3, 6.2.7, 6.3.17 et 7.0.0 -
-
FortiWeb versions 6.4 toutes versions
-
FortiWeb versions 6.3.16 et antérieures
-
FortiWeb versions 6.2.6 et antérieures
-
FortiWeb versions 6.1.2 et antérieures
-
FortiWeb versions 6.0.7 et antérieures, et
-
FortiWeb versions 5.x toutes les versions
Les deux failles ont été découvertes en interne et signalées par son équipe de sécurité des produits, a déclaré Fortinet. Fait intéressant, CVE-2021-42756 semble également avoir été identifié en 2021 mais n’a pas été divulgué publiquement jusqu’à présent.
Recommandations COMPUTERLAND
Il est temps de mettre à jours rapidement les Fortinet avant une catastrophe.
Source: PSIRT Advisories | FortiGuard & PSIRT Advisories | FortiGuard
Fortinet Originale Alerte
15 February, 2023
Microsoft corrige 75 CVE, dont trois vulnérabilités zero-day qui ont été exploitées dans la nature.
Trois de ces vulnérabilités, toutes jugées « importantes », sont déjà exploitées :
CVE-2023-21715 : Contournement de la fonctionnalité de sécurité Microsoft Publisher. Cette vulnérabilité permettra l’exécution de macros contournant les stratégies qui les bloquent.
CVE-2023-23376 : Vulnérabilité d’élévation de privilèges dans le pilote du fichier journal commun Windows
CVE-2023-21823 : Vulnérabilité d’exécution de code à distance dans le composant Windows Graphics. Les correctifs pour cette vulnérabilité peuvent n’être disponibles que via le Microsoft Store. Assurez-vous que ces mises à jour sont activées.
Quelques vulnérabilités supplémentaires d’intérêt :
CVE-2023-21803 : vulnérabilité d’exécution de code à distance dans Windows iSCSI Discovery Service. Ce n’est probablement pas le problème le plus courant à être corrigé ce mois-ci, mais quelque chose qui peut facilement être manqué. Cette vulnérabilité, si elle est exploitée, pourrait être utilisée pour les mouvements latéraux.
CVE-2023-21716 : Vulnérabilité d’exécution de code à distance dans Microsoft Word. Word est toujours une excellente cible car il offre une grande surface d’attaque. Aucun exploit connu pour cette vulnérabilité, mais son score CVSS de 9,8 attirera l’attention. La cote « critique » implique qu’il n’est pas nécessaire d’ouvrir le document pour déclencher la vulnérabilité.
Visual Studio : plusieurs vulnérabilités, dont deux critiques, affectent Visual Studio. Les attaques contre les développeurs ne sont souvent pas bien documentées mais semblent en augmentation.
Plus de détails sont disponible sur :
Microsoft’s February 2023 Patch Tuesday Addresses 75 CVEs (CVE-2023-23376) - Blog | Tenable®
Recommandations COMPUTERLAND
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises"
Depuis la publication, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques.
Voir le tableau de bord pour une répartition plus détaillée :
https://patchtuesdaydashboard.com/
Ce tableau représente le scoring de vulnérabilité et ses risques pour les « Mises à jour de sécurité de Février 2023 ».
Microsoft Original Alerte
4 February, 2023
ESXi sous attaques
Une notice du CERT-FR du 03 février 2023, mentionnant que plusieurs campagnes d'attaque ciblant les hyperviseurs VMware ESXi dans le but d'y déployer un ransomware.
Dans l'état actuel des investigations, ces campagnes d'attaque semblent exploiter la vulnérabilité CVE-2021-21974, pour laquelle un correctif est disponible depuis le 23 février 2021. Cette vulnérabilité affecte le service Service Location Protocol (SLP) et permet à un attaquant de réaliser une exploitation de code arbitraire à distance.
Les systèmes actuellement visés seraient des hyperviseurs ESXi en version 6.x et antérieures à 6.7.
Cependant, nous voudrions rappeler que la vulnérabilité CVE-2021-21974 affecte les systèmes suivants :
-
ESXi versions 7.x antérieures à ESXi70U1c-17325551
-
ESXi versions 6.7.x antérieures à ESXi670-202102401-SG
-
ESXi versions 6.5.x antérieures à ESXi650-202102101-SG
Bien que la découverte d’une vulnérabilité n’ait désormais plus un caractère exceptionnel, celle qui nous occupe plus particulièrement ici a cependant un caractère inédit et/ou un degré de criticité particulièrement élevé.
Nous notons également, à la lumière du contexte international actuel (conflit en Ukraine) ou les opérations d’infiltration et de guerre électronique ont connu une intensification sensible, que ces dernières doivent être abordées avec encore plus d’appréhension.
Ces plateformes font l’objet actuellement d’une campagne ciblant spécifiquement ce constructeur, ce qui à notre connaissance n'est pas une première sachant attrait par des individus qui sont une menace persistante avancée (APT) peuvent lancer une cyberattaque ciblée et prolongée au cours de laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une période importante.
Recommandations COMPUTERLAND
Computerland recommande aux administrateurs de vérifier s'ils disposent de versions vulnérables, si tel est le cas, nous vous recommandons fortement d'appliquer les mises à jour disponibles dès que possible.
Note : Cette modification empêchera les clients CIM de localiser les serveurs CIM via le service SLP.
L'application seule des correctifs n'est pas suffisante. En effet, un attaquant a probablement déjà exploité la vulnérabilité et a pu déposer un code malveillant. Il est recommandé d'effectuer une analyse des systèmes afin de détecter tout signe de compromission.
Pour plus de renseignement à ce sujet, nous vous renvoyons vers le site du constructeur :
-
VMSA-2021-0002 (vmware.com) datant du 24 février 2021.
-
cve-website
-
VMware Knowledge Base
-
Resecurity - Nevada Ransomware - Waiting For The Next Dark Web Jackpot
-
Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi – CERT-FR (ssi.gouv.fr)
CERT-FR Originale Alerte
30 January, 2023
Vulnérabilité dans QNAP QTS et QuTS hero
-
Date de sortie: 30 janvier 2023
-
ID de sécurité : QSA-23-01
-
Sévérité: Critique
-
Identifiant CVE : CVE-2022-27596
Résumé
Une vulnérabilité a été signalée pour affecter les appareils QNAP exécutant QTS 5.0.1 et QuTS hero h5.0.1. Si elle est exploitée, cette vulnérabilité permet à des attaquants distants d’injecter du code malveillant (RCE)
QTS 5.0.0, QTS 4.x.x, QuTS hero 5.0.0 et QuTS hero 4.5.x ne sont pas affectés.
Cette vulnérabilité est corrigée dans les versions de système d’exploitation suivantes :
Risques
Si elle est exploitée, cette vulnérabilité pourrait permettre à des attaquants distants d’injecter du code malveillant.
Recommandations COMPUTERLAND
Pour sécuriser votre appareil, nous vous recommandons de mettre régulièrement à jour votre système vers la dernière version pour bénéficier de correctifs de vulnérabilité. Vous pouvez vérifier l’état du support produit pour voir les dernières mises à jour disponibles pour votre modèle de NAS.
Mise à jour de QTS ou QuTS hero
-
Connectez-vous à QTS ou QuTS hero en tant qu’administrateur.
-
Accédez à Panneau de configuration > Mise à jour du micrologiciel du système > système.
-
Sous Mise à jour en direct, cliquez sur Rechercher les mises à jour.
QTS ou QuTS hero télécharge et installe la dernière mise à jour disponible.
Note: Vous pouvez également télécharger la mise à jour depuis le site Web de QNAP. Accédez au Centre de support > de téléchargement, puis effectuez une mise à jour manuelle pour votre appareil spécifique.
QNAP Originale Alerte
25 January, 2023
Microsoft Azure (Panne générale depuis ce matin)
À partir de 07:05 UTC le 25 janvier 2023, les clients peuvent rencontrer des problèmes de connectivité réseau, se manifestant par une latence réseau et/ou des délais d’expiration lorsqu’ils tentent de se connecter aux ressources Azure dans les régions Azure publiques, ainsi qu’à d’autres services Microsoft, notamment M365, PowerBI.
Nous avons déterminé que le problème de connectivité réseau se produit avec les périphériques sur le réseau étendu Microsoft (WAN). Cela a un impact sur la connectivité entre les clients sur Internet et Azure, ainsi que sur la connectivité entre les services dans les centres de données, ainsi que sur les connexions ExpressRoute. Le problème provoque un impact dans les vagues, culminant environ toutes les 30 minutes.
Nous avons identifié une mise à jour WAN récente comme cause sous-jacente probable et avons pris des mesures pour annuler cette mise à jour. Notre dernière télémétrie montre des signes de reprise dans plusieurs régions et services, et nous continuons de surveiller activement la situation.
Ce message a été mis à jour pour la dernière fois à 09:36 UTC le 25 janvier 2023
Recommandations COMPUTERLAND
Capture-d-ecran_20230125_104651.png
Microsoft Original Alerte
20 January, 2023
Mise à jour Windows 10 KB5019275 preview publiée avec 14 correctifs
Microsoft a publié la mise à jour cumulative facultative KB5019275 Preview pour Windows 10 20H2, Windows 10 21H1 et Windows 10 21H2, avec quatorze correctifs et améliorations.
Cette version est principalement une version de maintenance, corrigeant de nombreux bogues dans ReFS, FIDO2 et divers problèmes qui empêchent les applications ou le bureau Windows de répondre.
L’aperçu de la mise à jour cumulative KB5019275 fait partie de la mise à jour mensuelle « C » de janvier 2023 de Microsoft, permettant aux administrateurs de tester les correctifs à venir publiés dans le Patch Tuesday de février 2023.
Contrairement aux mises à jour cumulatives du Patch Tuesday, les mises à jour d’aperçu « C » sont facultatives et n’incluent pas les mises à jour de sécurité.
Les utilisateurs de Windows peuvent installer cette mise à jour en allant dans Paramètres, en cliquant sur Windows Update et en effectuant manuellement une « Rechercher les mises à jour ».
Après l’installation de cette mise à jour, Windows 10 20H2 sera mis à jour pour construire 9042.2546, Windows 10 21H2 sera mis à jour pour construire 19044.2546 et Windows 10 22H2 sera mis à jour pour construire 19045.2546.
Les utilisateurs de Windows 10 peuvent également télécharger et installer manuellement la mise à jour KB5019275 à partir du Catalogue Microsoft Update.
Nouveautés de Windows 10 KB5019275
Avec cette mise à jour, Microsoft a introduit une nouvelle fonctionnalité où l’écran de configuration « Système » affichera désormais les alertes de stockage Microsoft OneDrive.
Microsoft affirme que ces nouvelles alertes ne seront affichées que lorsque vous manquerez de stockage, ce qui permettra aux utilisateurs de Windows d’en acheter plus.
Le KB5019275 résout également treize problèmes liés à divers services Windows, principalement pour corriger les plantages, les fonctionnalités qui ne répondent pas ou les bogues généraux.
Fait particulièrement intéressant, Microsoft a ajouté la prise en charge de longueurs d’URL allant jusqu’à 8196 caractères, ce qui est beaucoup plus que ce que quiconque verra probablement en naviguant sur le Web.
Voici quelques-unes des autres corrections de bogues notables de cette version :
- Cette mise à jour résout un problème qui affecte searchindexer.exe. Il vous empêche de manière aléatoire de vous connecter ou de vous déconnecter.
- Cette mise à jour résout un problème qui affecte conhost.exe provoquant son arrêt de réponse.
- Cette mise à jour résout un problème qui se produit lorsque vous ouvrez l’affichage des tâches. Cela provoque l’arrêt du bureau.
- Cette mise à jour résout un problème qui endommage la mémoire. Le problème se produit lorsque vous utilisez un matériel de contrôleur audio HD particulier.
Microsoft met en garde contre un problème de longue date dans cette mise à jour: les installations Windows créées à partir de supports hors connexion ou ISO peuvent avoir Microsoft Edge hérité supprimé et remplacé par le nouveau Microsoft Edge moderne.
« Microsoft Edge Legacy peut supprimer Microsoft Edge sur les appareils dotés d’installations Windows créées à partir d’un support hors connexion personnalisé ou d’une image ISO personnalisée par cette mise à jour, mais pas automatiquement remplacé par le nouveau Microsoft Edge », explique le Bulletin KB5019275.
« Ce problème n’est rencontré que lorsque des médias hors ligne personnalisés ou des images ISO sont créés en glissant cette mise à jour dans l’image sans avoir d’abord installé la mise à jour autonome de la pile de maintenance (SSU) publiée le 29 mars 2021 ou version ultérieure. »
Recommandations COMPUTERLAND
Microsoft avertit également aujourd’hui qu’après mars 2023, plus aucune mise à jour de prévisualisation facultative ne sera publiée pour Windows 10, version 20H2 et Windows 10, version 21H2.
« Après mars 2023, il n’y aura plus de versions d’aperçu facultatives non liées à la sécurité pour les éditions en cours de support de Windows 10, version 20H2 et Windows 10, version 21H2 », explique Microsoft dans le Bulletin de support KB5019275.
Seules les mises à jour de sécurité mensuelles cumulatives (connues sous le nom de version « B » ou Update Tuesday) continueront pour ces versions. Windows 10, version 22H2 continuera à recevoir la sécurité et les versions facultatives.
Microsoft Original Alerte
20 January, 2023
Microsoft publie KB5021751 pour vérifier les installations obsolètes d’Office
Microsoft pousse la mise à jour KB5021751 pour savoir combien de ses clients utilisent une version d’Office qui a atteint sa fin de support ou sera bientôt hors support.
Aucun fichier ne sera installé sur les systèmes qui reçoivent cette mise à jour, mais à la place, elle s’exécutera une fois pour vérifier si l’installation de Microsoft Office est obsolète ou nécessitera bientôt une mise à niveau.
Redmond a ajouté qu’aucun redémarrage de l’appareil ne serait nécessaire après l’installation de KB5021751 via Windows Update.
« Cette mise à jour est destinée à aider Microsoft à identifier le nombre d’utilisateurs exécutant des versions hors support (ou bientôt hors support) d’Office, y compris Office 2013, Office 2010 et Office 2007 »
Recommandations COMPUTERLAND
Microsoft
recommande aux utilisateurs de versions obsolètes d’Office de télécharger et d’installer une version d’évaluation gratuite de sa suite d’applications de productivité et de sécurité Microsoft 365.
BleepingComputer Alerte Origniale
11 January, 2023
Microsoft publie des correctifs pour le patch Tuesday
Lors du premier Patch Tuesday de 2023, nous avons obtenu des correctifs pour 98 vulnérabilités. Parmi ceux-ci, 11 sont critiques, 1 a déjà été divulgué et 1 est déjà exploité, selon Microsoft.
Le jour zéro est une vulnérabilité d’élévation de privilèges dans Windows Advanced Local Procedure Call (ALPC) (CVE-2023-21674). Selon l’avis, l’exploitation de cette vulnérabilité pourrait entraîner une évasion du bac à sable du navigateur et donner à l’attaquant des privilèges SYSTEM. Cette vulnérabilité mérite d’être priorisée car elle est déjà exploitée. Le CVSS de cette vulnérabilité est de 8,8, le plus élevé ce mois-ci.
La vulnérabilité d’élévation de privilèges précédemment décrite est une vulnérabilité d’élévation de privilèges affectant le service témoin SMB de Windows (CVE-2023-21549). Selon l’Avis, pour exploiter cette vulnérabilité, un attaquant pourrait exécuter un script malveillant spécialement conçu qui exécute un appel RPC à un hôte RPC. Cela pourrait entraîner une élévation de privilèges sur le serveur. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter des fonctions RPC limitées aux comptes privilégiés uniquement. Le CVSS de cette vulnérabilité est également 8.8.
Il existe une troisième vulnérabilité critique d’élévation de privilèges avec CVSS 8.8. Celui-ci affecte les services de chiffrement Microsoft (CVE-2023-21561). Selon l’avis, un attaquant authentifié localement pourrait envoyer des données spécialement conçues au service CSRSS local pour élever ses privilèges d’AppContainer à SYSTEM.
Parmi les vulnérabilités critiques, il y a 7 exécutions de code à distance, 3 élévations de privilèges et 1 contournement de fonctionnalité de sécurité. Aucune des vulnérabilités critiques n’est marquée comme « Exploitation plus probable » pour l’évaluation de l’exploitabilité Microsoft.
Recommandations COMPUTERLAND
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises"
Depuis la publication, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques.
Voir le tableau de bord pour une répartition plus détaillée :
https://patchtuesdaydashboard.com/
Ce tableau représente le scoring de vulnérabilité et ses risques pour les « Mises à jour de sécurité de Janvier 2023 ».
Microsoft Original Alerte
11 January, 2023
Zoom corrige les failles à haut risque sur les plates-formes Windows et MacOS
Le géant de la messagerie vidéo Zoom a publié des correctifs pour de multiples vulnérabilités de sécurité qui exposent les utilisateurs Windows et macOS à des attaques de pirates malveillants.
Les vulnérabilités du produit Zoom Rooms destiné aux entreprises pourraient être exploitées dans des attaques d’escalade de privilèges sur les plates-formes Windows et macOS.
Le premier lot de correctifs de la société pour 2023 comprend des correctifs pour un trio de vulnérabilités « de gravité élevée » dans Zoom Room pour Windows Installers, Zoom Room pour les clients Windows et Zoom Rooms pour les clients macOS.
« La clé de chiffrement utilisée pour IPC entre le service démon Zoom Rooms et le client Zoom Rooms a été générée à l’aide de paramètres pouvant être obtenus par une application locale à faibles privilèges. Cette clé peut ensuite être utilisée pour interagir avec le service démon afin d’exécuter des fonctions privilégiées et de provoquer un déni de service local », selon la documentation de Zoom.
Zoom a également corrigé une vulnérabilité de traversée de chemin dans Zoom pour les clients Android, avertissant qu’une application tierce pourrait exploiter cette vulnérabilité pour lire et écrire dans le répertoire de données de l’application Zoom.
Voici comment Zoom documente les problèmes à haut risque :
- CVE-2022-36930 -- Escalade des privilèges locaux dans les salles Zoom pour Windows Installer (CVSS 8.2/10) -- Les salles Zoom pour les programmes d’installation Windows antérieurs à la version 5.13.0 contenaient une vulnérabilité d’escalade de privilèges locale. Un utilisateur local disposant de faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque pour faire remonter ses privilèges à l’utilisateur SYSTEM.
- CVE-2022-36929 - Escalade des privilèges locaux dans les salles Zoom pour les clients Windows (CVSS 7.8/10) --Les salles Zoom pour les clients Windows antérieurs à la version 5.12.7 contenaient une vulnérabilité d’escalade de privilèges locale. Un utilisateur local disposant de faibles privilèges pourrait exploiter cette vulnérabilité dans une chaîne d’attaque pour faire remonter ses privilèges à l’utilisateur SYSTEM.
- CVE-2022-36927 -- Escalade des privilèges locaux dans les salles Zoom pour les clients macOS (CVSS 8.8/10) -- Les salles Zoom pour les clients macOS antérieures à la version 5.11.3 contenaient une vulnérabilité d’escalade des privilèges locaux. Un utilisateur local disposant de faibles privilèges pourrait exploiter cette vulnérabilité pour faire remonter ses privilèges à la racine.
Recommandations COMPUTERLAND
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises"
Depuis la publication, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques.
Zoom Original
13 December, 2022
Vulnérabilité critique dans Citrix Gateway et Citrix ADC
COMPUTERLAND aimerait porter votre attention sur une vulnérabilité critique découverte récemment affectant les produits Citrix
Le 13 décembre 2022, Citrix a publié un bulletin de sécurité concernant une vulnérabilité critique
CVE-2022-27518 affectant ses produits Citrix Gateway et Citrix ADC . S'il est exploité, cette vulnérabilité peut permettre à un attaquant distant non authentifié d'exécuter du code arbitraire sur l'appliance.
Cette vulnérabilité CVE-2022-27518 a le score CVSS de 9,6.
Selon la NSA, la vulnérabilité est exploitée par le groupe APT5 aka : KEYHOLE PANDA, MANGANESE, BRONZE FLEETWOOD, TEMP.Bottle . APT5 qui est lié à la nation state Chinoise est également connu avoir exploité les vulnérabilités de Pulse Secure VPN en 2021. Il est alors fortement recommandé d'installer les dernières mises à jour de sécurité
Détails techniques
Cette vulnérabilité zero day CVE-2022-27518 est due à un contrôle inapproprié d'une ressource via sa
durée de vie. Cette vulnérabilité n'est exploitable que si Citrix ADC ou Citrix Gateway est configuré en tant que SP SAML ou fournisseur d'identité SAML.
Produits concernés
Les versions suivantes prises en charge de Citrix ADC et Citrix Gateway sont affectées par cette capacité de vulnérabilité :
• Citrix ADC et Citrix Gateway 13.0 avant 13.0-58.32
• Citrix ADC et Citrix Gateway 12.1 avant 12.1-65.25
• Citrix ADC 12.1-FIPS avant 12.1-55.291
• Citrix ADC 12.1-NDcPP avant 12.1-55.291
Citrix ADC et Citrix Gateway version 13.1 ne sont pas affectés. De plus pour la version cloud géré par Citrix
services ou Adaptive Authentication géré par Citrix, aucune action n'est nécessaire.
À l'heure actuelle, Citrix a connaissance d'attaques ciblées utilisant cette vulnérabilité pour pénétrer dans les systèmes des utilisateurs mais la prudence reste de mise.
Bien que la découverte d’une vulnérabilité n’ait désormais plus un caractère exceptionnel, celle qui nous occupe plus particulièrement ici a cependant un caractère inédit et/ou un degré de criticité particulièrement élevé.
Nous notons également, à la lumière du contexte international actuel (conflit en Ukraine) ou les opérations d’infiltration et de guerre électronique ont connu une intensification sensible, que ces dernières doivent être abordées avec encore plus d’appréhension.
Ces plateformes font l’objet actuellement d’une campagne ciblant spécifiquement ce constructeur, ce qui à notre connaissance n'est pas une première sachant attrait par des individus qui sont une menace persistante avancée (APT) peuvent lancer une cyberattaque ciblée et prolongée au cours de laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une période importante.
Recommandations COMPUTERLAND
Il est recommandé vivement d'installer les dernières versions mises à jour de Citrix ADC ou Citrix Gate dès que possible :
• Citrix ADC et Citrix Gateway 13.0-58.32 et versions ultérieures
• Citrix ADC et Citrix Gateway 12.1-65.25 et versions ultérieures de 12.1
• Citrix ADC 12.1-FIPS 12.1-55.291 et versions ultérieures de 12.1-FIPS
• Citrix ADC 12.1-NDcPP 12.1-55.291 et versions ultérieures de 12.1-NDcPP
Veuillez noter que les versions de Citrix ADC et Citrix Gateway antérieures à 12.1 sont EOL et les clients sur ces versions, il est recommandé de mettre à niveau vers l'une des versions prises en charge.
Pour plus de renseignement à ce sujet, nous vous renvoyons vers le site du constructeur :
-
Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27518
-
Hackers exploit critical Citrix ADC and Gateway zero day, patch now (bleepingcomputer.com)
-
CSA-APT5-CITRIXADC-V1.PDF (defense.gov)
Citrix Originale Alerte
13 December, 2022
Mardi du correctif Microsoft de décembre 2022
Lors du dernier Patch Tuesday de 2022, nous avons reçu des correctifs pour 74 vulnérabilités.
Parmi ceux-ci, 7 sont critiques, 1 a déjà été divulgué et 1 est déjà exploité, selon Microsoft.
- La vulnérabilité exploitée est une vulnérabilité de contournement de la fonctionnalité de sécurité Windows SmartScreen ( CVE-2022-44698 ). Lorsque vous téléchargez un fichier à partir d'Internet, Windows ajoute l'identifiant de zone ou la marque du Web en tant que flux NTFS au fichier. Ainsi, lorsque vous exécutez le fichier, Windows SmartScreen vérifie s'il existe un identifiant de zone Alternate Data Stream (ADS) attaché au fichier. Si l'ADS indique ZoneId=3, ce qui signifie que le fichier a été téléchargé depuis Internet, le SmartScreen effectue une vérification de réputation.
En exploitant cette vulnérabilité, un attaquant peut créer un fichier malveillant qui échapperait aux défenses Mark of the Web (MOTW).
Le CVSS pour cette vulnérabilité est 5.4.
- Parmi les vulnérabilités critiques, on retrouve une Remote Code Execution (RCE) affectant le .Net Framework ( CVE-2022-41089 ).
L'exploitabilité de celui-ci est "moins probable" selon Microsoft.
Le CVSS est de 8,8.
- Une deuxième vulnérabilité critique est un RCE affectant Microsoft SharePoint Server ( CVE-2022-44690 ).
Selon l'avis, lors d'une attaque basée sur le réseau, un attaquant authentifié disposant des autorisations pour gérer la liste pourrait exécuter du code à distance sur le serveur SharePoint.
Le CVSS pour cette vulnérabilité est 8.8.
- Une autre vulnérabilité critique à mentionner est une RCE dans Powershell ( CVE-2022-41076 ).
L'avis indique que la complexité de l'attaque est élevée car pour exploiter cette vulnérabilité, un attaquant doit prendre des mesures supplémentaires avant l'exploitation pour préparer l'environnement cible.
De plus, il indique qu'un attaquant authentifié pourrait échapper à la configuration de session PowerShell Remoting et exécuter des commandes non approuvées sur le système cible.
Le CVSS pour cette vulnérabilité est 8.5.
Recommandations COMPUTERLAND
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises"
Depuis la publication, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques.
Voir le tableau de bord pour une répartition plus détaillée :
https://patchtuesdaydashboard.com/
Ce tableau représente le scoring de vulnérabilité et ses risques pour les « Mises à jour de sécurité de Décembre 2022 ».
Microsoft Original Alerte
12 December, 2022
Vulnérabilité d'exécution de code à distance dans FortiOS SSL-VPN
COMPUTERLAND aimerait porter votre attention sur une vulnérabilité critique découverte récemment affectant les produits Fortinet (FortiOS SSL-VPN)
Le 12 décembre 2022, Fortinet a publié un avis concernant un débordement de tampon basé sur la vulnérabilité critique dans FortiOS SSL-VPN qui pourrait permettre une connexion distante non authentifiée l'attaquant d'exécuter du code (RCE) ou des commandes arbitraires via des requêtes spécialement conçues.
Cette vulnérabilité CVE-2022-42475 a le score CVSS de 9,3.
Fortinet a connaissance d'un cas où cette vulnérabilité a été exploitée à l'état sauvage. Sachant que cette vulnérabilité ne soit pas triviale à exploiter, mais ils conseillent aux clients utilisant SSL-VPN de mettre à niveau immédiatement.
Détails techniques
En exploitant cette vulnérabilité CVE-2022-42475, un attaquant pourrait manipuler l'espace mémoire dynamique du processus à tel point que des morceaux adjacents pourraient être corrompus pour détourner son flux d'exécution.
Produits concernés
Les produits suivants sont concernés :
• FortiOS versions 7.2.0 à 7.2.2
• FortiOS versions 7.0.0 à 7.0.8
• FortiOS versions 6.4.0 à 6.4.10
• FortiOS versions 6.2.0 à 6.2.11
• FortiOS-6K7K versions 7.0.0 à 7.0.7
• FortiOS-6K7K versions 6.4.0 à 6.4.9
• FortiOS-6K7K versions 6.2.0 à 6.2.11
• FortiOS-6K7K versions 6.0.0 à 6.0.14
À l'heure actuelle, Fortinet a connaissance d'attaques ciblées utilisant cette vulnérabilité pour pénétrer dans les systèmes des utilisateurs mais la prudence reste de mise.
Bien que la découverte d’une vulnérabilité n’ait désormais plus un caractère exceptionnel, celle qui nous occupe plus particulièrement ici a cependant un caractère inédit et/ou un degré de criticité particulièrement élevé.
Nous notons également, à la lumière du contexte international actuel (conflit en Ukraine) ou les opérations d’infiltration et de guerre électronique ont connu une intensification sensible, que ces dernières doivent être abordées avec encore plus d’appréhension.
Ces plateformes font l’objet actuellement d’une campagne ciblant spécifiquement ce constructeur, ce qui à notre connaissance n'est pas une première sachant attrait par des individus qui sont une menace persistante avancée (APT) peuvent lancer une cyberattaque ciblée et prolongée au cours de laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une période importante.
Recommandations COMPUTERLAND
Il est recommandé vivement d'installer les dernières versions mises à niveau vers :
• FortiOS version 7.2.3 ou supérieure
• FortiOS version 7.0.9 ou supérieure
• FortiOS version 6.4.11 ou supérieure
• FortiOS version 6.2.12 ou supérieure
• FortiOS-6K7K version 7.0.8 ou supérieure
• FortiOS-6K7K version 6.4.10 ou supérieure
• FortiOS-6K7K version 6.2.12 ou supérieure
• FortiOS-6K7K version 6.0.15 ou supérieure
Solution de contournement :
Désactivez SSLVPN jusqu'à ce que la mise à niveau puisse être effectuée.
Pour plus de renseignement à ce sujet, nous vous renvoyons vers le site du constructeur :
Fortiguard
CVE-2022-42475: Critical Unauthenticated Remote Code Execution Vulnerability in FortiOS; Exploitation Reported | Rapid7 Blog
Fortinet Originale Alerte
8 November, 2022
Citrix exhorte les administrateurs à corriger ADC critique, contournement d'authentification de passerelle
COMPUTERLAND aimerait porter votre attention sur plusieurs vulnérabilités critiques découverte récemment affectant Citrix ADC & Passerelle Citrix.
Citrix Gateway est un service VPN SSL fournissant un accès à distance sécurisé avec des fonctionnalités de gestion des identités et des accès, largement déployé dans le cloud ou sur des serveurs d'entreprise sur site.
Citrix ADC est une solution d'équilibrage de charge pour les applications cloud déployées dans l'entreprise, garantissant une disponibilité ininterrompue et des performances optimales.
Les deux produits sont largement utilisés par les organisations du monde entier, et les trois défauts ont un impact sur les versions actuelles et précédentes activement prises en charge par le fournisseur.
Les trois vulnérabilités affectant à la fois Citrix Gateway et Citrix ADC sont les suivantes :
CVE-2022-27510 : Contournement de l'authentification de gravité critique à l'aide d'un chemin ou d'un canal alternatif, exploitable uniquement si l'Appliance est configurée en tant que VPN (Gateway).
CVE-2022-27513 : Vérification insuffisante de l'authenticité des données, permettant la prise de contrôle à distance du bureau via le phishing. La faille n'est exploitable que si l'Appliance est configurée en tant que VPN (passerelle) et que la fonctionnalité de proxy RDP est configurée.
CVE-2022-27516 : Échec du mécanisme de protection contre la force brute de connexion permettant son contournement. Cette vulnérabilité ne peut être exploitée que si l'Appliance est configurée en tant que serveur virtuel VPN (Gateway) ou AAA avec la configuration "Max Login Attempts".
Bien que la découverte d’une vulnérabilité n’ait désormais plus un caractère exceptionnel, celles qui nous occupent plus particulièrement ici ont cependant un caractère inédit et/ou un degré de criticité particulièrement élevé.
Nous notons également, à la lumière du contexte international actuel (conflit en Ukraine) ou les opérations d’infiltration et de guerre électronique ont connu une intensification sensible, que ces dernières doivent être abordées avec encore plus d’appréhension.
Ces plateformes font l’objet actuellement d’une campagne ciblant spécifiquement ce constructeur, ce qui à notre connaissance n'est pas une première sachant attrait par des individus qui sont une menace persistante avancée (APT) peuvent lancer une cyberattaque ciblée et prolongée au cours de laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une période importante.
Recommandations COMPUTERLAND
Computerland recommande aux administrateurs de vérifier s'ils disposent de versions vulnérables, "Il est recommandé aux clients concernés de Citrix ADC et Citrix Gateway d'installer les versions mises à jour pertinentes de Citrix ADC ou Citrix Gateway dès que possible".
Les failles ci-dessus affectent les versions de produit suivantes :
-
Citrix ADC et Citrix Gateway 13.1 avant 13.1-33.47
-
Citrix ADC et Citrix Gateway 13.0 avant 13.0-88.12
-
Citrix ADC et Citrix Gateway 12.1 avant 12.1.65.21
-
Citrix ADC 12.1-FIPS avant 12.1-55.289
-
Citrix ADC 12.1-NDcPP avant 12.1-55.289
Les utilisateurs de ces versions de produits qui gèrent eux-mêmes les appliances Citrix doivent effectuer une mise à niveau vers la dernière version disponible dès que possible. Si tel est le cas, nous vous recommandons fortement d'appliquer les atténuations disponibles dès que possible.
Pour plus de renseignement à ce sujet, nous vous renvoyons vers le site du constructeur :
Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516
Les alertes sont déjà publiés sur notre twitter et aussi sur notre site officiel.
COMPUTERLAND Belgium on Twitter
Pour ce faire, nous vous invitons à contacter votre responsable commercial ou votre responsable contrat (SDM). Ces derniers pourront répondre à vos questions éventuelles et, le cas échéant, établir une proposition destinée à assurer l’installation des correctifs désormais disponibles auprès des constructeur/éditeur.
« Ces actions préventives urgentes ne rentrent pas dans le service de couverture de votre contrat et seront donc facturées au tarif en vigueur. »
Il est à noter enfin, que COMPUTERLAND pourra éventuellement réitérer ce genre de communication à l’avenir, si un concourt de circonstances semblables devait à nouveau être rencontré.
Nous restons à votre disposition pour tout renseignement complémentaire via security@computerland.be.
Citrix Originale Alerte
8 November, 2022
Microsoft November 2022 Patch Tuesday
Parmi ceux-ci, 10 sont critiques, 1 a déjà été divulgué et 4 sont déjà exploités, selon Microsoft.
Selon l'avis, un attaquant peut créer un fichier malveillant qui échapperait aux défenses MOTW, ce qui entraînerait une perte limitée d'intégrité et de disponibilité des fonctionnalités de sécurité telles que la vue protégée dans Microsoft Office, qui reposent sur le marquage MOTW.
Le CVSS pour cette vulnérabilité est 5.4.
- Une autre vulnérabilité exploitée est une exécution de code à distance (RCE) sur les langages de script Windows ( CVE-2022-41128) .
Cette vulnérabilité affecte le langage JScript9.
Pour exploiter cette vulnérabilité, un attaquant devrait convaincre les utilisateurs de visiter un partage de serveur ou un site Web spécialement conçu, généralement via une incitation dans un e-mail ou un message de chat. En d'autres termes, l'interaction de l'utilisateur est requise, mais il ne serait pas difficile pour un attaquant d'accomplir ce type d'interaction, ce qui rend cette vulnérabilité digne d'une attention particulière.
Le CVSS pour cette vulnérabilité est 8.8.
Le CVSS pour cette vulnérabilité est le plus élevé pour ce mois : 8,8.
L'avis indique que cette vulnérabilité n'est pas exploitée, mais la marque comme "Exploitation plus probable".
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges d'administrateur en manipulant des informations sur les services Sysinternals.
Le CVSS pour cette vulnérabilité est 7.8.
Recommandations COMPUTERLAND
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises"
Depuis la publication, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques.
Voir le tableau de bord pour une répartition plus détaillée :
https://patchtuesdaydashboard.com/
Ce tableau représente le scoring de vulnérabilité et ses risques pour les « Mises à jour de sécurité de Novembre 2022 ».
Microsoft Original Alerte
1 November, 2022
OpenSSL corrige deux vulnérabilités de gravité élevée
Le projet OpenSSL a corrigé
deux failles de sécurité très graves dans sa bibliothèque cryptographique open source utilisée pour chiffrer les canaux de communication et les connexions HTTPS.
Les vulnérabilités (
CVE-2022-3602 et CVE-2022-3786 ) affectent OpenSSL version 3.0.0 et ultérieure et ont été corrigées
dans OpenSSL 3.0.7.
CVE-2022-3602 est un débordement arbitraire de tampon de pile de 4 octets qui pourrait déclencher des plantages ou conduire à l'exécution de code à distance (RCE), tandis que
CVE-2022-3786 peut être exploité par des attaquants via des adresses e-mail malveillantes pour déclencher un état de déni de service (DDOS) via un débordement de buffer.
"Nous considérons toujours ces problèmes comme de graves vulnérabilités et les utilisateurs concernés sont encouragés à effectuer la mise à niveau dès que possible", a déclaré l'équipe OpenSSL .
"Nous n'avons connaissance d'aucun exploit fonctionnel qui pourrait conduire à l'exécution de code à distance, et nous n'avons aucune preuve que ces problèmes soient exploités au moment de la publication de ce message."
Conformément à la politique d'Open SSL , les organisations et les administrateurs informatiques sont avertis depuis le 25 octobre de rechercher dans leurs environnements des instances vulnérables et de les préparer pour les correctifs lors de la sortie d'OpenSSL 3.0.7.
Recommandations COMPUTERLAND
COMPUTERLAND recommande de patcher par la dernière version de ce produit OpenSSL 3.0.7 et de voir le Centre national de cybersécurité des Pays-Bas qui tient
à jour une liste de produits logiciels confirmés comme étant (non) affectés par cette vulnérabilité OpenSSL.
L'équipe sécurité de COMPUTERLAND est en train d’analyser les différents produits impactés mentionné par le NCSC-NL :
- Nous savons que ce produit qui est vulnérable (VMware Tools). Mais pour cela, il faut mettre les ESXI d’abord à jour pour mettre les dernières versions disponibles compatible par VMware.
Nous savons basé sur assessment déjà effectuer par le CERT (NCSC-NL) que ces produits suivants ne sont pas impactés :
OpenSSL
31 October, 2022
Breche de sécurité "BlueBleed"
Qu'est-ce que "BlueBleed" ?
"BlueBleed" est un emplacement de stockage Microsoft mal configuré qui a entraîné un accès non authentifié. Les données éventuellement divulguées sont des informations sur les transactions commerciales telles que les interactions entre Microsoft et les clients potentiels. La mauvaise configuration a été signalée à Microsoft et résolue le 24 septembre 2022 .
Si vous êtes concerné par "BlueBleed", Microsoft vous a envoyé une notification via admin.microsoft.com.
Recommandations COMPUTERLAND
COMPUTERLAND recommande de se connecter sur admin.microsoft.com pour voir le message du 4 octobre 2022 contenant les références MC442408 ou MC442057 et avec le sujet contenant « Enquête concernant l'emplacement de stockage Microsoft mal configuré ».
Si vous avez reçu une notification, nous vous recommandons :
- Demander les données concernées à Microsoft via le portail admin.microsoft.com.
- Informer les personnes concernées et les mettre en garde contre le spear phishing. Les données divulguées peuvent être exploitées par un acteur malveillant pour créer un spear phishing très ciblé et réaliste.
Lorsque vous fournissez un support Microsoft à vos clients, veuillez en informer vos clients en conséquence.
Pour toute autre question, nous vous renvoyons à Microsoft.
Sources
https://securityaffairs.co/wordpress/137397/data-breach/microsoft-data-leak-2.html
Microsoft Original Alerte
28 October, 2022
Exploit publié pour la vulnérabilité critique VMware RCE, corrigez maintenant
Un code d'exploitation de preuve de concept est désormais disponible pour une vulnérabilité d'exécution de code à distance (RCE) de pré-authentification permettant aux attaquants d'exécuter du code arbitraire à distance avec des privilèges root sur les appliances Cloud Foundation et NSX Manager non corrigées.
La faille (CVE-2021-39144) se trouve dans la bibliothèque open source XStream utilisée par les deux produits VMware et s'est vue attribuer un score de base CVSSv3 presque maximal de 9,8/10 par VMware.
Le même jour, Kheirkhah a également publié un code d'exploitation de preuve de concept (PoC) et une analyse technique de la vulnérabilité sur le blog de Seeley.
"Un attaquant peut envoyer une charge utile XStream spécialement conçue avec un proxy dynamique et déclencher l'exécution de code à distance dans le contexte de root", a expliqué le chercheur en sécurité.
Recommandations COMPUTERLAND
VMware a publié mardi des mises à jour de sécurité pour corriger la faille CVE-2021-39144 signalée par Sina Kheirkhah de MDSec et Steven Seeley de Source Incite.
De plus, en raison de la gravité du problème, la société a également fourni des correctifs pour certains produits en fin de vie .
VMware a également partagé une solution temporaire pour les administrateurs qui ne peuvent pas déployer immédiatement des mises à jour de sécurité pour corriger leurs appliances.
Selon les étapes détaillées dans un document d'assistance séparé , les administrateurs doivent se connecter à chaque machine virtuelle du gestionnaire SDDC dans leur environnement Cloud Foundation via SSH et sudo au compte racine.
Ensuite, ils doivent mettre à niveau la bibliothèque XStream vers la version 1.4.19 en appliquant un correctif à chaud NSX for vSphere (NSX-V) pour supprimer le vecteur d'attaque.
Cependant, contrairement à l'application des mises à jour de sécurité CVE-2021-39144 publiées mardi, la solution de contournement obligera les administrateurs à suivre cette procédure chaque fois qu'"un nouveau domaine de charge de travail VI est créé".
VMWare Alerte Originale
19 October, 2022
Avis de sécurité : Vulnérabilité d'exécution de code à distance dans Apache Commons Text (CVE-2022-42889)
COMPUTERLAND aimerait porter votre attention sur une vulnérabilité critique découverte récemment affectant le logiciel Apache Commons Text qui est un composant logiciel utilisé pour manipuler des chaînes de caractères, édité par la fondation Apache.
Informations CVSS 3.0
-
Privilèges requis : aucun
-
Interaction utilisateur : aucune
-
Portée : inchangée
-
Vecteur d'accès : Réseau
-
Complexité d'accès : Faible
-
Impact sur la confidentialité : élevé
-
Impact sur l'intégrité : élevé
-
Impact sur la disponibilité : élevé
-
Niveau de correction : Correctif officiel
À l'heure actuelle, nous avons la connaissance d'attaques ciblées utilisant cette vulnérabilité pour pénétrer dans les systèmes des utilisateurs.
Dans ces attaques, CVE-2022-42889 , "Apache Commons Text pourrait permettre à un attaquant distant d'exécuter du code arbitraire sur le système, causé par une faille d'interpolation non sécurisée par défaut. En envoyant une entrée spécialement conçue, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système."
Bien que la découverte d’une vulnérabilité n’ait désormais plus un caractère exceptionnel vu que cette attaque ressemble à Log4Shell, celle qui nous occupe plus particulièrement ici est cependant un caractère inédit et/ou un degré de criticité particulièrement élevé.
Nous notons également, à la lumière du contexte international actuel (conflit en Ukraine) ou les opérations d’infiltration et de guerre électronique ont connu une intensification sensible, que ces dernières doivent être abordées avec encore plus d’appréhension.
Ces plateformes font l’objet actuellement d’une campagne ciblant spécifiquement ce logiciel ce qui à notre connaissance n'est pas une première sachant attrait par des individus qui sont une menace persistante avancée (APT) peuvent lancer une cyberattaque ciblée et prolongée au cours de laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une période importante.
Recommandations COMPUTERLAND
Computerland recommande aux administrateurs de vérifier s'ils disposent de versions vulnérables, Mettez à niveau vers la dernière version d'Apache Commons Text (1.10.0 ou ultérieure), disponible sur le site Web d'Apache. Voir les liens de références.
Si tel est le cas que vous avez des versions vulnérables, nous vous recommandons fortement d'appliquer les atténuations disponibles dès que possible.
Pour plus de renseignement à ce sujet, nous vous renvoyons vers le site du constructeur :
Les alertes sont déjà publiés sur notre twitter
COMPUTERLAND Belgium on Twitter
Pour ce faire, nous vous invitons à contacter votre responsable commercial ou votre responsable contrat (SDM). Ces derniers pourront répondre à vos questions éventuelles et, le cas échéant, établir une proposition destinée à assurer l’installation des correctifs désormais disponibles auprès des constructeur/éditeur.
« Ces actions préventives urgentes ne rentrent pas dans le service de couverture de votre contrat et seront donc facturées au tarif en vigueur. »
Il est à noter enfin, que COMPUTERLAND pourra éventuellement réitérer ce genre de communication à l’avenir, si un concourt de circonstances semblables devait à nouveau être rencontré.
Nous restons à votre disposition pour tout renseignement complémentaire via security@computerland.be.
Bien à vous,
COMPUTERLAND
Zscaler Officiel
12 October, 2022
Les pare-feu FortiGate et les proxys Web FortiProxy, vulnérabilité.
COMPUTERLAND aimerait porter votre attention sur une vulnérabilité critique découverte récemment affectant les firewall/pare-feu FortiGate.
La société Fortinet a corrigé une faille critique de contournement d'authentification, identifiée comme CVE-2022-40684, qui affectait les pare-feu FortiGate et les proxys Web FortiProxy. La vulnérabilité affecte les versions FortiOS de 7.0.0 à 7.0.6 et de 7.2.0 à 7.2.1.
Les versions FortiProxy de 7.0.0 à 7.0.6 et 7.2.0 sont également impactées.
À l'heure actuelle, Fortinet a connaissance d'attaques ciblées utilisant cette vulnérabilité pour pénétrer dans les systèmes des utilisateurs.
Dans ces attaques, CVE-2022-40684, "Un contournement d'authentification utilisant un chemin ou un canal alternatif [CWE-88] dans FortiOS et FortiProxy peut permettre à un attaquant non authentifié d'effectuer des opérations sur l'interface d'administration via des requêtes HTTP ou HTTPS spécialement conçues"
Bien que la découverte d’une vulnérabilité n’ait désormais plus un caractère exceptionnel, celles qui nous occupent plus particulièrement ici ont cependant un caractère inédit et/ou un degré de criticité particulièrement élevé.
Nous notons également, à la lumière du contexte international actuel (conflit en Ukraine) ou les opérations d’infiltration et de guerre électronique ont connu une intensification sensible, que ces dernières doivent être abordées avec encore plus d’appréhension.
Ces plateformes font l’objet actuellement d’une campagne ciblant spécifiquement ce constructeur, ce qui à notre connaissance n'est pas une première sachant attrait par des individus qui sont une menace persistante avancée (APT) peuvent lancer une cyberattaque ciblée et prolongée au cours de laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une période importante.
Recommandations COMPUTERLAND
Computerland recommande aux administrateurs de vérifier s'ils disposent de versions vulnérables, les clients La firme de cybersécurité a corrigé la faille avec la sortie des versions 7.0.7 ou 7.2.2 de FortiOS/FortiProxy . La société a également fourni une solution de contournement pour ceux qui ne peuvent pas déployer immédiatement les mises à jour de sécurité.
Les clients qui ne sont pas en mesure de mettre à niveau leurs systèmes doivent désactiver l'interface d'administration HTTP/HTTPS ou limiter les adresses IP qui peuvent l'atteindre.
Aujourd'hui, la société a confirmé aujourd'hui que la vulnérabilité critique de contournement d'authentification est exploitée à l'état sauvage.
"Fortinet est au courant d'une instance où cette vulnérabilité a été exploitée et recommande de valider immédiatement vos systèmes par rapport à l'indicateur de compromis suivant dans les journaux de l'appareil : user="Local_Process_Access"".
Si tel est le cas, nous vous recommandons fortement d'appliquer les atténuations disponibles dès que possible.
Pour plus de renseignement à ce sujet, nous vous renvoyons vers le site du constructeur :
Les alertes sont déjà publiés sur notre twitter officiel.
COMPUTERLAND Belgium on Twitter
Pour ce faire, nous vous invitons à contacter votre responsable commercial ou votre responsable contrat (SDM). Ces derniers pourront répondre à vos questions éventuelles et, le cas échéant, établir une proposition destinée à assurer l’installation des correctifs désormais disponibles auprès des constructeur/éditeur.
« Ces actions préventives urgentes ne rentrent pas dans le service de couverture de votre contrat et seront donc facturées au tarif en vigueur. »
Il est à noter enfin, que COMPUTERLAND pourra éventuellement réitérer ce genre de communication à l’avenir, si un concourt de circonstances semblables devait à nouveau être rencontré.
Nous restons à votre disposition pour tout renseignement complémentaire via security@computerland.be.
Bien à vous,
COMPUTERLAND
Fortinet Originale Alerte
30 September, 2022
Zero-day signalées dans Microsoft Exchange Server
COMPUTERLAND aimerait porter votre attention sur une série de vulnérabilités découvertes récemment portant sur deux vulnérabilités zero-day signalées affectant Microsoft Exchange Server 2013, 2016 et 2019. La première vulnérabilité, identifiée comme CVE-2022-41040, est une vulnérabilité Server-Side Request Forgery (SSRF), tandis que la seconde, identifiée comme CVE-2022-41082, permet l'exécution de code à distance (RCE) lorsque PowerShell est accessible à l'attaquant.
À l'heure actuelle, Microsoft a connaissance d'attaques ciblées limitées utilisant les deux vulnérabilités pour pénétrer dans les systèmes des utilisateurs. Dans ces attaques, CVE-2022-41040 peut permettre à un attaquant authentifié de déclencher à distance CVE-2022-41082. Il convient de noter qu'un accès authentifié au serveur Exchange vulnérable est nécessaire pour exploiter avec succès l'une ou l'autre des deux vulnérabilités.
Bien que la découverte d’une vulnérabilité n’ait désormais plus un caractère exceptionnel, celles qui nous occupent plus particulièrement ici ont cependant un caractère inédit et/ou un degré de criticité particulièrement élevé.
Nous notons également, à la lumière du contexte international actuel (conflit en Ukraine) ou les opérations d’infiltration et de guerre électronique ont connu une intensification sensible, que ces dernières doivent être abordées avec encore plus d’appréhension.
Ces plateformes font l’objet actuellement d’une campagne ciblant spécifiquement ce constructeur, ce qui à notre connaissance n'est pas une première.
Recommandations COMPUTERLAND
Computerland recommande aux administrateurs de vérifier s'ils disposent de versions vulnérables, les clients Microsoft Exchange 2013, 2016 et 2019 sur site doivent consulter et appliquer les instructions de réécriture d'URL suivantes et bloquer les ports PowerShell distants exposés.
Si tel est le cas, nous vous recommandons fortement d'appliquer les atténuations disponibles dès que possible.
Pour plus de renseignement à ce sujet, nous vous renvoyons vers le site du constructeur :
Conseils aux clients pour les vulnérabilités Zero-day signalées dans Microsoft Exchange Server – Microsoft Security Response Center (msrc--blog-microsoft-com.translate.goog)
Les alertes sont déjà publiés sur notre twitter et aussi sur notre site officiel.
COMPUTERLAND Belgium on Twitter
Pour ce faire, nous vous invitons à contacter votre responsable commercial ou votre responsable contrat (SDM). Ces derniers pourront répondre à vos questions éventuelles et, le cas échéant, établir une proposition destinée à assurer l’installation des correctifs désormais disponibles auprès des constructeur/éditeur.
« Ces actions préventives urgentes ne rentrent pas dans le service de couverture de votre contrat et seront donc facturées au tarif en vigueur. »
Il est à noter enfin, que COMPUTERLAND pourra éventuellement réitérer ce genre de communication à l’avenir, si un concourt de circonstances semblables devait à nouveau être rencontré.
Nous restons à votre disposition pour tout renseignement complémentaire via security@computerland.be.
Bien à vous,
COMPUTERLAND
Microsoft Original Alerte
14 September, 2022
Patch Tuesday de septembre 2022 de Microsoft
Ce mois-ci, nous avons reçu des correctifs pour 79 vulnérabilités. Parmi ceux-ci,
5 sont critiques, 2 ont déjà été divulgués et 1 est déjà exploité, selon Microsoft.
La vulnérabilité exploitée est une élévation de privilèges dans Windows Common Log File System Driver
(CVE-2022-37969). Selon l'exploit, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM. Le vecteur d'attaque est local et ne nécessite aucune interaction de l'utilisateur. Le CVSS pour cette vulnérabilité est
7.8.
Parmi les vulnérabilités critiques, il y a une exécution de code à distance (RCE) affectant les extensions de protocole Windows Internet Key Exchange (IKE)
(CVE-2022-34721). Un attaquant non authentifié pourrait envoyer un paquet IP spécialement conçu à une machine cible exécutant Windows et sur laquelle IPSec est activé, ce qui pourrait permettre une exploitation de l'exécution de code à distance. Bien que cette vulnérabilité n'affecte que IKEv1, toutes les versions de Windows Servers sont affectées en tant que V1 et les paquets V2 sont acceptés. Le vecteur d'attaque est le « réseau », aucune interaction ni privilège de l'utilisateur n'est requis, et la complexité de l'attaque est faible. Cette vulnérabilité rassemble les caractéristiques d'une vulnérabilité wormable à laquelle vous devez prêter attention et appliquer le correctif dès que possible.
Le CVSS pour cette vulnérabilité est 9.80.
Une autre vulnérabilité critique est un RCE affectant Windows TCP/IP
(CVE-2022-34718). Un attaquant non authentifié pourrait envoyer un paquet IPv6 spécialement conçu à un nœud Windows où IPSec est activé, ce qui pourrait permettre une exploitation d'exécution de code à distance sur cette machine. Seuls les systèmes sur lesquels le service IPSec est en cours d'exécution sont vulnérables à cette attaque. Comme la précédente, cette vulnérabilité rassemble les caractéristiques d'une vulnérabilité wormable.
Le CVSS pour cette vulnérabilité est également de 9,80.
Recommandations COMPUTERLAND
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises
Depuis la publication, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques.
Voir le tableau de bord pour une répartition plus détaillée :
https://patchtuesdaydashboard.com/
Ce tableau représente le scoring de vulnérabilité et ses risques pour les « Mises à jour de sécurité de septembre 2022 ».
Microsoft Original Alerte
8 September, 2022
AVERTISSEMENT: WATCHGUARD A PUBLIÉ DES MISES À JOUR DE SÉCURITÉ RÉPONDANT À QUATRE VULNÉRABILITÉS AFFECTANT LES APPAREILS FIREBOX/XTM
Watchguard a publié
une mise à jour de sécurité corrigeant
quatre vulnérabilités affectant les appliances Firebox/XTM, dont l'une est activement exploitée dans la nature
(CVE-2022-31789) et une autre qui est un jour zéro
(CVE-2022-31791).
- CVE-2022-26318 permet à un attaquant distant non authentifié d'exécuter potentiellement du code arbitraire via un accès de gestion exposé.
- CVE-2022-31789 permet à un attaquant distant non authentifié de déclencher un débordement de tampon et potentiellement d'exécuter du code arbitraire en envoyant une requête malveillante aux ports de gestion exposés.
- CVE-2022-31790 permet à un attaquant distant non authentifié de récupérer les paramètres sensibles du serveur d'authentification en envoyant une requête malveillante aux terminaux d'authentification exposés.
- CVE-2022-31791 permet à un attaquant d'exécuter des commandes afin d'élever ses privilèges à l'utilisateur root.
Recommandations COMPUTERLAND
Computerland recommande aux administrateurs de vérifier s'ils disposent de versions vulnérables des appareils Watchguard Firebox/XTM. Si tel est le cas, nous vous recommandons fortement d'appliquer les correctifs disponibles dès que possible.
- Pour les correctifs CVE-2022-31789, CVE-2022-31790 et CVE-2022-31791 pour Fireware OS 12.8.1, 12.5.10 et 12.1.4.
- Pour le correctif CVE-2022-26318 vers Fireware OS 12.8, 12.7.2_U2, 12.5.9_U2, 12.1.3_U8.
Nous vous conseillons également
de ne pas exposer un accès de gestion illimité à Internet.
Source officiel:
Officiel Source d'information
29 August, 2022
Spear-phishing et AiTM utilisés pour pirater les comptes MS Office 365
Une campagne sophistiquée de BEC a été observée utilisant des attaques de spear-phishing avancées avec Adversary-in-the-Middle (AiTM) pour pirater des comptes Microsoft 365 appartenant
à des dirigeants d'entreprise.
La campagne BEC
Les e-mails de phishing indiquent à l'organisation cible que le compte bancaire d'entreprise qu'elle utilise pour envoyer les paiements habituels est gelé en raison d'un audit financier et fournit en outre de nouvelles instructions de paiement.
Ces nouvelles instructions de paiement suggèrent à la cible de basculer vers un nouveau compte bancaire d'une soi-disant prétendue filiale. Cependant, le nouveau compte bancaire appartient aux attaquants pour avoir volé des paiements.
Pour tromper les cibles, l'attaquant détourne les fils de discussion et utilise des domaines typo-squattés qui passent rapidement pour authentiques aux représentants légaux connus des victimes, les impliquant dans l'échange.
La chaîne des infections
L'attaque contre les dirigeants d'entreprise commence par un e-mail de phishing prétendant
provenir de DocuSign, la plateforme de gestion des accords électroniques largement utilisée dans les entreprises.
L'e-mail ne passe pas les contrôles DMARC, cependant, il cible les mauvaises configurations de sécurité courantes souvent utilisées pour limiter les fausses alertes de spam positives de DocuSign, permettant à l'e-mail de pénétrer dans la boîte de réception de la cible.
Lorsque la cible clique sur le bouton "Revoir le document" pour l'ouvrir, la victime atterrit sur une page de phishing sur un domaine usurpé. À cet endroit, la cible est invitée à se connecter au domaine Windows.
Utilisation des attaques AiTM pour contourner la MFA
Les attaquants semblent utiliser un framework de phishing, le proxy evilginx2, pour effectuer l'attaque AiTM.
Lorsqu'une cible entre ses informations d'identification et résout la question MFA, le proxy assis au milieu vole le cookie de session généré par le domaine Windows.
Les attaquants peuvent désormais charger les cookies de session volés dans leurs propres navigateurs pour se connecter au compte de la victime et contourner automatiquement la MFA, ce qui a été vérifié lors de la connexion précédente.
Dans l'un des cas observés, les attaquants ont ajouté un smartphone comme nouveau dispositif d'authentification pour s'assurer qu'un accès ininterrompu aux comptes compromis leur reste disponible.
De plus, les attaquants ont utilisé cette brèche furtive pour accéder exclusivement à SharePoint et Exchange. Sur la base des journaux, aucune activité n'a été détectée dans la boîte de réception de la victime, peut-être qu'elle ne lit que les e-mails.
Recommandations COMPUTERLAND
La récente campagne BEC est très sophistiquée et montre la capacité technique des attaquants derrière elle. Ainsi, les dirigeants d'entreprise doivent rester vigilants.
En cas de suspicion d'incident, il est suggéré à l'équipe de sécurité de surveiller les modifications MFA sur les comptes d'utilisateurs à l'aide des journaux d'audit Azure AD via Microsoft Sentinel.
Original recherche
27 July, 2022
Un bug critique de Samba pourrait permettre à n'importe qui de devenir administrateur de domaine - corrigez-le maintenant !
Samba est une boîte à outils open source largement utilisée qui permet non seulement aux ordinateurs Linux et Unix de communiquer facilement avec les réseaux Windows, mais aussi d'héberger un domaine Active Directory de type Windows sans aucun serveur Windows.
Samba vient d'être mis à jour pour corriger un certain nombre de vulnérabilités de sécurité, y compris un bug critique lié à la réinitialisation des mots de passe.
Comme détaillé dans les dernières notes de version de Samba,
six bugs numérotés CVE ont été corrigés, dont ces cinqs:
- CVE-2022-2031 : les utilisateurs de Samba AD peuvent contourner certaines restrictions associées à la modification des mots de passe.
- CVE-2022-32745 : les utilisateurs de Samba AD peuvent planter le processus serveur avec une requête d'ajout ou de modification LDAP.
- CVE-2022-32746 : les utilisateurs de Samba AD peuvent induire une utilisation après libération dans le processus serveur avec une requête d'ajout ou de modification LDAP.
- CVE-2022-32742 : fuite d'informations sur la mémoire du serveur via SMB1.… avec celui-ci, qui est le plus sérieux du lot, comme vous le verrez immédiatement dans la description du bug :
- CVE-2022-32744 : les utilisateurs de Samba Active Directory peuvent falsifier les demandes de changement de mot de passe pour n'importe quel utilisateur.
En théorie, le bug
CVE-2022-32744 pourrait être exploité par n'importe quel utilisateur du réseau.
En gros, les attaquants pourraient déjouer le service de changement de mot de passe de Samba, connu sous le nom de kpasswd, à travers une série de tentatives de changement de mot de passe infructueuses…
… jusqu'à ce qu'il accepte finalement une demande de changement de mot de passe autorisée par les attaquants eux-mêmes.
En termes d'argot, c'est ce que vous pourriez appeler une attaque Print Your Own Passport (PYOP), où l'on vous demande de prouver votre identité, mais vous pouvez le faire en présentant un document "officiel" que vous avez créé vous-même.
Recommandations COMPUTERLAND
Samba existe en trois versions : actuelle, antérieure et antérieure.
Les mises à jour que vous souhaitez sont les suivantes :
Si vous utilisez la version 4.16, mettez à jour la version 4.16.3 ou antérieure vers la 4.16.4.
Si vous utilisez la version 4.15, mettez à jour la version 4.15.8 ou antérieure en 4.15.9.
Si vous utilisez la version 4.14, mettez à jour la version 4.14.13 ou antérieure à la 4.14.14.
Samba Original Alerte
13 July, 2022
Microsoft Windows zero-day utilisé dans les attaques
Microsoft a ajouté une vulnérabilité d'escalade de privilèges locale activement exploitée dans le sous-système d'exécution client/serveur Windows (CSRSS) à sa liste de bugs abusés dans la nature.
Cette faille de sécurité de gravité élevée
(suivie en tant que CVE-2022-22047) affecte à la fois les plates-formes Windows serveur et client, y compris les dernières versions de Windows 11 et Windows Server 2022.
Microsoft l'a corrigé dans le cadre du correctif de juillet 2022 mardi, et l'a classé comme un jour zéro (zero day) car il a été abusé lors d'attaques avant qu'un correctif ne soit disponible.
Recommandations COMPUTERLAND
"Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises
Depuis la publication, nous recommandons de protéger vos systèmes avec cette mise à jour dès que possible pour éviter les violations et cyber attaques.
Microsoft Original Alerte
12 July, 2022
VMware corrige une faille vCenter Server révélée en novembre
Pour la petite histoire :
Huit mois après avoir révélé une faille d'escalade de privilèges très grave dans le mécanisme IWA (Integrated Windows Authentication) de vCenter Server, VMware a enfin publié un correctif pour l'une des versions concernées. Cette vulnérabilité (suivie sous le nom de CVE-2021-22048 et signalée par Yaron Zinar et Sagi Sheinfeld de CrowdStrike) affecte également les déploiements de la plate-forme de cloud hybride VMware Cloud Foundation.
Une exploitation réussie permet aux attaquants disposant d'un accès non administratif aux déploiements vCenter Server non corrigés
d'élever les privilèges à un groupe privilégié.
Selon VMware, le bug ne peut être exploité qu'à partir du même réseau physique ou logique sur lequel se trouve le serveur ciblé dans le cadre d'attaques de grande complexité nécessitant de faibles privilèges et aucune interaction de l'utilisateur (cependant, l'entrée CVE-2021-22048 du NIST NVD indique qu'il est exploitable à distance dans des attaques de faible complexité).
Malgré cela, VMware a évalué la gravité de ce bogue comme étant dans la plage de gravité Important, ce qui signifie que "l'exploitation entraîne la compromission complète de la confidentialité et/ou de l'intégrité des données utilisateur et/ou des ressources de traitement via l'assistance utilisateur ou par des attaquants authentifiés".."
Recommandations COMPUTERLAND
Solution de contournement disponible
Heureusement, bien que des correctifs soient en attente pour les autres versions concernées, VMware a fourni une solution de contournement pour supprimer le vecteur d'attaque depuis la première publication de l'avis de sécurité il y a huit mois, le 10 novembre 2021.
Pour bloquer les tentatives d'attaque, VMware conseille aux administrateurs dans un article séparé de la base de connaissances de passer à Active Directory via l'authentification LDAP OU la fédération de fournisseur d'identité pour AD FS (vSphere 7.0 uniquement) à partir de l'authentification Windows intégrée (IWA) concernée.
"L'authentification Active Directory sur LDAP n'est pas affectée par cette vulnérabilité. Cependant, VMware recommande vivement aux clients
de prévoir de passer à une autre méthode d'authentification", a déclaré la société. "Active Directory sur LDAP ne comprend pas les approbations de domaine, donc les clients qui passent à cette méthode devront configurer une source d'identité unique pour chacun de leurs domaines de confiance. La fédération de fournisseur d'identité pour AD FS n'a pas cette restriction."
VMware fournit des instructions détaillées sur le passage à Active Directory sur LDAP (voir les liens ci-dessous) et sur le passage à la fédération de fournisseur d'identité pour AD FS.
Source sur ce produit et les workaround à faire.
VMWare Alerte Originale
15 June, 2022
Multiples vulnérabilités dans VMware ESXi
De multiples vulnérabilités ont été découvertes dans VMware ESXi. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données.
SYSTÈMES AFFECTÉS
- ESXi versions 7.x antérieures à ESXi70U3e-19898904 sans le correctif de sécurité KB88632
- ESXi versions 6.7.x antérieures à ESXi670-202206101-SG sans le correctif de sécurité KB88632
- ESXi versions 6.5.x sans le correctif de sécurité KB88632
- Cloud Foundation (ESXi) 4.x toutes versions
- Cloud Foundation (ESXi) 3.x sans le correctif de sécurité KB88707
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter les avis de sécurité VMware et d'appliquer la mise à jour afin de ne pas laisser des acteurs malicieux atteindre à la confidentialité des données.
Référence CVE CVE-2022-21123
VMWare Alerte Originale
15 June, 2022
Microsoft June 2022 Patch Tuesday
Aujourd'hui, c'est le mardi du correctif de juin 2022 de Microsoft, qui s'accompagne de correctifs pour 55 vulnérabilités, y compris des correctifs pour la vulnérabilité Windows MSDT "Follina" zero-day et de nouvelles failles Intel.
Sur les 55 vulnérabilités corrigées dans la mise à jour d'aujourd'hui, trois sont classées comme "critiques" car elles permettent l'exécution de code à distance, les autres étant classées comme importantes. Cela n'inclut pas les 5 mises à jour Microsoft Edge Chromium publiées plus tôt cette semaine.
- 12 Vulnérabilités d'élévation des privilèges
- 1 Vulnérabilités de contournement des fonctionnalités de sécurité
- 27 Vulnérabilités d'exécution de code à distance
- 11 Vulnérabilités de divulgation d'informations
- 3 Vulnérabilités de déni de service
- 1 Vulnérabilité d'usurpation d'identité
Pour plus d'informations sur les mises à jour Windows non liées à la sécurité, vous pouvez lire les mises à jour actuelles de Windows 10 KB5013942 et KB5013945 et la mise à jour Windows 11 KB5014697 .
Recommandations COMPUTERLAND
Correction du jour zéro de Follina
Microsoft a corrigé la vulnérabilité zero-day Windows Follina MSDT largement exploitée, identifiée comme CVE-2022-30190 dans les mises à jour de juin 2022.
Le mois dernier, une nouvelle vulnérabilité Windows zero-day a été découverte dans des attaques qui exécutaient des commandes PowerShell malveillantes via l'outil de diagnostic Windows Microsoft (MSDT).
À l'époque, cette vulnérabilité contournait toutes les protections de sécurité, y compris la vue protégée de Microsoft Office, et exécutait les scripts PowerShell simplement en ouvrant un document Word.
Peu de temps après, les acteurs malicieux ont commencé à l'utiliser dans des attaques de phishing généralisées qui ont distribué QBot , ciblé des agences gouvernementales américaines et ciblé des médias ukrainiens .
Bien que Microsoft ait publié des atténuations pour la vulnérabilité, ils n'ont pas dit s'ils allaient la corriger.
Aujourd'hui, Microsoft a publié une mise à jour de sécurité pour la vulnérabilité Windows MSDT, et elle est incluse dans les mises à jour cumulatives de juin 2022 ou dans une mise à jour de sécurité autonome pour Windows Server.
Microsoft Original Alerte
10 June, 2022
Protéger votre organisation contre les attaques par pulvérisation de mots de passe
Messieurs, Mesdames,
A la suite de la crise géopolitique avec la Russie, Computerland aimerait renforcer votre sécurité, par la mise en place de la restriction de géolocalisation via une police de sécurité dans le « conditionnel accès ».
Une attaque par force brute est une méthode par tâtonnements utilisée pour décoder des données sensibles. Les applications les plus courantes des attaques par force brute sont le craquage des mots de passe et le craquage des clés de chiffrement.
Recommandations COMPUTERLAND
Afin de restreindre l’accès à votre tenant aux seuls pays avec lesquels vous travaillez, et bloquer le reste du monde. Ce qui réduira drastiquement toute attaque de type « attaques surface & craquage de mots de passe ».
Merci de revenir vers nous, si voulez mettre cette protection en place, vos SDM et commerciaux sont à votre disposition.
Note : « Ces actions préventives urgentes ne rentrent pas dans le service de couverture de votre contrat et seront donc facturées au tarif en vigueur. »
Merci de votre aimable compréhension,
L’équipe sécurité
COMPUTERLAND Sécurité Originale Alerte
1 June, 2022
Firefox, Thunderbird, reçoivent des correctifs pour des problèmes de sécurité critiques
Mozilla a publié des mises à jour de sécurité pour corriger les vulnérabilités dans Firefox, Firefox ESR et Thunderbird. Un attaquant pourrait exploiter certaines de ces vulnérabilités pour prendre le contrôle d’un système affecté.
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter les avis de sécurité de Mozilla pour Firefox 101, Firefox ESR 91.10 et Thunderbird 91.10 et à appliquer les mises à jour nécessaires.
Recommandations COMPUTERLAND
Mettez à jour maintenant, si vous ne l'avez pas encore fait.
La plupart des installations de Thunderbird et de Firefox
sont configurées pour se mettre à jour par défaut. Si c'est le cas, les correctifs de sécurité devraient déjà être appliqués
et vous n'avez pas à vous inquiéter.
Ce n'est cependant pas le cas pour toutes les installations. Si Firefox ou Thunderbird ne sont pas configurés pour se mettre à jour automatiquement, le correctif ne sera pas présent. Par conséquent, vous devrez appliquer manuellement la mise à jour.
Dans Firefox,
accédez à Paramètres, puis
cliquez sur Général >
Mises à jour de Firefox.
À partir de là, sélectionnez l'option la plus appropriée parmi autorisé Firefox :
- Installer automatiquement les mises à jour
- Vérifier les mises à jour et vous laisser choisir de les installer.
Le processus de mise à jour de Thunderbird est à peu près le même que celui de Firefox. Par défaut, il est configuré pour se mettre à jour manuellement, mais vous pouvez sélectionner des options similaires à celles de Firefox en utilisant l'option Avancé dans l'onglet Mises à jour.
Une fois ces deux tâches accomplies, vous ne devriez plus être menacé par l'un ou l'autre des CVE.
Mozilla Firefox Alerte Officielle
30 May, 2022
Avertissement - Vulnérabilité d'exécution du code à distance de l'outil de diagnostic du support Microsoft Windows (MSDT) CVE-2022-30190 (alias FOLLINA) activement exploitée
Des chercheurs ont identifié une vulnérabilité zero-day d'exécution du code à distance exploitant l'outil de diagnostic de support Microsoft (MSDT). Cette vulnérabilité est activement exploitée dans la nature.
Le code arbitraire s'exécute avec les privilèges de l'utilisateur actuel. Un attaquant peut enchaîner d'autres exploits pour obtenir des privilèges plus élevés.
L'attaque peut réussir sans ouvrir le fichier malveillant. La prévisualisation du fichier est suffisante.
Recommandations COMPUTERLAND
Microsoft a publié CVE-2022-30190 pour résoudre une vulnérabilité d'exécution du code à distance.
Microsoft a noté :
"Une vulnérabilité d'exécution du code à distance existe lorsque MSDT est appelé à l'aide du protocole URL à partir d'une application appelante telle que Word. Un attaquant qui parviendrait à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l'application appelante. L'attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dans le cadre autorisé par les droits de l'utilisateur.
Microsoft a publié des conseils sur la façon de répondre à cette vulnérabilité.
Autres sources :
https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e
Microsoft Original Alerte
29 May, 2022
Le logiciel malveillant EnemyBot exploite des failles critiques de VMware et de F5 BIG-IP.
Un nouveau rapport d' AT&T Alien Labs note que les dernières variantes d'EnemyBot intègrent des exploits pour 24 vulnérabilités. La plupart d'entre eux sont critiques, mais il y en a plusieurs qui n'ont même pas de numéro CVE, ce qui rend plus difficile pour les défenseurs de mettre en place des protections.
En avril, la plupart des failles concernaient les routeurs et les appareils IoT, CVE-2022-27226 (iRZ) et CVE-2022-25075 (TOTOLINK) étant parmi les plus récentes et Log4Shell étant la plus notable.
Cependant, une nouvelle variante analysée par AT&T Alien Labs incluait des exploits pour les problèmes de sécurité suivants :
Recommandations COMPUTERLAND
Les recommandations pour se protéger contre ce type de menace incluent l'application de correctifs aux produits logiciels dès que les mises à jour sont disponibles et la surveillance du trafic réseau, y compris les connexions sortantes.
En ce moment, l'objectif principal d'EnemyBot est les attaques DDoS mais d'autres possibilités sont également à envisager (par exemple, le cryptomining, l'accès), d'autant plus que le malware cible désormais des appareils plus puissants.
BleepingComputer Alerte Origniale
25 May, 2022
Microsoft va forcer de meilleurs paramètres de sécurité par défaut pour tous les tenants Azure AD
Microsoft a annoncé qu'il activerait automatiquement des paramètres par défaut sécurisés plus stricts appelés « valeurs par défaut de sécurité » sur tous les tenants Azure Active Directory (Azure AD) existants fin juin 2022.
Sécurité par défaut pour sécuriser les comptes d'utilisateurs
Une fois le déploiement commencé, les administrateurs globaux seront informés et pourront soit activer les paramètres de sécurité par défaut, soit suspendre leur application pendant 14 jours, après quoi ils seront activés automatiquement.
Une fois activés dans un tenant Azure AD, les utilisateurs devront s'inscrire à MFA dans les 14 jours à l'aide de l'application Microsoft Authenticator, les administrateurs mondiaux étant également invités à fournir un numéro de téléphone.
Les nouveaux paramètres de sécurité par défaut aideront à protéger les comptes d'utilisateurs d'entreprise contre les attaques par pulvérisation de mot de passe (Password Spray) et par hameçonnage (Phishing) en :
- Exiger que tous les utilisateurs et administrateurs s'inscrivent à MFA à l'aide de l'application Microsoft Authenticator.
- Utilisateurs difficiles avec MFA, principalement lorsqu'ils apparaissent sur un nouvel appareil ou une nouvelle application, mais plus souvent pour des rôles et des tâches critiques.
- Désactivation de l'authentification à partir de clients d'authentification hérités qui ne peuvent pas utiliser MFA.
- Protéger les administrateurs en exigeant une authentification supplémentaire à chaque fois qu'ils se connectent.
Recommandations COMPUTERLAND
Les administrateurs qui ne souhaitent pas activer les paramètres de sécurité par défaut pour leur organisation peuvent les désactiver via les propriétés Azure Active Directory ou le centre d'administration Microsoft 365 .
Cependant, cela pourrait être une mauvaise idée puisque, selon Weinert, les organisations qui laissent les valeurs par défaut de sécurité activées « connaissent 80 % moins de compromis que la population globale des tenants ».
De plus, selon les données de télémétrie de Microsoft , l'authentification MFA empêche plus de 99,9 % des attaques par compromission de compte lorsqu'elle est activée.
Microsoft Original Alerte
20 May, 2022
Les mises à jour d'urgence de Microsoft corrigent les problèmes d'authentification de Windows AD
Microsoft a publié des mises à jour d'urgence hors bande (OOB) pour résoudre les problèmes d'authentification Active Directory (AD) après l'installation sur les contrôleurs de domaine des mises à jour Windows publiées lors du Patch Tuesday du mois de mai 2022.
L'entreprise travaille depuis le 12 mai sur un correctif pour ce problème connu provoquant des échecs d'authentification pour certains services Windows.
"Après avoir installé les mises à jour publiées le 10 mai 2022 sur vos contrôleurs de domaine, vous pouvez constater des échecs d'authentification sur le serveur ou le client pour des services tels que Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) et Protected Extensible Authentication Protocol (PEAP)", explique Microsoft.
"Un problème a été trouvé concernant la façon dont le mappage des certificats aux comptes de machine est géré par le contrôleur de domaine."
Les mises à jour OOB de Windows publiées aujourd'hui sont disponibles uniquement via le catalogue de mise à jour de Microsoft et ne seront pas proposées via Windows Update.
Recommandations COMPUTERLAND
La société a publié les mises à jour cumulatives suivantes, à installer sur les contrôleurs de domaine (aucune action n'est nécessaire du côté client) :
Windows Server 2022 : KB5015013 (https://support.microsoft.com/help/5015013)
Windows Server, version 20H2 : KB5015020 (https://support.microsoft.com/help/5015020)
Windows Server 2019 : KB5015018 (https://support.microsoft.com/help/5015018)
Windows Server 2016 : KB5015019 (https://support.microsoft.com/help/5015019)
Microsoft a également publié des mises à jour autonomes :
Windows Server 2012 R2 : KB5014986 (https://support.microsoft.com/help/5014986)
Windows Server 2012 : KB5014991 (https://support.microsoft.com/help/5014991)
Windows Server 2008 R2 SP1 : KB5014987 (https://support.microsoft.com/help/5014987)
Windows Server 2008 SP2 : KB5014990 (https://support.microsoft.com/help/5014990)
Ces mises à jour peuvent être importées manuellement dans Microsoft Endpoint Configuration Manager.
Vous pouvez trouver les instructions sur le site du catalogue et les instructions de Configuration Manager sur la page Importer des mises à jour depuis le catalogue des mises à jour de Microsoft.
"Si vous utilisez les mises à jour de sécurité uniquement pour ces versions de Windows Server, vous n'avez besoin d'installer ces mises à jour que pour le mois de mai", ajoute Microsoft.
"Si vous utilisez les mises à jour des rollups mensuels, vous devrez installer à la fois la mise à jour autonome indiquée ci-dessus et les rollups mensuels publiés le 10 mai 2022."
Sources :
https://www.catalog.update.microsoft.com/Home.aspx
https://docs.microsoft.com/en-us/mem/configmgr/sum/get-started/synchronize-software-updates#import-updates-from-the-microsoft-update-catalog
BleepingComputer Alerte Origniale
19 May, 2022
QNAP avertit ses clients NAS des nouvelles attaques de ransomware DeadBolt
Le fabricant taïwanais de systèmes
de stockage en réseau (NAS) QNAP a averti jeudi ses clients qu'ils devaient sécuriser leurs appareils contre les attaques par le ransomware DeadBolt.
La société a demandé aux utilisateurs de mettre à jour leurs périphériques NAS avec la dernière version du logiciel et de s'assurer qu'ils ne sont pas exposés à un accès à distance sur Internet.
"Selon l'enquête menée par l'équipe QNAP Product Security Incident Response Team (QNAP PSIRT), l'attaque a ciblé les périphériques NAS utilisant QTS 4.3.6 et QTS 4.4.1, et les modèles affectés étaient principalement les séries TS-x51 et TS-x53", a déclaré le fabricant de NAS.
Le ransomware DeadBolt
Repéré pour la première fois dans des attaques visant des périphériques NAS QNAP à la fin du mois de janvier, le ransomware DeadBolt détourne la page de connexion du périphérique QNAP pour afficher un écran indiquant "WARNING :
Your files have been locked by DeadBolt".
Recommandations COMPUTERLAND
Nous conseillons aux clients disposant d'appareils destinés au public de prendre les mesures suivantes pour bloquer les attaques potentielles :
- Désactiver la fonction de transfert de port du routeur : Accédez à l'interface de gestion de votre routeur, vérifiez les paramètres de serveur virtuel, de NAT ou de transfert de port, et désactivez le paramètre de transfert de port du port de service de gestion du NAS (port 8080 et 433 par défaut).
- Désactivez la fonction UPnP du NAS de QNAP : Allez sur myQNAPcloud dans le menu QTS, cliquez sur "Auto Router Configuration", et désélectionnez "Enable UPnP Port forwarding".
Le fabricant du NAS fournit également des étapes détaillées sur la façon de désactiver les connexions SSH et Telnet, de changer le numéro de port du système, de modifier les mots de passe des périphériques et d'activer la protection de l'accès aux IP et aux comptes.
En avril, QNAP a également exhorté les utilisateurs de NAS à désactiver la redirection de port UPnP (Universal Plug and Play) sur leurs routeurs pour éviter de les exposer à des attaques depuis Internet.
Ceux qui ont besoin d'accéder à des périphériques NAS sans accès direct à Internet sont invités à activer la fonction VPN de leur routeur (si elle est disponible), à utiliser le service myQNAPcloud Link et le serveur VPN sur les périphériques QNAP fourni par l'application QVPN Service ou la solution SD-WAN QuWAN.
Les appareils QNAP étant également visés par d'autres familles
de ransomware telles que Qlocker et eCh0raix, tous les propriétaires devraient immédiatement prendre les mesures ci-dessus pour sécuriser leurs données contre de futures attaques.
QNAP Originale Alerte
18 May, 2022
Microsoft met en garde contre les attaques par force brute visant les serveurs MSSQL
Microsoft a mis en garde contre des attaques
par force brute visant des serveurs de bases de données Microsoft SQL Server (MSSQL) exposés à Internet et mal sécurisés, à l'aide de mots de passe faibles.
Si ce n'est pas nécessairement la première fois que les serveurs MSSQL sont visés par de telles attaques, Redmond indique que les acteurs de la menace à l'origine de cette campagne récemment observée utilisent l'outil légitime sqlps.exe comme un LOLBin (abréviation de
living-off-the-land binary).
"Les attaquants parviennent à une persistance sans fichier en faisant apparaître l'utilitaire sqlps.exe, un wrapper PowerShell pour l'exécution de cmdlets SQL, afin d'exécuter des commandes de reconnaissance et de changer le mode de démarrage du service SQL en LocalSystem", révèle l'équipe de Microsoft Security Intelligence.
Recommandations COMPUTERLAND
Pour défendre leurs serveurs MSSQL contre de telles attaques, il est conseillé aux administrateurs de ne pas les exposer à l'Internet, d'utiliser un mot de passe d'administrateur fort qui ne peut être deviné ou forcé par brute, et de placer le serveur derrière un pare-feu.
Il est conseillé aux administrateurs
de ne pas les exposer à l'Internet pour défendre leurs serveurs MSSQL contre de telles attaques.
Vous devez également :
- Utiliser un mot de passe d'administrateur fort qui ne peut pas être deviné ou forcé par brute facilement et placer le serveur derrière un pare-feu.
- Activer la journalisation pour surveiller les activités suspectes ou inattendues ou les tentatives de connexion récurrentes.
- Appliquer les dernières mises à jour de sécurité pour réduire la surface d'attaque et bloquer les attaques exploitant des exploits qui ciblent des vulnérabilités connues.
Microsoft Original Alerte
18 May, 2022
VMware corrige une faille critique de contournement d'authentification dans plusieurs produits
VMware a averti aujourd'hui ses clients de corriger immédiatement une vulnérabilité critique de contournement d'authentification "affectant les utilisateurs de domaines locaux" dans plusieurs produits, qui peut être exploitée pour obtenir des privilèges d'administrateur.
La faille
(suivie sous le nom de CVE-2022-22972) a été signalée par Bruno López d'Innotec Security, qui a constaté qu'elle avait un impact sur Workspace ONE Access, VMware Identity Manager (vIDM) et vRealize Automation.
L'exploitation réussie de la plus grave de ces vulnérabilités pourrait entraîner un contournement de l'authentification. Un acteur malveillant pourrait être en mesure d'obtenir un accès administratif. En fonction de l'autorisation associée à l'application qui exécute l'exploit, un attaquant pourrait alors installer des programmes, visualiser, modifier ou supprimer des données, etc.
Technique basée sur MITRE ATT&CK
Tactique : Défense Evasion (TA0005) :
Technique : Modifier le processus d'authentification (T1556) :
Un acteur malveillant disposant d'un accès réseau à l'interface utilisateur peut être en mesure d'obtenir un accès administratif sans avoir besoin de s'authentifier. (
CVE-2022-22972)
Tactique : Escalade de privilèges (TA0029) :
Technique : Abus du mécanisme de contrôle d'élévation (T1548) :
Un acteur malveillant ayant un accès local peut élever ses privilèges jusqu'à 'root'... (
CVE-2022-22973)
Recommandations COMPUTERLAND
Les administrateurs sont invités
à appliquer un correctif immédiatement
"Cette vulnérabilité critique doit être corrigée ou atténuée immédiatement selon les instructions de
VMSA-2022-0014", a prévenu VMware.
" Les ramifications de cette vulnérabilité sont graves. Compte tenu de la gravité de la vulnérabilité, nous recommandons fortement une action immédiate. "
La société a également corrigé une deuxième faille de sécurité d'escalade de privilèges locale de haute gravité (CVE-2022-22973) qui peut permettre aux attaquants d'élever les permissions sur les appareils non patchés jusqu'à " root ".
La liste complète des produits VMware concernés par ces bogues de sécurité comprend :
- VMware Workspace ONE Access 21.08.0.1, 21.08.0.0, 20.10.0.1, 20.10.0.0
- VMware Identity Manager 3.3.6, 3.3.5, 3.3.4, 3.3.3
- VMware vRealize Automation 7.6, 8.x
- VMware Cloud Foundation 4.3.x, 4.2.x, 4.1, 4.0.x, 3.x
- vRealize Suite Lifecycle Manager 8.x
Alors que VMware ajoute généralement une note concernant l'exploitation active à la plupart des avis de sécurité, VMware n'a pas inclus cette information dans l'avis VMSA-2022-0014 d'aujourd'hui.
VMware fournit des liens de téléchargement de correctifs et des instructions d'installation sur son site Web de base de connaissances.
Solution de contournement également disponible
VMware fournit également des solutions de contournement temporaires pour les administrateurs qui ne peuvent pas mettre à jour leurs appliances immédiatement.
Les étapes détaillées ici nécessitent que les administrateurs désactivent tous les utilisateurs à l'exception d'un administrateur provisionné et se connectent via SSH pour redémarrer le service horizon-workspace.
Si vous avez besoin d'aide pour l'installation, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et nos SDM sont à votre service.
VMSA-2022-0014: Questions & Answers | VMware
HW-156875 - Workaround instructions to address CVE-2022-22972 in Workspace ONE Access Appliance (VMware Identity Manager) (88433)
VMWare Alerte Originale
16 May, 2022
De nombreuses failles de sécurité corrigées sur iOS 15.5 et macOS 12.4 .
Le 16 mai 2022, Apple a publié des bulletins de sécurité visant à corriger des vulnérabilités liées aux produits suivants :
- iOS and iPadOS – versions antérieures à 15.5;
- macOS Big Sur – versions antérieures à 11.6.6;
- macOS Catalina – versions antérieures à 2022-004;
- macOS Monterey – versions antérieures à 12.4;
- Safari - versions antérieures à 15.5;
- tvOS – versions antérieures à 15.5;
- watchOS – versions antérieures à 8.6;
- Xcode – versions antérieures à 13.4.
L’exploitation de ces vulnérabilités pourrait mener à l’exécution de code arbitraire.
Apple a été avisé que certaines de ces vulnérabilités sont exploitées activement.
Recommandations COMPUTERLAND
Computerland recommande aux utilisateurs et aux administrateurs de consulter la page Web ci-dessous et d’appliquer les mises à jour nécessaires.
Installez immédiatement iOS 15.5 pour protéger vos données personnelles, Apple vient de débuter le déploiement de la mise à jour iOS 15.5. Celle-ci inclut de nombreux correctifs de sécurité. Vous devez l’installer dès que possible afin de sécuriser vos produits Apple.
Apple Security Updates
12 May, 2022
Ransomware-as-a-service : comprendre l'économie de la cybercriminalité et comment vous protéger
Microsoft Threat Intelligence Center (MSTIC) et l'équipe 365 Defender Threat Intelligence partagent des détails sur plusieurs écosystèmes de ransomwares utilisant le modèle Ransomware-as-a-Service (RaaS), l'importance de la visibilité inter-domaines pour trouver et expulser ces acteurs, et les meilleures pratiques que les organisations peuvent utiliser pour se protéger de ce type d'attaque de plus en plus populaire.
Dans cette catégorie de menaces, Microsoft a suivi la tendance de l'économie du gig-ransomware-as-a-service (RaaS), appelé ransomware activé par l'homme , qui reste l'une des menaces les plus percutantes pour les organisations . Nous avons inventé le terme industriel de « ransomware exploité par l'homme » pour préciser que ces menaces sont dirigées par des humains qui prennent des décisions à l'étape de leurs attaques en fonction de chaque qu'ils se trouvent dans le réseau de leur cible.
Recommandations COMPUTERLAND
Microsoft 365 Defender : visibilité inter domaine approfondie et capacités d'investigation unifiées pour se défendre contre les attaques de ransomwares
La menace multiforme des rançongiciels nécessite une approche globale de la sécurité. Les étapes que nous avons décrites ci-dessus protègent contre les schémas d'attaque courants et contribueront grandement à prévenir les attaques de ransomwares.Microsoft 365Defender est conçu pour permettre aux organisations d'appliquer facilement bon nombre de ces contrôles de sécurité.
Microsoft 365Les capacités de visibilité et de détection de pointe de Defender, démontrées dans les récentes évaluations MITRE Engenuity ATT&CK® , arrêtent automatiquement les menaces et les techniques d'attaque les plus courantes. Pour doter les organisations des outils nécessaires pour lutter contre les rançongiciels exploités par l'homme, qui, par nature, empruntent une voie unique pour chaque organisation,Microsoft 365Defender fournit des fonctionnalités d'investigation riches qui permettent aux défenseurs d'inspecter et de corriger en toute transparence les comportements malveillants dans tous les domaines.
Découvrez comment bloquer les attaques grâce à une sécurité interdomaine automatisée et à une IA intégrée avec Microsoft Defender 365.
Conformément à l'expansion récemment annoncée dans une nouvelle catégorie de services appelée Microsoft Security Experts , nous introduisons la disponibilité de Microsoft Defender Experts for Hunting pour une préversion publique. Defender Experts for Hunting est destiné aux clients qui disposent d'un centre d'opérations de sécurité robuste mais qui souhaitent que Microsoft les aide à rechercher de manière proactive les menaces dans les données Microsoft Defender, y compris les terminaux,Bureau 365, les applications cloud et l'identité.
Rejoignez notre équipe de recherche lors de l' événement numérique Microsoft Security Summit le 12 mai pour découvrir les développements que Microsoft constate dans le paysage des menaces, ainsi que la manière dont nous pouvons aider votre entreprise à atténuer ces types d'attaques. Posez vos questions les plus urgentes pendant le chat en direct Q&A. Inscrivez-vous dès aujourd'hui.
Microsoft Original Alerte
10 May, 2022
Des chercheurs développent un exploit RCE pour la dernière vulnérabilité de F5 BIG-IP
Quelques jours après que F5 a publié des correctifs pour une vulnérabilité critique d'exécution de code à distance affectant sa famille de produits BIG-IP, des chercheurs en sécurité signalent qu'ils ont pu créer un exploit pour cette faille.
Connue sous le nom de
CVE-2022-1388 (score CVSS : 9,8), la faille concerne un contournement de l'authentification REST d'iControl qui, s'il est exploité avec succès, peut conduire à une exécution de code à distance, permettant à un attaquant d'obtenir un accès initial et de prendre le contrôle d'un système affecté.
Cela peut aller du déploiement de
mineurs de crypto-monnaies au lancement de shells web pour des
attaques de suivi, comme le vol d'informations et les ransomwares.
La vulnérabilité de sécurité critique a des répercussions sur les versions suivantes des produits BIG-IP
16.1.0 - 16.1.2
15.1.0 - 15.1.5
14.1.0 - 14.1.4
13.1.0 - 13.1.4
12.1.0 - 12.1.6
11.6.1 - 11.6.5
Recommandations COMPUTERLAND
COMPUTERLAND recommande aux administrateurs système des dispositifs de réseau F5 BIG-IP de mettre à jour leurs dispositifs dès que possible "Patch ASAP !" Les mise à jour sont disponibles dans les versions 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 et 13.1.5.
Suivez le guide d'atténuation sur le site Web de F5 uniquement si aucun correctif n'est disponible pour votre appareil actuel car les versions 11.x et 12.x du micrologiciel ne recevront pas de mises à jour de sécurité et les utilisateurs qui dépendent de ces versions doivent envisager de passer à une version plus récente ou d'appliquer les solutions de contournement suivantes :
- Bloquer l'accès à iControl REST par l'intermédiaire d'un système d'authentification.
- Bloquer l'accès REST d'iControl via l'adresse IP personnelle.
- Bloquer l'accès REST d'iControl via l'interface de gestion, et Modifier la configuration de BIG-IP httpd.
Note : Le chercheur en sécurité Kevin Beaumont a signalé des tentatives d'exploitation actives détectées dans la nature, tout en signalant la disponibilité d'une preuve de concept (PoC) publique pour la faille d'exécution de code. Ainsi
"Nous avons reproduit le frais CVE-2022-1388 dans le BIG-IP de F5", a déclaré la société de cybersécurité Positive Technologies dans un tweet.
Source:
- https://twitter.com/GossiTheDog/status/1523566937414193153
- https://twitter.com/GossiTheDog/status/1523222846474014720
- https://twitter.com/ptswarm/status/1522873828896034816
- Threat Actors Are Exploiting a Critical F5 BIG-IP Vulnerability (heimdalsecurity.com)
- How to Check if Your F5 BIG-IP Device Is Vulnerable (darkreading.com)
- https://support.f5.com/csp/article/K55879220
Cette vulnérabilité peut permettre à un attaquant non authentifié ayant un accès réseau au système BIG-IP via le port de gestion et/ou des adresses IP autonomes d'exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers, ou de désactiver des services. Il n'y a pas d'exposition au plan de données ; il s'agit uniquement d'un problème de plan de contrôle.
BIG-IP Original alerte
10 May, 2022
De multiples failles de QNAP permettent aux attaquants d'accéder à des données sensibles et de les lire.
Le fabricant de périphériques
NAS QNAP a publié vendredi des mises à jour logicielles pour ses produits de stockage en réseau (NAS). Cette mise à jour est axée sur la correction de plusieurs failles de sécurité.
Toutes ces failles pourraient permettre aux acteurs malicieux d'accéder et de voler des données sensibles.
Parmi toutes les vulnérabilités détectées, il y en a une qui pourrait permettre aux acteurs de la menace de prendre le contrôle d'un système compromis, et elle est répertoriée sous le nom de
"CVE-2022-27588" avec un score CVSS de 9,8.
Alors que la version 5.1.6 build 20220401 de QVR et les versions ultérieures sont censées avoir corrigé cette vulnérabilité. En cas d'exploitation de cette grave vulnérabilité, un attaquant distant serait en mesure d'exécuter des commandes arbitraires sur un système QVR vulnérable.
Parmi les solutions de vidéosurveillance proposées par QNAP, QVR est l'une d'entre elles. QVR est un système de vidéosurveillance qui fonctionne sur les appareils QNAP et ne dépend d'aucun logiciel supplémentaire.
Recommandations COMPUTERLAND
Pour sécuriser votre appareil, nous vous recommandons vivement de mettre à jour votre système à la dernière version pour bénéficier des corrections de vulnérabilité.
Source:
- Multiple QNAP Flaws Let attackers to Access and Read Sensitive Data (gbhackers.com)
- https://www.qnap.com/en-in/security-advisory/qsa-22-07
QNAP Originale Alerte
10 May, 2022
Le mardi des correctifs du mois de mai 2022 de Microsoft
Ce mois-ci, nous avons reçu des correctifs pour 75 vulnérabilités de la part de Microsoft. Parmi celles-ci, 8 sont critiques
, 3 ont été précédemment divulguées, et une est déjà exploitée selon Microsoft.
La vulnérabilité déjà exploitée est une vulnérabilité d'usurpation d'identité affectant Windows LSA (
CVE-2022-26925) avec un score CVSS de 8.1.
Selon l'avis,
"Un attaquant non authentifié pourrait appeler une méthode sur l'interface LSARPC et contraindre le contrôleur de domaine à s'authentifier auprès de l'attaquant en utilisant NTLM. Cette mise à jour de sécurité détecte les tentatives de connexion anonyme dans LSARPC et les interdit."
De plus, Microsoft indique que d'autres actions, détaillées dans la KB5005413, sont nécessaires pour protéger le système après l'application du correctif.
Microsoft conseille également de donner la priorité aux contrôleurs de domaine lors de l'application des correctifs. En ce qui concerne la complexité de l'attaque, l'avis indique qu'elle est "complexe" étant donné que l'attaquant doit s'injecter dans le chemin logique du réseau entre la cible et la ressource demandée par la victime afin de lire ou de modifier les communications réseau (attaque MITM).
Le score CVSS
le plus élevé ce mois-ci (9,8) est associé à une vulnérabilité d'exécution de code à distance (RCE) affectant le système de fichiers réseau de Windows (
CVE-2022-26937). La vulnérabilité affecte la version NFSV4.1. Ainsi, à titre d'atténuation temporaire, la désactivation des versions NFSV2 et NFSV3 pourrait être utile. Une vulnérabilité similaire affectant NFS, découverte par les mêmes chercheurs, a été corrigée le mois dernier (
CVE-2022-24497).
Il existe également
un RCE CVSS 9.8 affectant Windows LDAP (
CVE-2022-22012). Selon l'avis, "cette vulnérabilité n'est exploitable que si la politique LDAP MaxReceiveBuffer est définie à une valeur supérieure à la valeur par défaut. Les systèmes avec la valeur par défaut de cette politique ne seraient pas vulnérables".
Il convient également de mentionner une vulnérabilité d'élévation de privilèges affectant Active Directory Domain Services (
CVE-2022-26923).
La vulnérabilité est présente uniquement sur les systèmes Active Directory Certificate Services du domaine. Selon l'avis, "Un utilisateur authentifié pourrait manipuler les attributs des comptes d'ordinateurs qu'il possède ou gère, et acquérir un certificat auprès des services de certification Active Directory qui permettrait une élévation de privilège".
Le CVSS de cette vulnérabilité est de 8.8.
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter l'avis de sécurité de Microsoft et d'installer les mises à jour concernant ces vulnérabilités désormais activement exploitée, et bloquer les tentatives d'exploitation en cours. Par conséquent, toute organisation doit appliquer les mises à jour de sécurité de Windows dès que possible.
N.B: Si vous n'avez pas de solution pour le patch management, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et SDM à votre service.
- Microsoft May 2022 Patch Tuesday fixes 3 zero-days, 75 flaws (bleepingcomputer.com)
- https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/May-2022.html
- Microsoft Patch Tuesday by Morphus Labs (patchtuesdaydashboard.com)
- https://isc.sans.edu/forums/diary/Microsoft+May+2022+Patch+Tuesday/28632/
Microsoft Original Alerte
9 May, 2022
Microsoft publie des correctifs pour la faille Azure permettant des attaques de type RCE
Microsoft a publié des mises à jour de sécurité pour corriger une faille de sécurité affectant les pipelines Azure
Synapse et Azure Data Factory qui pourrait permettre aux attaquants d'exécuter des commandes à distance sur l'infrastructure Integration Runtime.
L'infrastructure de calcul Integration Runtime (IR) est utilisée par les pipelines Azure Synapse et Azure Data Factory pour fournir des capacités d'intégration de données dans des environnements réseau (par exemple, flux de données, répartition des activités, exécution de paquets SQL Server Integration Services (SSIS)).
La vulnérabilité (suivie sous le nom de
CVE-2022-29972 et baptisée SynLapse par Tzah Pahima d'Orca Security) a été atténuée le 15 avril, sans preuve d'exploitation avant la publication des correctifs.
Selon les conclusions de Pahima, les attaquants peuvent exploiter ce bug pour accéder aux espaces de travail Synapse d'autres clients et les contrôler, ce qui leur permet de divulguer des données sensibles, notamment les clés de service Azure, les jetons API et les mots de passe d'autres services.
Recommandations COMPUTERLAND
Microsoft conseille de mettre à jour leurs RI auto-hébergés vers la dernière version (5.17.8154.2) disponible sur
le centre de téléchargement de Microsoft.
Note:
"Cela fonctionne sur des machines partagées avec un accès aux clés de service Azure et aux données sensibles d'autres clients. Ces zones du service ne disposent que d'une séparation au niveau des applications et ne disposent pas d'une sandbox ou d'une isolation au niveau de l'hyperviseur.
Il s'agit d'une surface d'attaque majeure qui ne correspond pas au niveau de sécurité que les clients du cloud public attendent. "
Source:
- Microsoft releases fixes for Azure flaw allowing RCE attacks (bleepingcomputer.com)
- Vulnerability mitigated in the third-party Data Connector used in Azure Synapse pipelines and Azure Data Factory (CVE-2022-29972) – Microsoft Security Response Center
- https://msrc.microsoft.com/update-guide/vulnerability/ADV220001
Microsoft Original Alerte
3 May, 2022
VEEAM Backup & Recovery: CVE-2022-26500 & VEEAM Agent for Windows : CVE-2022-26503
COMPUTERLAND aimerait porter votre attention sur une série de vulnérabilités découvertes récemment portant sur cette plateforme informatique VEEAM, présentes et exploitées chez une majorité de nos clients.
Bien que la découverte d’une vulnérabilité n’ait désormais plus un caractère exceptionnel, celles qui nous occupent plus particulièrement ici ont cependant un caractère inédit et/ou un degré de criticité particulièrement élevé.
Nous notons également, à la lumière du contexte international actuel (conflit en Ukraine) ou les opérations d’infiltration et de guerre électronique ont connu une intensification sensible, que ces dernières doivent être abordées avec encore plus d’appréhension.
Recommandations COMPUTERLAND
Ces failles de vulnérabilités touchent pour sa part l’éditeur de logiciels VEEAM et ses solutions VEEAM Agent for Windows & VEEAM Backup & Recovery.
L’éditeur propose dès à présent une série de correctifs, qu’il recommande de déployer sur les installations existantes.
Pour plus de renseignement à ce sujet, nous vous renvoyons vers le site de l’éditeur ci-dessous :
VEEAM Agent for Windows :
CVE-2022-26503 :
KB4289: CVE-2022-26503 (veeam.com)
This vulnerability is fixed in the following Veeam Agent
for Microsoft Windows patched releases:
5 (build 5.0.3.4708)
4 (build 4.0.2.2208)
VEEAM Backup & Recovery:
CVE-2022-26500 | CVE-2022-26501 (score risque de 10.0) :
KB4288: CVE-2022-26500 | CVE-2022-26501 (veeam.com)
Patches are available for the following Veeam Backup & Replication versions:
11a (build 11.0.1.1261 P20220302)
10a (build 10.0.1.4854 P20220304)
Si vous avez besoin d'aide pour l'installation, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et nos SDM sont à votre service.
Source :
https://www.cvedetails.com/cve/CVE-2022-26501/
VEEAM Originale Alerte
26 April, 2022
Vulnérabilité critique de Jira permettant à un attaquant non authentifié de contourner l'authentification
Dans un avis publié par Atlassian, la société prévient que des vulnérabilités critiques dans Seraph affectent ses produits
Jira et Jira Service Management.
Seraph est un framework qui sécurise les applications web fournies par l'entreprise. Avec Seraph, toutes les demandes de connexion et de déconnexion pour Jira et Confluence sont traitées par des éléments de base enfichables.
Vulnérabilité critique
La vulnérabilité critique a été répertoriée sous le nom de
CVE-2022-0540 avec un score de gravité de
9,9 sur
10 dans le système de notation CVSS.
Les acteurs de la menace peuvent exploiter cette vulnérabilité critique en transmettant un appel HTTP spécialement conçu aux points d'extrémité vulnérables à distance pour contourner l'authentification.
Produits concernés :
Ci-dessous nous avons mentionné tous les produits affectés et leurs versions : -
Jira Core Server, Software Server et Software Data Center avant 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x avant 8.20.6 et 8.21.x.
Jira Service Management Server et Management Data Center avant 4.13.18, les versions 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x avant 4.20.6, 4.21.x.
Alors que les versions de Jira Service Management et Jira Cloud ne sont pas vulnérables à cette vulnérabilité. De plus, si les attaquants à distance utilisent une configuration spécifique dans Seraph, ils peuvent compromettre les produits affectés uniquement.
Applications vulnérables
Cette vulnérabilité a affecté deux applications groupées pour Jira, et elles sont mentionnées ci-dessous : -.
- Insight - Gestion des actifs
- Plugin mobile
Outre les applications de la place de marché d'Atlassian, les applications tierces, comme celles développées par les clients ou non répertoriées sur la place de marché d'Atlassian, sont également à risque si elles reposent sur des configurations vulnérables.
Recommandations COMPUTERLAND
Les mises à jour de sécurité sont incluses dans les versions suivantes : -
Pour Jira Core Server, Software Server, et Software Data Center, les versions corrigées sont :
8.13.x >= 8.13.18, 8.20.x >= 8.20.6, et toutes les versions à partir de 8.22.0.
Pour Jira Service Management, les versions corrigées sont :
4.13.x >= 4.13.18, 4.20.x >= 4.20.6, et 4.22.0 et suivantes.
Il est fortement recommandé aux utilisateurs d'effectuer une mise à jour vers l'une des versions ci-dessus dès que possible afin de limiter les risques d'exploitation.
En fonction de la disponibilité de correctifs immédiats, l'entreprise propose deux options :
- La mise à jour des apps affectées vers la dernière version.
ou
- Les désactiver complètement.
En dehors de cela, il convient de noter qu'une vulnérabilité d'Atlassian Confluence qui a été activement exploitée l'année dernière pour installer des mineurs de cryptocurrency était un bug critique d'exécution de code à distance.
Jira Atlassian Originale Alerte
26 April, 2022
Le logiciel malveillant Emotet infecte à nouveau les utilisateurs après avoir réparé un programme d'installation défectueux.
La
campagne d'hameçonnage (aussi appelé Phishing) du logiciel malveillant
Emotet est à nouveau en cours après que les acteurs malicieux ont corrigé un bug empêchant les personnes d'être infectées lorsqu'elles ouvrent les pièces jointes d'un mail malveillant.
Emotet e
st une infection par un logiciel malveillant distribué par des campagnes de spam avec des pièces jointes malveillantes. Si un utilisateur ouvre la pièce jointe, des macros ou des scripts malveillants vont télécharger la DLL Emotet et la charger en mémoire.
Une fois chargé, le logiciel malveillant recherche et vole des e-mails pour les utiliser dans de futures campagnes de spam et déposer des charges utiles supplémentaires telles que
Cobalt Strike ou d'autres logiciels malveillants qui conduisent généralement à des attaques de type ransomware.
Joseph Roosen, chercheur d'Intel471, a déclaré qu'Emotet a arrêté la nouvelle campagne d'e-mails vers 00h00 UTC vendredi après avoir découvert que le bug empêchait les utilisateurs d'être infectés. Malheureusement, Emotet a corrigé le bug aujourd'hui et, une fois de plus, a commencé à spammer les utilisateurs avec des e-mails malveillants contenant des fichiers zip protégés par mot de passe et des raccourcis en pièces jointes.
Recommandations COMPUTERLAND
Si vous recevez un e-mail contenant des pièces jointes similaires protégées par un mot de passe, il est fortement conseillé de ne pas les ouvrir.
Contactez plutôt votre administrateur réseau ou la sécurité et laissez-le examiner la pièce jointe pour déterminer si elle est malveillante ou non.
La société de sécurité des e-mails Cofense a déclaré que les noms de pièces jointes utilisés dans les campagnes Emotet d'aujourd'hui sont :
form.zip
Form.zip
Electronic form.zip
PO 04252022.zip
Form - Apr 25, 2022.zip
Payment Status.zip
BANK TRANSFER COPY.zip
Transaction.zip
ACH form.zip
ACH payment info.zip
BleepingComputer Alerte Origniale
20 April, 2022
Les États-Unis et leurs alliés mettent en garde contre la menace que représente le piratage russe pour les infrastructures essentielles.
Aujourd'hui,
les autorités de cybersécurité du Five Eyes ont mis en garde les défenseurs des réseaux d'infrastructures critiques contre le risque accru que des groupes de pirates soutenus par la Russie puissent cibler des organisations à l'intérieur et à l'extérieur des frontières de l'Ukraine.
L'avertissement émane des agences de cybersécurité des États-Unis, de l'Australie, du Canada, de la Nouvelle-Zélande et du Royaume-Uni, dans un avis conjoint sur la cybersécurité contenant des informations sur les opérations de piratage soutenues par l'État russe et de ses groupes de cybercriminels affiliés à la Russie.
"
Les organisations d'infrastructures critiques doivent maintenir un état d'alerte élevé contre les cybermenaces russes.
Restez vigilants et suivez les mesures d'atténuation de notre avis conjoint pour renforcer vos réseaux informatiques dès maintenant", a averti la NSA aujourd'hui.
Recommandations COMPUTERLAND
Mesures recommandées pour protéger les réseaux contre les cybermenaces criminelles et parrainées par l'État russe, notamment les ransomwares, les logiciels malveillants destructeurs, les attaques DDoS et le cyberespionnage.
Il est conseillé de donner immédiatement la priorité:
- Aux correctifs des vulnérabilités activement exploitées,
- D'appliquer l'authentification multifactorielle (MFA),
- De sécuriser et de surveiller le protocole de bureau à distance (RDP),
- Et de sensibiliser et former les utilisateurs aux menaces et la cybersécurité.
Version originale :
CISA, FBI, NSA, and International Partners Issue Advisory on Demonstrated Threats and Capabilities of Russian State-Sponsored and Cyber Criminal Actors > National Security Agency/Central Security Service > Article
CISA Originale Alerte - Geopolitique
19 April, 2022
Des bugs dans le pilote du micrologiciel UEFI de Lenovo affectent plus de 100 modèles d'ordinateurs portables
Lenovo a publié un avis de sécurité concernant des vulnérabilités qui ont un impact sur son interface de micrologiciel extensible unifié (UEFI) chargée sur au moins 100 de ses modèles d'ordinateurs portables.
Trois problèmes de sécurité ont été découverts, deux d'entre eux permettant à un attaquant de désactiver la protection de la puce mémoire flash SPI où est stocké le micrologiciel UEFI et de désactiver la fonction de démarrage sécurisé UEFI, qui garantit que le système ne charge au démarrage que le code approuvé par le fabricant de l'équipement d'origine (OEM).
L'exploitation réussie d'une troisième, identifiée comme
CVE-2021-3970, pourrait permettre à un attaquant local d'exécuter du code arbitraire avec des privilèges élevés.
Les trois vulnérabilités ont été découvertes par les chercheurs d'ESET et signalées de manière responsable à Lenovo en octobre de l'année dernière. Elles affectent plus de 100 modèles d'ordinateurs portables grand public, notamment IdeaPad 3, Legion 5 Pro-16ACH6 H et Yoga Slim 9-14ITL05, ce qui se traduit probablement par des millions d'utilisateurs disposant d'appareils vulnérables.
Pilotes ajoutés par erreur
Les chercheurs d'ESET préviennent que les deux vulnérabilités liées à l'UEFI (CVE-2021-3971 et CVE-2021-3972) peuvent être utilisées par des attaquants pour "déployer et exécuter avec succès des implants SPI flash ou ESP."
Les deux problèmes de sécurité liés à l'UEFI dans les produits Lenovo résultent de l'introduction en production de deux pilotes de firmware UEFI - judicieusement nommés SecureBackDoor et SecureBackDoorPeim - qui ne sont utilisés que pendant le processus de fabrication.
Un avis de sécurité de Lenovo décrit les vulnérabilités comme suit :
CVE-2021-3971 : Une vulnérabilité potentielle d'un pilote utilisé au cours d'anciens processus de fabrication sur certains ordinateurs portables Lenovo grand public, inclus par erreur dans l'image du BIOS, pourrait permettre à un attaquant disposant de privilèges élevés de modifier la région de protection du micrologiciel en modifiant une variable NVRAM.
CVE-2021-3972 : Une vulnérabilité potentielle d'un pilote utilisé pendant le processus de fabrication de certains ordinateurs portables Lenovo grand public, qui n'a pas été désactivé par erreur, peut permettre à un attaquant disposant de privilèges élevés de modifier le paramètre de démarrage sécurisé en modifiant une variable NVRAM.
Une liste complète des modèles d'ordinateurs portables Lenovo concernés par chacune des trois vulnérabilités est disponible ici: https://support.lenovo.com/ro/en/product_security/len-73440#Lenovo%20Notebook .
Recommandations COMPUTERLAND
Pour se protéger contre les attaques provenant des vulnérabilités ci-dessus, Lenovo recommande aux utilisateurs des appareils concernés de mettre à jour la version du micrologiciel du système avec la dernière version disponible.
Cela peut être fait en installant la mise à jour manuellement à partir de la page d'assistance de l'appareil ou à l'aide des utilitaires de mise à jour des pilotes système fournis par l'entreprise.
Voir le site officiel: https://support.lenovo.com/ro/en/solutions/ht504759
Lenovo Originale Alerte
19 April, 2022
Les attaquants exploitent maintenant le bug de Windows Print Spooler.
L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a ajouté trois nouvelles failles de sécurité à sa liste de bogues activement exploités, dont un bug d'élévation locale des privilèges dans le spouleur d'impression de Windows.
Cette vulnérabilité de haute gravité (suivie sous le nom de
CVE-2022-22718) affecte toutes les versions de Windows selon l'avis de Microsoft et a été corrigée lors du
Patch Tuesday de février 2022.
La seule information que Microsoft a partagée au sujet de cette faille de sécurité est que les acteurs de la menace peuvent l'exploiter localement dans
des attaques peu complexes sans interaction avec l'utilisateur.
Redmond a corrigé plusieurs autres bugs de Windows Print Spooler au cours des 12 derniers mois, notamment la vulnérabilité critique d'exécution de code à distance
PrintNightmare.
Après la fuite accidentelle de détails techniques et d'un exploit de type
"proof-of-concept" (POC) pour
PrintNightmare, les administrateurs sont priés de désactiver le service Windows Print Spooler sur les contrôleurs de domaine et les systèmes non utilisés pour l'impression
afin de bloquer les attaques potentielles.
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter l'avis de sécurité de Microsoft et d'installer la mise à jour concernant la vulnérabilité CVE-2022-22718 désormais activement exploitée, et bloquer les tentatives d'exploitation en cours. Par conséquent, toute organisation doit appliquer les mises à jour de sécurité de Windows dès que possible.
N.B: Si vous n'avez pas de solution pour le patch management, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et SDM à votre service.
Microsoft Original Alerte
18 April, 2022
Le nouveau piratage de l'archiveur 7-Zip révèle une vulnérabilité Windows longtemps ignorée
Les dernières versions de 7-Zip contiennent une vulnérabilité (CVE-2022-29072) qui permet aux pirates d'obtenir des privilèges administratifs sur un système. Mais cette vulnérabilité, qui exploite le fichier d'aide de 7-Zip, devrait alarmer tous les utilisateurs de Windows, car elle met en évidence un problème séculaire sur les systèmes Windows.
Une vulnérabilité d'élévation de privilèges dans l'outil de compression de fichiers probablement le plus utilisé laisse les portes grandes ouvertes aux acteurs de la menace. Le jour zéro appelé CVE-2022-29072 résulte d'une mauvaise configuration de 7z.dll et d'un débordement de tas. Le défaut de la version 21.07 de Windows accorde aux pirates un accès non autorisé aux systèmes violés lorsqu'un fichier portant l'extension .7z est placé dans la zone Aide > Contenu. La commande génère un processus enfant sous le processus 7zFM.exe.
La vulnérabilité est exploitée depuis le 12 avril 2022 et, à l'heure actuelle,
aucun correctif n'est disponible pour corriger le bug. Le bon côté des choses est qu'il suffit de supprimer le fichier 7-zip.chm dans le répertoire d'installation de 7-Zip pour remédier à ce problème. Après cette simple procédure, les cyber-escrocs ne peuvent plus exploiter la faille CVE-2022-29072.
Recommandations COMPUTERLAND
Etre prudent avec ce logiciel, utiliser la mitigation mentioné et dès qu'il y a une mise à jour, faite le via leur site officiel :
7-Zip. Il existe d'autres alternative pour ce genre de logiciel d'archivage.
7-Zip Alert faille CVE-2022-29072 [news]
15 April, 2022
Une vulnérabilité de Cisco permet aux pirates de créer leurs propres informations d'identification.
Cisco a publié un avis de sécurité pour avertir d'une vulnérabilité critique (score CVSS v3 : 10.0), repérée sous le nom de CVE-2022-20695, ayant un impact sur le logiciel Wireless LAN Controller (WLC).
La faille de sécurité permet à des attaquants distants de se connecter à des périphériques cibles via l'interface de gestion sans utiliser de mot de passe valide.
Le bug implique l'implémentation incorrecte de l'algorithme de validation du mot de passe, ce qui permet de contourner la procédure d'authentification standard sur les configurations de périphérique non par défaut.
Cette vulnérabilité affecte les produits Cisco suivants s'ils exécutent le logiciel Cisco WLC version 8.10.151.0 ou 8.10.162.0 et si la compatibilité macfilter radius est configurée comme Autre :
Contrôleur sans fil 3504
Contrôleur sans fil 5520
Contrôleur sans fil 8540
Mobility Express
Contrôleur sans fil virtuel (vWLC)
Recommandations COMPUTERLAND
Cisco a fourni deux solutions de contournement possibles pour ceux qui ne peuvent pas mettre à jour le contrôleur LAN sans fil.
- La première option consiste à réinitialiser le mode "macfilter radius compatibility" à la valeur par défaut en lançant la commande suivante : "config macfilter radius-compat cisco".
- La deuxième option serait de changer la configuration pour d'autres modes sûrs, tels que "free", en utilisant la commande suivante : "config macfilter radius-compat free".
Au moment où nous écrivons ces lignes, Cisco n'a pas connaissance d'une exploitation active de la vulnérabilité.
Cisco Originale Alerte
14 April, 2022
La mise à jour d'urgence de Google Chrome corrige le jour zéro utilisé dans les attaques
Google a publié Chrome 100.0.4896.127 pour Windows, Mac et Linux, afin de corriger une vulnérabilité de type "zero-day" de haute gravité, activement utilisée par les acteurs de la menace dans des attaques.
"Google est conscient qu'un exploit pour CVE-2022-1364 existe dans la nature", a déclaré Google dans un avis de sécurité publié aujourd'hui.
Recommandations COMPUTERLAND
Bien que Google indique que cette mise à jour de Chrome sera déployée au cours des prochains jours/semaines, les utilisateurs peuvent la recevoir immédiatement en allant dans le menu
Chrome > Aide > À propos de Google Chrome.
Le navigateur vérifiera également automatiquement la présence de nouvelles mises à jour et les installera la prochaine fois que vous fermerez et relancerez Google Chrome.
Alerte de Google originale
14 April, 2022
Mise à jour Critique - Windows RPC - CVE-2022-26809
Microsoft a corrigé une nouvelle vulnérabilité Windows RPC CVE-2022-26809 de type zéro day exploitable et qui a un score de sécurité de 9.8, cette mise à jour suscite l'inquiétude des chercheurs en sécurité en raison de son potentiel de cyberattaques importantes et étendues une fois qu'un exploit est développé.
Impact et mitigation.
Si vous êtes arrivé jusqu'ici, vous avez probablement déjà souscrit à l'idée de fermer les ports 135/139/445 sur votre pare-feu. En général, vous ne devriez autoriser l'ouverture que des ports qui sont utilisés plutôt que de bloquer des ports spécifiques "dangereux".
Mais le blocage du trafic SMB en interne est plus délicat. Les récents exploits SMB (rappelez-vous WannaCry qui a profité de la vulnérabilité EternalBlue) ont montré à quel point ces exploits pouvaient être efficaces pour se déplacer latéralement dans les réseaux.
Les conseils de Microsoft pour sécuriser le trafic SMB (dont le lien figure dans son avis de sécurité) sont également fortement axés sur les règles de pare-feu.
Cependant, même si les administrateurs bloquent les ports 445 et 135 au niveau du périmètre, cela ne suffit pas. En effet, à moins que des mises à jour de sécurité ne soient installées, les dispositifs seront toujours vulnérables en interne aux acteurs de la menace qui compromettent un réseau.
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter l'avis de sécurité de Microsoft et d'installer la mise à jour. Par conséquent, toute organisation doit appliquer les mises à jour de sécurité de Windows dès que possible d'avril 2022.
N.B: Si vous n'avez pas de solution pour le patch management, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et SDM à votre service.
Microsoft Original Alerte
13 April, 2022
Microsoft corrige la faille de Windows attaquée et signalée par la NSA
Microsoft a publié aujourd'hui 128 correctifs dans un total de 145 CVE ce mois-ci pour des failles de sécurité dans Windows, Defender, Edge, Exchange Server, Office, SharePoint, le serveur DNS, Windows Print Spooler, et d'autres logiciels.
Une faille d'élévation de privilège dans le pilote du système de fichiers de log commun de Windows
CVE-2022-24521 est déjà exploitée dans la nature, et
a été signalée à Microsoft par la National Security Agency et des chercheurs de
CrowdStrike. "Comme cette vulnérabilité ne permet qu'une élévation de privilèges, elle est probablement associée à un autre bug du code d'exécution ", écrit ZDI dans son analyse du lot de correctifs Microsoft d'avril. "Il n'est pas précisé dans quelle mesure l'exploit est utilisé dans la nature, mais il est probablement encore ciblé à ce stade et n'est pas largement disponible.
Allez corriger vos systèmes avant que la situation ne change."
Il y a 10 vulnérabilités critiques parmi les mises à jour de sécurité d'aujourd'hui, dont deux qui, selon ZDI, pourraient être exploitées comme des vers : un bug d'exécution de code à distance dans la bibliothèque d'exécution RPC (CVE-2022-26809) et une faille du code d'exécution à distance dans le système de fichiers réseau Windows (CVE-2022-24491/24497).
Toutes les versions client et serveur de Windows prises en charge sont affectées par au moins 4 problèmes de sécurité critiques.
- Nous examinons pour vous de plus près certaines des mises à jour les plus intéressantes de ce mois-ci :
-
CVE-2022-26809 - RPC Runtime Library Remote Code Execution Vulnerability
Ce bug est classé CVSS 9.8, et l'indice d'exploitation note que l'exploitation est plus probable. La vulnérabilité pourrait permettre à un attaquant distant d'exécuter du code avec des privilèges élevés sur un système affecté. Puis qu'aucune interaction de l'utilisateur n'est requise, ces facteurs se combinent pour rendre cette vulnérabilité wormable, au moins entre les machines où le RPC peut être atteint. Cependant, le port statique utilisé ici (port TCP 135) est généralement bloqué au niveau du périmètre du réseau. Néanmoins, ce bug pourrait être utilisé pour un mouvement latéral par un attaquant
. Il faut absolument le tester et le déployer rapidement.
-
CVE-2022-24491/24497 – Windows Network File System Remote Code Execution Vulnerability
En parlant de bogues presque vermoulus, ces deux vulnérabilités NFS obtiennent également une note CVSS de 9,8 et sont répertoriées comme étant plus susceptibles d'être exploitées. Sur les systèmes où le rôle NFS est activé, un attaquant distant pourrait exécuter son code sur un système affecté avec des privilèges élevés et sans interaction de l'utilisateur. Là encore, il s'agit d'un bug transmissible, du moins entre serveurs NFS. Comme pour le RPC, il est souvent bloqué au niveau du périmètre du réseau. Cependant, Microsoft fournit des conseils sur la façon dont le multiplexeur de port RPC (port 2049) "est compatible avec les pares-feux et simplifie le déploiement de NFS."
Vérifiez vos installations et déployez rapidement ces correctifs.
-
CVE-2022-26815 - Windows DNS Server Remote Code Execution Vulnerability
Cette vulnérabilité est la plus grave des 18 ( !) bug de serveurs DNS qui ont reçu des correctifs ce mois-ci. Ce bug est également très similaire à celui qui a fait l'objet d'un correctif en février, ce qui amène à se demander si ce bug n'est pas le résultat de l'échec d'un correctif. Il y a quelques mesures d'atténuation importantes à souligner ici. La première est que les mises à jour dynamiques doivent être activées pour qu'un serveur soit affecté par ce bug. Le CVSS indique également un certain niveau de privilèges à exploiter. Néanmoins, toute chance pour un attaquant d'obtenir un RCE sur un serveur DNS est une chance de trop,
alors faites patcher vos serveurs DNS.
-
CVE-2022-26904 - Windows User Profile Service Elevation of Privilege Vulnerability
Il s'agit de l'un des bugs connus et corrigés ce mois-ci, et non seulement il existe un PoC pour cette vulnérabilité, mais également un module Metasploit. Cette vulnérabilité d'élévation de privilèges permet à un attaquant d'obtenir l'exécution de code au niveau SYSTEM sur les systèmes affectés. Il aurait, bien sûr, besoin d'un certain niveau de privilèges avant de pouvoir procéder à l'escalade. C'est pourquoi ces types de bugs sont souvent associés à des bugs d'exécution de code comme ceux d'Adobe Reader (mentionnés ci-dessus) pour prendre le contrôle total d'un système.
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter les avis de sécurité de Microsoft et d'installer les mises à jour.
N.B: Si vous n'avez pas de solution pour le patch management, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et SDM à votre service.
Microsoft Original Alerte
11 April, 2022
WatchGuard exploité par des pirates informatiques russes.
COMPURTERLAND exhorte toutes les organisations à mettre en place des correctifs pour un bogue activement exploité ayant un impact sur les appliances de pare-feu WatchGuard Firebox et XTM.
Sandworm, un groupe de pirates sponsorisé par la Russie, qui ferait partie de l'agence de renseignement militaire russe GRU, a également exploité cette faille d'escalade de privilèges de haute gravité (CVE-2022-23176) pour construire un nouveau botnet baptisé Cyclops Blink à partir de périphériques réseau WatchGuard Small Office/Home Office (SOHO) compromis.
"Les appliances WatchGuard Firebox et XTM permettent à un attaquant distant disposant d'informations d'identification non privilégiées d'accéder au système avec une session de gestion privilégiée via un accès de gestion exposé ", explique la société dans un avis de sécurité classant le bogue à un niveau de menace critique.
Plus d'information:
CISA warns orgs of WatchGuard bug exploited by Russian state hackers (bleepingcomputer.com)
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter les avis de sécurité de WatchGuard et d'installer les mises à jour.
- Améliorations et problèmes résolus dans la mise à jour
WatchGuard Fireware version 12.8 for Fireboxes
WatchGuard Originale Alerte
7 April, 2022
VMware publie des mises à jour de sécurité
VMware a publié des mises à jour de sécurité pour corriger les vulnérabilités de plusieurs produits. Un attaquant pourrait exploiter certaines de ces vulnérabilités pour prendre le contrôle d'un système affecté.
Les entreprises utilisant WMWARE doivent prendre connaissance de l'avis de sécurité publié, qui contient des versions de correctifs pour les produits suivant :
VMware Workspace ONE Access (Access)
VMware Identity Manager (vIDM)
VMware vRealize Automation (vRA)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager
VMware Horizon Client for Linux
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter les avis de sécurité VMware VMSA-2022-0011 et VMSA-2022-0012 et à appliquer les mises à jour nécessaires.
VMWare Alerte Originale
6 April, 2022
Citrix publie des mises à jour de sécurité pour son hyperviseur
Citrix a publié des mises à jour de sécurité pour corriger une vulnérabilité dans Hypervisor. Un attaquant pourrait exploiter cette vulnérabilité pour provoquer un déni de service (DoS).
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter la mise à jour de sécurité Citrix CTX390511 et à appliquer les mises à jour nécessaires.
Citrix a publié des correctifs pour résoudre ce problème. Citrix recommande aux clients concernés d'installer ces correctifs dès que leur calendrier de mise à jour le permet.
Les correctifs peuvent être téléchargés à partir des emplacements suivants :
Citrix Hypervisor 8.2 CU1 LTSR : CTX376976 - https://support.citrix.com/article/CTX376976
Citrix Hypervisor 8.2 : CTX376939 - https://support.citrix.com/article/CTX376939
Citrix XenServer 7.1 CU2 LTSR : CTX376940 - https://support.citrix.com/article/CTX376940
Citrix Originale Alerte
1 April, 2022
Spring Framework/Spring Cloud Function. Java
L'objectif de cette alerte est d'attirer l'attention sur 2 vulnérabilités dans le Spring Framework/Spring Cloud Function.
Le Framework Spring est largement utilisé par les applications d'entreprise et les services en nuage. Spring est un cadre d'application léger de la plateforme Java couramment utilisé qui permet aux développeurs de développer facilement des applications Java avec des fonctionnalités de niveau entreprise.
Spring Cloud Function est un cadre de calcul de fonctions basé sur Spring Boot, et est mis en œuvre par de nombreux géants de la technologie, notamment Apache OpenWhisk, AWS Lambda, Google Cloud Functions, MS Azure et d'autres fournisseurs de services sans serveur.
Un attaquant distant non authentifié peut exploiter la vulnérabilité. Une exploitation réussie pourrait conduire à un système entièrement compromis. Les deux vulnérabilités sont connues pour être activement exploitées dans la nature.
Recommandations COMPUTERLAND
COMPUTERLAND recommande aux administrateurs système d'appliquer des correctifs aux systèmes vulnérables dès que possible et d'analyser les journaux du système et du réseau pour détecter toute activité suspecte.
Les actions recommandées sont axées sur la vulnérabilité de Spring4shell
Créez un inventaire qui inclut tous les logiciels de votre organisation et vérifiez pour chaque entrée si le framework Spring est implémenté.
Veuillez noter que cette vulnérabilité peut également se produire dans des logiciels développés sur mesure au sein de votre organisation, ainsi que dans des suites logicielles de fournisseurs traditionnels.
Pour éviter que la bibliothèque ne soit exploitée, il est recommandé de corriger les logiciels vulnérables le plus rapidement possible.
Les correctifs sont disponibles via Spring.io
- Spring Framework versions 5.3.18 et 5.2.20
- Spring Boot versions 2.5.12 et 2.6.6
- Tomcat versions 10.0.20, 9.0.62, et 8.5.78
Les entreprises utilisant ces produits doivent prendre connaissance de l'avis de sécurité publié, qui contient des versions de correctifs et logiciels impactés
https://github.com/NCSC-NL/spring4shell
Spring4Shell Original Alerte
29 March, 2022
Vulnérabilité à l'exécution de code à distance du pare-feu Sophos
Sophos a récemment divulgué une vulnérabilité de niveau critique affectant le pare-feu Sophos version 18.5 MR3 (18.5.3) et antérieures. Cette vulnérabilité permet l'exécution de code à distance (RCE), c'est-à-dire lorsqu'un acteur malveillant accède à distance au portail utilisateur ou à l'interface Webadmin du pare-feu pour contourner l'authentification et exécuter du code arbitraire.
Recommandations COMPUTERLAND
- Les entreprises utilisant des pare-feu Sophos doivent prendre connaissance de l'avis de sécurité publié, qui contient des versions de correctifs pour les appareils en fin de vie pris en charge et non pris en charge.
- Vérifiez et configurez votre appareil à l'aide du guide des meilleures pratiques d'accès aux appareils de Sophos.
Si cette option est désactivée, pensez à activer l'option "Autoriser l'installation automatique des correctifs" pour appliquer automatiquement les correctifs lorsqu'ils sont publiés.
En savoir plus
TOP