VoltSchemer, c'est le nom d'une nouvelle technique d'attaque qui cible les smartphones par l'intermédiaire des chargeurs sans-fil. Grâce à cette technique, il est possible d'endommager la batterie du smartphone, ou dans le pire des cas, de le faire exploser.

Des chercheurs de l'Université de Floride, en collaboration avec l'entreprise CertiK, sont à l'origine de cette attaque théorique baptisée "VoltSchemer". Les résultats de leurs travaux sont disponibles dans ce document PDF de 17 pages. L'attaque VoltSchemer vise les chargeurs sans-fil et cette technique permet d'injecter une interférence électromagnétique intentionnelle (IEMI) dans les dispositifs, à partir d'un émetteur externe.

Pour mettre en pratique l'attaque, l'appareil malveillant peut être dissimulé de différentes façons, comme le montre l'image ci-dessous issue du rapport publié par les chercheurs.

D'après ces chercheurs, la technique VoltSchemer peut être utilisée pour contrôler des assistants vocaux à l'aide de commandes inaudibles, endommager l'appareil en cours de chargement via une surchauffe ou une surcharge, ou encore contourner le mécanisme de protection de la norme Qi qui permet de détecter les objets étrangers pour endommager les objets à proximité à l'aide d'un champ magnétique. Concernant la norme Qi, elle fait référence à la charge sans-fil et elle a été développée par le Wireless Power Consortium dans le but de gérer la communication entre trois éléments : l'adaptateur d'alimentation, le chargeur sans fil et l'appareil à charger.

L'appareil posé directement sur le chargeur peut surchauffer au point d'exploser ou de s'enflammer, ce qui peut être à l'origine d'un incendie. Au-delà d'endommager le smartphone posé directement sur le chargeur sans-fil, la technique peut endommager les appareils et objets aux alentours : clé USB, disque SSD, carte NFC, document avec un clip métallique, clé de voiture, etc. Voici la preuve avec cette série de photos publiées par les chercheurs :

Les appareils vulnérables

Les chercheurs en sécurité ont également indiqué qu'ils avaient testé leurs attaques sur 9 chargeurs sans-fil différents et qu'ils les avaient tous trouvés vulnérables. Ici, il est question de modèles de marques plus ou moins connues, notamment Anker, Philips, Renesas ou encore WaiWaiBear.

Il y en a surement beaucoup d'autres vulnérables puisque cette technique n'implique aucune modification sur le chargeur sans-fil ou le smartphone. Il s'agit d'exploiter une faiblesse dans le fonctionnement normal du processus de charge sans-fil.

Source

The post L’attaque VoltSchemer cible les chargeurs sans-fil et peut faire exploser votre smartphone ! first appeared on IT-Connect.

SubdoMailing, c'est le nom d'une campagne publicitaire malveillante qui est utilisée pour envoyer 5 millions d'e-mails par jour, à partir de 8 000 domaines légitimes et 13 000 sous-domaines. Faisons le point sur cette menace !

Nati Tal et Oleg Zaytsev, chercheurs en sécurité chez Guardio Labs ont mis en ligne un rapport pour évoquer cette campagne malveillante lancée en 2022. Si c'est campagne a été surnommée "SubdoMailing", ce n'est pas un hasard : les cybercriminels détournent des sous-domaines abandonnés et des domaines appartenant à des entreprises populaires pour émettre leurs e-mails malveillants.

Par exemple, les pirates utilisent des noms de domaine de MSN, McAfee, VMware, Unicef, Java.net, Marvel, Pearson, ou encore eBay. Dans le cas de VMware, les cybercriminels ont détourné le sous-domaine "cascade.cloud.vmware.com", tandis que pour MSN, ce serait le sous-domaine "marthastewart.msn.com".

L'avantage de ces domaines, c'est qu'ils semblent légitimes, aussi bien aux yeux du destinataire que des serveurs de messagerie. Ainsi, ils sont susceptibles de passer les filtres anti-spams et les mécanismes d'authentification des e-mails. Autrement dit, les e-mails malveillants parviennent à passer les contrôles SPF, DKIM et DMARC !

• Messagerie - Découverte de SPF, DKIM et DMARC

Plusieurs techniques utilisées : CNAME, SPF, etc...

Il est intéressant de noter que les cybercriminels analysent les zones DNS des domaines populaires à la recherche d'un enregistrement CNAME faisant correspondre un sous-domaine vers un domaine externe qui serait disponible. Ensuite, les cybercriminels ont eux-mêmes l'acquisition du domaine externe pour l'exploiter au sein de cette campagne malveillante. L'achat est effectué via NameCheap. Comme le montre l'exemple ci-dessous donné par les chercheurs en sécurité, le sous-domaine "marthastewart.msn.com" avait un enregistrement CNAME qui renvoyait vers "msnmarthastewartsweeps.com" mais qui n'appartenait plus à MSN (Microsoft) depuis plus de 20 ans !

Une seconde technique est utilisée et elle vise à tirer profit d'enregistrements SPF qui ne sont pas maintenus à jour. Ce qui intéresse les cybercriminels, c'est l'option "include :" puisqu'elle peut pointer vers des domaines externes qui ne sont plus enregistrés. Dans ce cas, c'est une aubaine pour les cybercriminels. Le cas du domaine SPF du domaine "swatch.com" est un parfait exemple puisqu'il fait référence à un domaine disponible à la vente : "directtoaccess.com" ! En achetant ce fameux domaine, les cybercriminels peuvent émettre des e-mails pour "swatch.com" de manière légitime !

Une campagne de phishing supplémentaire !

Que se passe-t-il si l'on clique sur le lien d'un e-mail ? Les boutons et liens intégrés dans les e-mails redirigent les utilisateurs vers différents sites contrôlés par les cybercriminels. Parfois, il s'agit simplement de sites avec de la publicité, alors que dans d'autres cas, l'utilisateur doit faire face à une alerte de sécurité pouvant mener à un vol d'informations : compte Facebook, compte iCloud, fin d'abonnement Amazon Prime, etc... Différents prétextes sont utilisés.

Résultat, les cybercriminels disposent d'un important réseau de 8 000 domaines et 13 000 sous-domaines exploité par des serveurs SMTP situés dans le monde entier ! Guardio Labs évoque près de 22 000 adresses IP uniques utilisées pour envoyer environ 5 millions d'e-mails par jour. Cette technique est bien rodée et elle se montre très efficace !

Enfin, à partir de l'outil mis en ligne par Guardio Labs, vous pouvez vérifier si votre domaine est affecté ou non :

• SubdoMailing Checker

Source

The post Cette énorme campagne de spams détourne les noms de domaine de grandes entreprises first appeared on IT-Connect.

Une faille de sécurité critique découverte dans l'application ScreenConnect Server est très appréciée par les cybercriminels. Elle est exploitée par plusieurs gangs, dont Black Basta et Bl00dy. Faisons le point.

ScreenConnect et la faille de sécurité CVE-2024-1709

Lundi 19 février 2024, ConnectWise, éditeur de la solution ScreenConnect, a mis en ligne un bulletin de sécurité pour évoquer une faille de sécurité critique présente dans la partie "Serveur" de son application : CVE-2024-1709. ScreenConnect est une solution de prise en main à distance, et vous avez la possibilité d'héberger votre propre serveur, ou d'utiliser l'infrastructure de ConnectWise.

En exploitant cette vulnérabilité, un attaquant peut contourner l'authentification et exécuter du code à distance, sans aucune interaction de la part d'un utilisateur. La vulnérabilité est facile à exploiter et implique que l'attaquant soit en mesure de communiquer avec le serveur ScreenConnect. Résultat, elle peut être utilisée pour compromettre le serveur grâce à la création d'un compte administrateur.

Le problème, c'est qu'il y a énormément de serveurs ScreenConnect exposés sur Internet : on parle de plus de 10 000 serveurs, si l'on effectue une recherche via Shodan. Seuls environ 15% de ces serveurs utilisent la version 23.9.8 permettant de se protéger.

ConnectWise invite ses utilisateurs à patcher leur serveur dès que possible : "ConnectWise recommande aux partenaires de procéder immédiatement à une mise à jour vers la version 23.9.8 ou une version plus récente afin de remédier aux vulnérabilités signalées." - D'ailleurs, vous devez suivre l'upgrade path suivant : 2.1 → 2.5 → 3.1 → 4.4 → 5.4 → 19.2 → 22.8 → 23.3 → 23.9.

Remarque : ConnectWise a également corrigé la vulnérabilité CVE-2024-1708, de type Path-traversal.

Une vulnérabilité exploitée par plusieurs groupes de cybercriminels

Depuis une semaine, et un jour après la mise en ligne du correctif de sécurité, cette vulnérabilité est exploitée massivement par les cybercriminels. D'après Shadowserver, il y a plusieurs dizaines d'adresses IP à l'origine d'attaques à destination de serveurs ScreenConnect, dans le but de les compromettre en exploitant la faille de sécurité CVE-2024-1709.

Désormais, nous savons que les gangs de ransomware Black Basta et Bl00dy sont sur le coup ! Les chercheurs de Trend Micro ont fait cette découverte lors de l'analyse de plusieurs incidents de sécurité. Après avoir compromis le serveur ScreenConnect, les pirates ont pu accéder au réseau de l'entreprise ciblée pour déployer un web shell.

Trend Micro évoque également des notes de rançon, ainsi que d'autres malwares tel que XWorm, un logiciel malveillant assez polyvalent (remote access trojan avec des fonctions de ransomware).

Si vous utilisez ScreenConnect, patchez dès que possible ! Cette faille de sécurité critique est massivement exploitée par les gangs de ransomware !

Source

The post Patchez ScreenConnect : une faille critique est exploitée par les gangs de ransomware Black Basta et Bl00dy first appeared on IT-Connect.

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publiée un nouveau document : "Panorama de la cybermenace 2023". L'occasion de faire le point sur les menaces actuelles, les tendances et les évolutions.

Si la couverture du rapport "Panorama de la cybermenace 2023" de l'ANSSI met en action un ballon de basket au milieu de dominos, ce n'est surement pas un hasard. Nous sommes à quelques mois des Jeux Olympiques de Paris 2024, et la situation est tendue et cela ne va surement pas s'arranger. Les cybercriminels vont certainement chercher à profiter de l'occasion, à leur façon.

Toujours plus d'attaques par ransomware

Même si les entreprises sont de plus en plus nombreuses à investir dans la cybersécurité pour mieux protéger leur infrastructure et leurs données, et que dans le même temps, les forces de l'ordre mènent des opérations pour démanteler les réseaux de cybercriminels (comme l'opération Cronos, par exemple), les attaques par ransomware sont toujours plus nombreuses.

À ce sujet, l'ANSSI précise : "Le nombre total d’attaques par rançongiciel portées à la connaissance de l’ANSSI est supérieur de 30% à celui constaté sur la même période en 2022."

En effet, le graphique ci-dessous qui compare 2022 et 2023 montre qu'il y a une croissance constante, année après année. Tout en sachant que ce graphique fait référence seulement aux attaques par ransomware signalées à l'ANSSI.

Dans 34% des cyberattaques par ransomware, c'est une TPE, une PME ou une ETI qui est ciblée. En seconde place, nous retrouvons les collectivités locales et territoriales, dans 24% des cas. Comme vous le savez probablement, les établissements de santé ne sont pas épargnés : ils sont victimes d'une attaque par ransomware sur 10.

Il est intéressant de noter que c'est le gang de ransomware LockBit (et ses affiliés) qui est le plus souvent à l'origine de ces attaques. Ceci est une tendance au niveau mondial, en ce qui concerne LockBit. Nous retrouvons également d'autres groupes de cybercriminels bien connus comme ALPHV/Black Cat, Akira, ou encore ESXiArgs.

"Les acteurs malveillants n’ont pas forcément besoin d’un haut niveau de sophistication pour cibler des entités de secteurs encore trop vulnérables, comme la santé et les collectivités territoriales. Les attaques informatiques à but lucratif peuvent néanmoins avoir des impacts très importants pour la réputation et la continuité d’activité de ces structures.", précise l'ANSSI. Pourtant, il y a bien des actions en cours pour sécuriser les SI de nos hôpitaux et autres établissements. C'est important de le préciser.

Bien souvent, les cybercriminels exploitent des vulnérabilités connues ou des failles de sécurité zero-day, ce qui implique deux choses : les équipes de sécurité doivent être réactives lorsqu'il y a une faille de sécurité à combler à l'aide d'un patch, et elles doivent disposer d'outils capables de détecter une éventuelle intrusion.

Les attaques DDoS, pour déstabiliser l'adversaire

Au-delà des attaques à but lucratif, les cybercriminels mènent des actions de déstabilisation par l'intermédiaire d'attaques par déni de service distribué (DDoS). Mais ce n'est pas tout, comme l'explique l'ANSSI : "Outre les attaques par DDoS, l’ANSSI a eu connaissance de campagnes de déstabilisation reposant sur l’intrusion dans un système d’information, puis son sabotage ou la publication d’informations exfiltrées." - Ceci ne concerne pas la France, mais plutôt des entreprises et entités gouvernementales ukrainiennes. Tout ceci s'est intensifié depuis le début de la guerre en Ukraine.

Ce type d'attaque pourrait tout à fait s'inviter à la fête lors des Jeux Olympiques de Paris 2024.

Les cybercriminels sont opportunistes !

Les cyberattaques ne sont pas systématiquement ciblées car les cybercriminels sont bien souvent opportunistes. En effet, ils vont chercher à exploiter des failles de sécurité critiques présentes dans des produits populaires. Même lorsque les vulnérabilités sont corrigées par l'éditeur, parfois depuis plusieurs mois, elles continuent de faire des victimes et c'est regrettable.

"Dans une part significative des cas, des correctifs étaient pourtant disponibles pour ces vulnérabilités au moment de leur exploitation, et ces dernières avaient fait l’objet d’une publication (avis, bulletin ou alerte de sécurité) sur le site du CERT-FR." - Sur IT-Connect, nous essayons également de vous sensibiliser en relayant les informations sur les dernières vulnérabilités représentant un risque élevé.

Si l'on s'intéresse au "Top 5" des vulnérabilités exploitées (au sein d'incidents où l'ANSSI est intervenue), nous retrouvons des failles de sécurité critiques, notamment celle dans le logiciel MOVEit Transfer de Progress Software. "Parmi les vulnérabilités précédemment décrites, la CVE-2021-21974 affectant VMWare ESXi et la CVE-2023-34362 affectant la solution MOVEit Secure Managed File Transfer de l’éditeur Progress Software ont donné lieu à des campagnes d’exploitation opportunistes à des fins lucratives.", précise l'ANSSI, en faisant référence aux attaques de gangs de ransomware tels que Cl0p et ESXiArgs.

Sans oublier d'autres vulnérabilités dans les produits Fortinet (notamment la faille dans le VPN SSL découverte au début de l'année 2023), Ivanti ou encore Microsoft. La France n'est pas épargnée par le fait que certaines vulnérabilités sont massivement exploitées.

L'ANSSI et les Jeux Olympiques de Paris 2024

L'ANSSI estime que les Jeux Olympiques seront une cible pour tous types de cyberattaques, et une partie du document explique le rôle de l'ANSSI dans l'organisation de cet événement. "Le pilotage de la stratégie de prévention des cyberattaques en vue des JOP2024 a été confié à l’ANSSI par la Première ministre.", peut-on lire.

Pour les JO, les actions de l'ANSSI s'articulent autour de 5 axes principaux :

• parfaire la connaissance des menaces pesant sur les Jeux
• sécuriser les systèmes d’information critiques
• protéger les données sensibles
• sensibiliser l’écosystème des Jeux
• se préparer à intervenir en cas d’attaque affectant les Jeux

En pratique, ceci se traduit notamment par la réalisation d'audit et un accompagnement technique plus ou moins poussé, en fonction des entités. L'occasion de voir où en sont les entités impliquées dans l'organisation des JO, et de définir un plan de bataille pour améliorer leur niveau de sécurité.

"Les actions de sécurisation visent à accompagner les entités impliquées de manière adaptée à leur besoin. Elles consistent en la réalisation d’audits et d’un accompagnement technique pour les entités critiques, en un programme spécifique pour les entités sensibles, et à l’accès à des outils et des services, notamment pour l’évaluation du niveau de sécurité et la gestion de crise.", précise l'agence française.

Pour accéder au document publié par l'ANSSI et en savoir plus, suivez ce lien :

• ANSSI - Panorama de la cybermenace 2023

D'ailleurs, en parlant des Jeux Olympiques, voici une information tombée hier soir : "Un ordinateur et des clés USB renfermant des plans de sécurisation des JO de Paris volés dans un train." - L'été sera chaud...

The post L’ANSSI a publié son Panorama de la cybermenace 2023 : les ransomwares toujours au top first appeared on IT-Connect.

Le piratage de Viamedis et Almerys est lourd de conséquences : moins d'un mois après ces deux incidents de sécurité, il y a déjà plus de 217 000 cas d'usurpations d'identité recensés ! Une donnée effrayante.

Rappel des faits

Le 1er février 2024, l'organisme de tiers-payant de santé Viamedis a subi une cyberattaque lors de laquelle les pirates sont parvenus à voler des documents et des informations au sujet des clients. Puis, quelques jours plus tard, c'est Almerys qui a subi le même sort.

En effet, le lundi 5 février 2024, un second organisme de tiers-payant de santé a subi une cyberattaque : Almerys. Les cybercriminels ont pu accéder au portail Almerys dédié aux professionnels de santé grâce à des identifiants et mots de passe de certains comptes de professionnels de santé clients d'Almerys.

Résultats, 33 millions de citoyens français sont plus ou moins impactés par ces incidents de sécurité, notamment, car parmi les clients de Viamedis et Almerys, il y a des mutuelles populaires.

• Les cyberattaques de Viamedis et Almerys exposent les données personnelles de millions de Français

Une vague d'usurpations d'identité

Les escrocs et les pirates sont bien décidés à tirer profit de ces incidents de sécurité. Pour eux, c'est une aubaine car il y a 33 millions de cibles potentielles... D'après l'outil de surveillance FranceVerif, ils sont déjà passés à l'action parce que dès le 16 février, il y avait déjà 96 000 usurpations d'identités recensées. Jour après jour, ce chiffre ne cesse d'augmenter. En date du 26 février 2024, FranceVerif recensait 217 000 usurpations.

En principe, ce chiffre devrait énormément augmenter dans les semaines et mois à venir puisque les enchères sont toujours en cours sur le Dark Web. Autrement dit, il reste toujours des données à vendredi. À ce sujet, FranceVerif précise : « Et nous ne sommes que sur la vente des données d’environ 300 000 personnes... il reste encore 32,7 millions de personnes dont les données n’ont pas encore été vendues. »

Dans le cas présent, l'usurpation d'identité est envisageable car les pirates disposent de presque toutes les informations nécessaires pour le faire : nom, prénom(s), date de naissance, rang de naissance, numéro de Sécurité sociale, nom de l'assureur santé et numéro de contrat de l'assureur. Tout dépend des contrôles effectués par l'opérateur que vous avez au bout du fil, car il peut manquer l'adresse e-mail et le numéro de téléphone...

D'ailleurs, le numéro de Sécurité sociale est une mine d'or car il révèle des informations sur le titulaire : sexe, année de naissance ou encore le département de naissance. En complément, n'oublions pas que les cybercriminels ont toujours la possibilité de croiser les informations entre plusieurs fuites de données, afin d'obtenir les pièces manquantes du puzzle.

Source

The post Piratage de Viamedis et Almerys : déjà 217 000 usurpations d’identité recensées ! first appeared on IT-Connect.

L'Offensive Security a mis en ligne une nouvelle version de sa distribution phare : Kali Linux ! Il est l'heure de faire le point sur Kali Linux 2024.1, qui comme son nom l'indique, est la première version de l'année 2024.

Amélioration de l'interface graphique

Cette nouvelle année est marquée par un rafraichissement du thème graphique de Kali Linux. C'est une habitude pour l'équipe de Kali de procéder à ce type de changement en début d'année, pour marquer le coup.

"Avec des mises à jour significatives du menu de démarrage, de l'affichage de la connexion et d'un ensemble de fonds d'écran captivants, à la fois pour nos éditions Kali normale et Kali Purple", précise l'équipe de Kali Linux. Une série de fonds d'écran a été dévoilée et elle est accessible via le paquet "kali-community-wallpapers".

Voici un aperçu du bureau de Kali Linux 2024.1 :

Au-delà des changements visuels, cette version apporte plusieurs nouveautés pour les utilisateurs des environnements de bureau Xfce et Gnome.

Avec Xfce, vous pouvez maintenant facilement copier votre adresse IP "VPN" dans le presse-papiers, d'un seul clic. Pour que cette fonctionnalité soit accessible, vous devez installer le paquet "xclip" sur la machine. "Grâce à cette amélioration, la gestion de vos connexions VPN sur Kali Linux devient encore plus transparente et intuitive.", peut-on lire.

Avec Gnome, Kali poursuit sa transition vers des applications basées sur GTK4 par le remplacement de la visionneuse d'images eye-of-gnome (eog) par Loupe. Par ailleurs, la dernière version du gestionnaire de fichiers Nautilus a été intégrée, ce qui permet une amélioration significative de la vitesse de recherche des fichiers.

Quatre nouveaux outils

Comme à chaque nouvelle version, de nouveaux outils sont ajoutés à Kali Linux. La version 2024.1 ajoute 4 nouveaux outils :

• blue-hydra - BlueHydra est un service de découverte de périphériques Bluetooth construit sur la base de la bibliothèque bluez.
• OpenTAXII - Implémentation du serveur TAXII d'EclecticIQ (version Python).
• readpe - Outils en ligne de commande pour manipuler les fichiers Windows PE
• snort - Célèbre système de détection et de prévention d'intrusion

Pour en savoir plus sur cette version, veuillez vous référer au site officiel de Kali Linux, via ce lien.

The post Kali Linux 2024.1 est disponible ! Quelles sont les nouveautés ? first appeared on IT-Connect.

Une faille de sécurité critique a été découverte et corrigée dans l'extension WordPress nommée LiteSpeed Cache. Il s'agit d'une extension populaire : on parle de 5 millions d'installations actives. Faisons le point.

LiteSpeed Cache est une extension pour WordPress dont l'objectif est d'améliorer la vitesse de votre site web grâce à diverses optimisations autour de la mise en cache, du chargement différé de ressources, ou encore de la minification de fichiers JavaScript et CSS. À ce jour, on compte plus de 5 millions d'installations actives de cette extension.

La faille de sécurité critique qui a fait l'objet d'un rapport détaillé sur le blog de Patchstack est associée à la référence CVE-2023-40000. Même si elle est mise en lumière seulement maintenant, elle n'est pas récente puisqu'elle a été corrigée en octobre 2023 au sein de la version 5.7.0.1 de l'extension LiteSpeed Cache. En fait, elle a été découverte le 17 octobre 2023 par Patchstack, qui l'a ensuite remonté au développeur de l'extension, qui a mis en ligne un correctif le 25 octobre 2023.

Il s'agit d'une vulnérabilité de type XSS qui est exploitable à distance, sans être authentifié. Un attaquant peut élever ses privilèges grâce à cette faille de sécurité. Le chercheur en sécurité Rafie Muhammad précise : "[Elle] pourrait permettre à n'importe quel utilisateur non authentifié de voler des informations sensibles et, dans ce cas, d'escalader les privilèges sur le site WordPress en effectuant une seule requête HTTP.

Comment se protéger ?

Depuis tout ce temps, d'autres versions de LiteSpeed Cache ont été publiées. Aujourd'hui, la dernière version est la 6.1 et elle a été publiée le 5 février 2024. Si vous effectuez un suivi régulier de vos mises à jour, vous êtes probablement déjà protégés.

Au minimum, pour vous protéger, vous devez passer sur la version 5.7.0.1 ou supérieure dès que possible.

À en croire les statistiques relatives aux versions actives, il y a encore 39,8% des installations actives qui tournent sur une version inférieure à la version 5.7 de l'extension. Sans compter 10.8% d'installations actives sur la version 5.7. Cependant, les chiffres ne sont pas assez précis pour savoir s'il s'agit de la version 5.7.0.1 ou non.

Source

The post WordPress : cette vulnérabilité dans LiteSpeed expose des millions de sites ! first appeared on IT-Connect.

Dans le domaine de la sécurité offensive, la certification professionnelle OSCP est mondialement reconnue et elle a une véritable valeur sur le marché de l'emploi. Toutefois, l'obtenir n'est pas une chose aisée. Une bonne manière de s'y préparer est de passer une autre certification : l'eCPPT. Dans cet article, nous allons vous expliquer pourquoi en comparant ces deux certifications.

La certification OSCP

Créée par la société américaine OffSec, à l'origine de la distribution Kali Linux, la certification professionnelle OSCP (Offensive Security Certified Professional) est conçue dans un but précis : vous permettre de prouver vos compétences pratiques en matière de pentest (ou tests d'intrusion, en français). Autrement dit, ce n'est pas une certification que l'on obtient par hasard.

Cette certification implique d'avoir de réelles compétences et son examen est particulièrement éprouvant sur 2 jours. En effet, lors de l'épreuve pratique, vous devez hacker plusieurs machines en un temps imparti : 23 heures et 45 minutes ! Ce n'est pas tout, puisque vous devez rendre des comptes en produisant un rapport d'audit qui doit être envoyé dans les 24 heures à l'OffSec.

Si vous souhaitez en savoir plus sur la certification OSCP, vous pouvez consulter ce précédent article :

• Comment se préparer pour obtenir la certification OSCP ?

La certification eCPPT

La certification eCPPT (Certified Professional Penetration Tester) est proposée par l'INE Security, aux côtés d'autres certifications orientées cybersécurité. À l'instar de la certification OSCP, l'examen final vise à évaluer vos compétences en pentest par la pratique : analyse et collecte d'informations sur une cible, compromission de plusieurs machines sous Windows et Linux, utilisation avancée de Metasploit, exploitation de vulnérabilités au niveau du réseau et des applications web, etc... Les sujets sont variés, et une fois cette première étape franchie, vous devez rédiger un rapport d'audit.

Différences entre OSCP et eCPPT

Ces deux certifications ont un objectif commun : vous permettre de prouver vos compétences en pentesting et hacking éthique. Alors, quelles sont les différences ? L'OSCP et l'eCPPT sont toutes les deux reconnues mondialement, même si l'OSCP a une réputation tout de même supérieure, probablement car son examen pratique demande beaucoup de rigueur et une certaine expérience en test d'intrusion.

Même si les examens visent à évaluer vos compétences en hacking et en rédaction de rapport, ils se déroulent de façon différente ! En effet, l'examen de la certification eCPPT dure 14 jours, ce qui est assurément moins stressant que dans le cas de l'OSCP où vous disposez seulement de 48 heures.

Ceci nous amène à évoquer une autre différence : le niveau de difficulté. Contrairement à l’OSCP où vous êtes livré à vous-même pour trouver les réponses, l’eCCPT a une courbe d’apprentissage moins abrupte avec un accompagnement plus structuré. Pour la plupart des candidats, la certification eCPPT est moins décourageante à obtenir que la certification OSCP. L’obtention d’eCPPT est donc un très bon moyen de se préparer à la certification reine qu’est l’OSCP.

Peu importe ce que vous choisissez, il y a un travail important à fournir afin d'être à la hauteur : un investissement personnel et du temps doit être réservé. Si vous voulez aller au bout, l’équipe d’Ambient IT ne plaisante qu’à moitié en vous disant : “Pas de Netflix, Pas de Copine, Pas d’enfant”. N'allez pas croire que l'obtention d’une certification en cybersécurité sera une formalité. Au final, si vous réussissez, vous obtenez une certification valide sans limites de temps dans un cas comme dans l'autre.

Se former pour préparer l'eCPPT ou l'OSCP

Que ce soit pour préparer l'eCPPT et/ou l'OSCP, sachez que vous pouvez être accompagné par l'organisme de formation Ambient IT. Si nous prenons l'exemple de la certification eCPPT, la formation proposée correspond à 4 jours de préparation à l'examen (soit 28 heures).

La formation de votre choix est dispensée en français par un formateur certifié qui pourra vous conseiller et vous coacher, en plus de vous aiguiser techniquement. Ceci vous permettra d'avoir une réelle stratégie pour réussir l'examen final et obtenir la certification. Un passage à l'examen officiel est également inclus dans le coût de la formation ainsi qu’un accès aux labs.

Avant d'envisager une inscription, sachez qu'il y a plusieurs prérequis techniques. En effet, il est attendu une expérience en administration Linux (Shell) et Windows, des connaissances basiques en programmation, en réseau et une maîtrise de l’anglais technique.

Pour le financement, vous pouvez utiliser votre CPF (Compte personnel de formation), comme l'indique cette page. Sachez que pour les salariés du secteur informatique (convention Syntec), l’OPCO Atlas abonde jusqu'à 4 000€ le solde CPF. Il est important de préciser que le gouvernement envisage un reste à charge de 10% pour les bénéficiaires du CPF courant 2024.

Il y a deux prochaines sessions de formation prévues : l’une au format bootcamp plus adapté pour l’OSCP et l’autre sur 4 journées en continue pour l’eCPPT. Pour vous inscrire, vous pouvez utiliser les liens suivants :

• S'inscrire à l’eCPPT du 22 au 25 avril
• S'inscrire à l’OSCP : prochain démarrage du bootcamp le 25 mars

Prêt à relever le défi et à décrocher votre première certification pentest en 2024 ?

Article sponsorisé.

The post Certifications en Cybersécurité : OSCP vs eCPPT first appeared on IT-Connect.

Dans le cadre de ses activités malveillantes, le célèbre groupe Lazarus a exploité une faille de sécurité présente dans le pilote AppLocker de Windows. Grâce à cette vulnérabilité, les hackers ont pu obtenir un accès au niveau du noyau et désactiver les outils de sécurité présents sur la machine. Faisons le point.

CVE-2024-21338, c'est la référence CVE associée à la faille de sécurité exploitée par le groupe de hackers nord-coréen Lazarus. Microsoft l'a patché le 13 février dernier, à l'occasion de son Patch Tuesday de février 2024.

Les experts d'Avast ont mis en ligne un nouveau rapport pour évoquer ces cyberattaques. Il permet d'apprendre que le groupe Lazarus a exploité cette vulnérabilité par l'intermédiaire d'une nouvelle version de son rootkit FudModule. Ce dernier est désormais plus furtif et plus difficile à détecter, en plus d'être capable de désactiver les solutions de sécurité présentes sur la machine Windows, notamment Microsoft Defender et CrowdStrike Falcon.

Avast explique également que le groupe Lazarus a exploité cette faille de sécurité en tant que zero-day, ce qui signifie qu'il n'existait pas encore de patch de sécurité. Avast a détecté cette vulnérabilité et l'a signalée à Microsoft. "L'exploitation de la vulnérabilité zero-day constitue une autre étape importante, alors que Lazarus utilisait auparavant des techniques BYOVD (Bring Your Own Vulnerable Driver) beaucoup plus bruyantes pour franchir la frontière entre l'administrateur et le noyau.", peut-on lire.

Quelles sont les versions de Windows affectées ? Quels sont les risques ?

Si l'on se réfère au site de Microsoft, nous pouvons voir que cette vulnérabilité affecte Windows 10 version 1809 et supérieur, Windows 11, ainsi que Windows Server 2019 et Windows Server 2022. "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM.", précise Microsoft.

Dans le cas présent, c'est le logiciel malveillant déployé sur la machine qui va directement exploiter cette vulnérabilité présente dans le pilote "appid.sys" utilisé par AppLocker afin d'obtenir une liste blanche d'applications. Ainsi, ils ont accès au noyau de l'OS et peuvent en prendre le contrôle.

Pour vous protéger, vous n'avez qu'une seule option : installer les dernières mises à jour sur vos machines Windows et Windows Server.

Source

The post Windows : le groupe Lazarus a exploité cette faille de sécurité zero-day dans AppLocker ! first appeared on IT-Connect.

Le spécialiste français du matériel informatique, LDLC, serait victime d'une importante fuite de données touchant 1,5 million de ses clients. Voici ce que l'on sait sur ce potentiel incident de sécurité !

Je suis à peu près certain que vous connaissez tous l'enseigne LDLC, quasi incontournable en France lorsque l'on souhaite acheter du matériel informatique, que ce soit en magasin ou en ligne. Malheureusement, LDLC serait victime d'un piratage qui aurait permis aux cybercriminels de mettre la main sur les données personnelles de 1,5 million de personnes. Il est important de préciser que la fuite de données concerne "LDLC.com" (car le groupe LDLC détient d'autres sites).

Ce jeudi 29 février 2024, l'information s'est rapidement répandue sur les réseaux sociaux, notamment par l'intermédiaire d'un tweet de Clément Domingo sur X (Twitter). Pour le moment, l'information est à prendre avec des pincettes puisque LDLC ne s'est pas exprimé officiellement. La seule chose que l'on sait, grâce à Clubic, c'est que LDLC a « enclenché une investigation » en s'appuyant sur ses « partenaires spécialisés en cybersécurité ». L'enquête est en cours pour voir si la fuite de données est avérée ou non.

Que contient cette fuite de données ?

D'après les pirates à l'origine de cette fuite de données, celle-ci contiendrait, à minima, les informations personnelles suivantes : nom, prénom, adresse e-mail, adresse postale complète, et numéros de téléphone fixe et portable. Il y aurait des informations sur les clients professionnels (ou les fournisseurs de LDLC) : raison sociale, TVA, e-mail du service comptable, délai de paiement, etc... Cette base de données est en vente sur le Dark Web.

Si vous êtes client et que vous disposez d'un compte, par précaution, et parce que 2 minutes suffiront, changez votre mot de passe sur le site LDLC.com.

Rappelons que ce n'est pas la première fois que LDLC subit une cyberattaque. En 2021, LDLC a été victime du groupe de pirates Ragnar Locker, ce qui s'est traduit par la mise en vente sur le Dark Web de données internes de LDLC.com (29 Go de données).

Source

The post Un piratage chez LDLC ? 1,5 million de données personnelles seraient en vente ! first appeared on IT-Connect.

Si vous avez acheté un ordinateur de la marque AceMagic, méfiez-vous : il s'avère que certains mini PC sont livrés avec un système d'exploitation Windows truffé de logiciels malveillants !

Depuis plusieurs années, les mini PC sont tendances, car ils sont à la fois performant et peu gourmand, que ce soit en place ou en énergie. Résultat, de nombreuses marques profitent de ce marché initialement occupé par Intel avec ses NUC.

Aujourd'hui, c'est la marque AceMagic qui appartient à l'entreprise chinoise Shenzhen Shanminheng Technology qui nous intéresse. Elle propose des ordinateurs compacts, plutôt élégants et bon marché. Il est très facile de s'en procurer un exemplaire, car ils sont vendus sur Amazon.

Le 3 février 2024, le YouTuber "The Net Guy Reviews" a eu l'occasion de tester un modèle de la marque : AceMagic AD08. Il a eu très rapidement une mauvaise surprise puisqu'une analyse Windows Defender a révélé la présence de deux malwares dans la partition de récupération de Windows.

Dans le cas présent, il s'agit de deux exécutables appelés ENDEV et EDIDEV et faisant partie des familles de logiciels malveillants Bladabindi et Redline. Il s'agit de malware de type "voleur d'informations", comme le tristement célèbre RedLine. Pour rappel, ce type de malware est susceptible de voler des mots de passe enregistrés dans les navigateurs, etc. Cela ne s'arrête pas là, car Windows Defender a également détecté d'autres spywares.

La faute d'un sous-traitant

La marque a rapidement réagi à la vidéo du YouTuber en affirmant qu'elle sous-traite la création des images Windows installées sur ses machines. Ceci interroge, clairement, et signifie aussi que ce n'est pas spécifique à ce modèle. AceMagic a réagi à la publication de cette vidéo et la marque aurait fait le nécessaire sur l'ensemble des machines en stock, et ce problème ne serait plus qu'un lointain souvenir. Toutefois, si vous avez acheté un ordinateur AceMagic avant février 2024, vous ne pourrez pas en profiter.

En résumé, lorsque l'on commande un ordinateur avec un système préinstallé, on prend le soin de réinstaller un système d'exploitation à partir d'une image officielle et saine.

Vous pouvez retrouver la vidéo par ici :

Source

The post Attention : ce mini PC était livré avec plusieurs malwares de type « infostealer » ! first appeared on IT-Connect.

Un groupe de cybercriminels associés au nom TA577 est à l'origine d'une nouvelle campagne de phishing dont l'objectif est de collecter des hash NTLM pour effectuer du détournement de comptes utilisateurs. Faisons le point sur cette menace.

Le groupe TA577 est ce que l'on appelle un "Initial access broker", c'est-à-dire qu'il est spécialisé dans le vol de données permettant l'accès à des infrastructures. Ensuite, ces données sont revendues à d'autres groupes de cybercriminels qui peuvent les utiliser au sein d'attaques. TA577 est connu pour collaborer avec d'autres gangs que vous connaissez probablement : Qbot et le ransomware Black Basta.

Les chercheurs en sécurité de chez ProofPoint ont mis en ligne un nouveau rapport pour évoquer deux campagnes de phishing initiées par TA577, les 26 et 27 février 2024. À cette occasion, le groupe de cybercriminels a envoyé des milliers d'e-mails à des centaines d'organisations dans le monde entier dans le but de voler le hash NTLM des utilisateurs pris pour cible.

Quel est l'intérêt de voler ces hash NTLM ?

Utilisé pour l'authentification Windows, notamment lorsque Kerberos ne peut pas être utilisé, l'authentification NTLM est vulnérable à différentes attaques.

Par exemple, un attaquant peut récupérer le hash NTLM et essayer de le "craquer" en mode hors ligne afin de récupérer le mot de passe du compte utilisateur en clair. Il est également possible de réutiliser tel quel le hash NTLM capturé dans une attaque de type "pass-the-hash".

Comment fonctionne la campagne de phishing de TA577 ?

Tout d'abord, sachez que cette campagne de phishing utilise la technique dite du "thread hijacking", c'est-à-dire que les e-mails semblent être des réponses à une discussion antérieure avec la cible.

Comme souvent, le danger, c'est la pièce jointe. Ici, ProofPoint explique que chaque e-mail est accompagné par une archive ZIP, et que chaque archive ZIP est unique : un destinataire = une archive ZIP. Cette archive ZIP contient un fichier HTML et dans le code source de cette page HTML, nous pouvons voir la balise META "Refresh" qui va permettre d'établir une connexion à un fichier texte situé sur un serveur distant, via le protocole SMB.

Windows va interpréter ce code HTML et tenter une connexion à la machine distante, de façon automatique. Cette connexion sera effectuée via le protocole NTLMv2, à l'aide du compte utilisateur avec lequel la victime est connectée. Ainsi, l'attaquant peut voler les hash NTLM à partir de son serveur distant où il reçoit les connexions.

Le fait d'utiliser une archive ZIP avec un fichier HTML, va permettre de s'appuyer sur un fichier local présent sur l'hôte. Si le code malveillant était présent directement dans le corps de l'e-mail (dans le code source HTML), ceci ne fonctionnerait pas. "Si l'URI du schéma de fichier était envoyé directement dans le corps du message, l'attaque ne fonctionnerait pas sur les clients de messagerie Outlook patchés depuis juillet 2023.", précise ProofPoint.

Cette campagne de phishing a pour seul objectif de collecter des hash NTLM dans le but de les revendre. Aucun malware n'est déployé sur les machines. Au-delà de chercher à désactiver le protocole NTLM sur Windows, vous pouvez déjà faire une chose : bloquer les flux SMB (ports 445 et 139) en direction d'Internet sur votre firewall.

Source

The post Authentification Windows : ces pirates volent les hash NTLM avec des e-mails malveillants ! first appeared on IT-Connect.

Apple a mis en ligne de nouvelles mises à jour de sécurité à destination des propriétaires d'iPhone et d'iPad dans le but de corriger deux failles de sécurité zero-day déjà exploitées au sein d'attaques : CVE-2024-23225 et CVE-2024-23296.

Il y a quelques heures, Apple a publié iOS 17.4 pour les iPhone et iPadOS 17.4 pour les iPad. Ces mises à jour apportent différentes nouveautés, mais elles corrigent aussi plusieurs vulnérabilités, dont deux failles de sécurité zero-day. À ce sujet, la firme de Cupertino précise ce qui suit dans son bulletin de sécurité : "Apple a pris connaissance d'un rapport selon lequel ce problème pourrait avoir été exploité."

Associées aux références CVE-2024-23225 et CVE-2024-23296, ces vulnérabilités sont présentes dans le Kernel et dans RTKit, ce qui impacte directement le noyau du système d'exploitation. En l'exploitant, un attaquant peut contourner les protections de la mémoire du noyau.

Voici les appareils impactés par ces deux vulnérabilités, et qui bénéficient d'une mise à jour :

• iPhone XS et versions ultérieures,
• iPad Pro 12,9 pouces 2e génération et versions ultérieures,
• iPad Pro 10,5 pouces,
• iPad Pro 11 pouces 1re génération et versions ultérieures,
• iPad Air 3e génération et versions ultérieures,
• iPad 6e génération et versions ultérieures,
• iPad mini 5e génération et versions ultérieures.

Sachez que si vous ne pouvez pas installer iOS 17.4 ou iPadOS 17.4, vous pouvez tout de même bénéficier d'un correctif de sécurité pour la CVE-2024-23225. En effet, Apple a également publié des versions pour ses appareils plus anciens : iOS 16.7.6 et iPadOS 16.7.6.

Pour le moment, et dans le but de préserver ses utilisateurs, Apple n'a pas dévoilé de détails techniques sur ces vulnérabilités.

Pour les utilisateurs Européens, sachez qu'iOS 17.4 et iPadOS 17.4 intègrent des modifications pour que ces systèmes soient en conformité avec le Digital Markets Act (DMA). Par exemple, il y a désormais une prise en charge des magasins d'applications tiers, et la possibilité de choisir son navigateur Web par défaut afin de ne pas imposer Safari.

Source

The post iPhone : la mise à jour iOS 17.4 corrige deux failles de sécurité zero-day déjà exploitées ! first appeared on IT-Connect.

VMware by Broadcom a publié des mises à jour de sécurité pour ses hyperviseurs VMware ESXi, Workstation et Fusion. L'objectif : corriger plusieurs vulnérabilités pouvant permettre d'accéder à l'hôte physique à partir d'une VM. Faisons le point.

Un nouveau bulletin de sécurité a été publié sur le site de VMware. Il fait référence à quatre failles de sécurité : CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255, présentes dans VMware ESXi, VMware Workstation Pro / Player, VMware Fusion Pro / Fusion et VMware Cloud Foundation.

Les failles CVE-2024-22252 et CVE-2024-22253 permettent à un attaquant, avec des droits administrateurs sur une machine virtuelle, de pouvoir exécuter du code sur l'hôte physique, c'est-à-dire sur l'hyperviseur, en agissant au nom du processus VMX. Il s'agit de faiblesses de type "Use-after free" présentes dans les contrôleurs XHCI et UHCI USB.

Par ailleurs, la faille CVE-2024-22254 présente dans VMware ESXi permet à un attaquant ayant les privilèges du processus VMX d'écrire en dehors de la région mémoire prédéterminée (donc en dehors des limites). Résultat, il peut s'échapper de la sandbox. Enfin, la vulnérabilité CVE-2024-22255 permet à un attaquant de déclencher une fuite des données en mémoire du processus VMX.

Les versions affectées

Le tableau ci-dessous, issu du site de l'éditeur, montre que VMware ESXi 7.0 et 8.0 sont dans la liste des produits affectés par ces vulnérabilités. En regardant plus attentivement le bulletin de sécurité, nous pouvons constater que ces failles affectent aussi les versions plus anciennes de VMware ESXi. VMware a fait l'effort de proposer des correctifs pour toutes les versions car ces vulnérabilités sont critiques.

Comment se protéger ?

La meilleure solution de se protéger, c'est d'installer le nouveau patch de sécurité mis en ligne par VMware pour chaque produit que vous utilisez. Voici un récapitulatif des versions à installer pour VMware ESXi :

• VMware ESXi 8.0
  • VMware ESXi 8.0 Update 2b
  • VMware ESXi 8.0 Update 1d
• VMware ESXi 7.0
  • VMware ESXi 7.0 Update 3p
• VMware ESXi 6.7
  • VMware ESXi 6.7 Update 3u
• VMware ESXi 6.5
  • VMware ESXi 6.5 Update 3v

La suite VMware Cloud Foundation (VCF) bénéficie aussi de correctifs pour les versions 5.x, 4.x et 3.x, comme l'explique cette page et celle-ci.

• VMware ESXi : comment installer une mise à jour de sécurité ?

Et pour les autres produits :

• VMware Workstation 17
  • VMware Workstation 17.5.1
• VMware Fusion 13 (macOS)
  • VMware Fusion 13.5.1

Si vous ne pouvez pas installer la mise à jour dans l'immédiat, sachez qu'il y a une solution d'atténuation qui consiste à retirer le contrôleur USB des VM. Attention, ceci peut avoir un impact et doit être fait en ayant conscience que ceci empêche l'utilisation des ports USB virtuels de la VM. Ainsi, il n'est plus possible de connecter une clé USB, par exemple.

Source

The post Patchez VMware ESXi, Workstation et Fusion pour vous protéger de 4 failles de sécurité critiques ! first appeared on IT-Connect.

Spinning YARN, c'est le nom associé à une campagne de cyberattaques qui a pour objectif de compromettre les instances Cloud sous Linux dans le but de déployer des logiciels malveillants. Les solutions ciblées : Docker, Redis, Apache Hadoop et Atlassian Confluence. Faisons le point.

D'après les chercheurs en sécurité de Cado Security, un groupe de cybercriminels cible les serveurs Cloud, soit en tirant profit de mauvaises configurations, ou en exploitant une faille de sécurité présente dans une version vulnérable. Plus précisément, les pirates ciblent Docker, Redis, Apache Hadoop ainsi que la solution Atlassian Confluence en exploitant la faille de sécurité CVE-2022-26134.

Dans un article de blog, Chris Doman, cofondateur et directeur technique de Cado Security, précise : "Les attaques sont relativement codées en dur et automatisées, de sorte qu'elles recherchent des vulnérabilités connues dans Confluence et d'autres plateformes, ainsi que des erreurs de configuration bien connues dans des plateformes telles que Redis et Docker."

Si l'on prend l'exemple de Docker, les attaquants ciblent Docker Engine API par l'intermédiaire d'une requête Web, dans le but de parvenir à exécuter du code sur l'hôte sur lequel sont exécutés les containers. Cado Security donne pour un exemple un conteneur basé sur Alpine Linux, sur lequel les cybercriminels sont parvenus à créer un montage bind pour le répertoire racine (/) du serveur hôte, vers le point de montage /mnt à l'intérieur du conteneur.

Lorsqu'une instance est compromise, les cybercriminels déploient un outil de cryptominage, ainsi qu'un reverse shell nommé Platypus qui leur assure à un accès persistant sur l'instance. Ainsi, ils peuvent utiliser cet accès pour déployer d'autres malwares par la suite. Ceci n'est pas sans rappeler les actions menées par les groupes TeamTNT et WatchDog, d'après les chercheurs en sécurité.

Docker, une cible à la mode

Cado Security alerte sur le fait que les cybercriminels s'attaquent à Docker de plus en plus fréquemment pour obtenir un accès initial sur un serveur ou un environnement complet.

"Il est bien connu que les points d'extrémité de l'API de Docker Engine sont souvent ciblés pour un accès initial. Au cours du seul premier trimestre 2024, les chercheurs de Cado Security Labs ont identifié trois nouvelles campagnes de logiciels malveillants exploitant Docker pour l'accès initial, dont celle-ci.", peut-on lire dans le rapport.

Source

The post Malware : une campagne malveillante cible les hôtes Docker, Redis, Confluence et Hadoop sous Linux first appeared on IT-Connect.

Du côté de la Suisse, le National Cyber Security Centre (NCSC) est revenu sur la fuite de données qui a fait suite à l'attaque par ransomware subie par l'entreprise Xplain. Les pirates ont bien mis en ligne des milliers de fichiers sensibles appartenant au gouvernement fédéral.

Pour information, en Suisse, le NCSC est l'équivalent de l'ANSSI en France.

Le 23 mai 2023, le célèbre gang de ransomware Play est parvenu à pirater l'infrastructure de Xplain, une entreprise importante en Suisse. Il s'agit du fournisseur de services informatiques des autorités nationales et cantonales. En juin 2023, le gang de ransomware Play avait mis en ligne sur le Dark Web les données volées, en affirmant qu'il s'agissait de données sensibles et confidentielles.

Ce jeudi 7 mars 2024, le gouvernement suisse a publié un nouveau rapport qui fait suite à l'analyse des données effectuées par le NCSC. Le gouvernement confirme que 65 000 documents gouvernementaux ont été divulgués par les cybercriminels. En fait, cela correspond à 5% de la totalité des données volées dans le cadre de cette cyberattaque, car il est question de 1,3 million de fichiers, au total.

En ce qui concerne ces 65 000 documents appartenant au gouvernement, il faut savoir que :

• 95 % de ces fichiers concernent les unités administratives du Département fédéral de justice et police (DFJP) : l'Office fédéral de la justice, l'Office fédéral de la police, le Secrétariat d'État aux migrations et le centre de services informatiques internes ISC-FDJP.
• 3 % de ces fichiers sont issus de deux entités faiblement impactées : le Département fédéral de la défense et la protection de la population et des sports (DDPS)
• Environ 5 000 documents contenaient des informations sensibles, que ce soit des données personnelles (noms, adresses électroniques, numéros de téléphone et adresses postales), des détails techniques, des informations classifiées et même des mots de passe de comptes.

Par ailleurs, le rapport précise : "En outre, 278 dossiers contenaient des informations techniques telles que de la documentation sur les systèmes informatiques, des documents sur les exigences logicielles ou des descriptions architecturales, 121 objets étaient classifiés conformément à l'ordonnance sur la protection de l'information et 4 objets contenaient des mots de passe lisibles." - Ceci représente probablement une véritable mine d'informations pour les cybercriminels qui ont pu mettre la main sur ces données.

L'analyse de ces données a nécessité plusieurs mois de travail, ce qui peut se comprendre compte tenu de la quantité de fichiers volés lors de cette cyberattaque.

Source

The post Ransomware Play : en Suisse, l’attaque de Xplain a permis de voler 65 000 documents gouvernementaux first appeared on IT-Connect.

Il y a un mois, nous apprenions l'existence d'une nouvelle faille de sécurité critique présente dans la fonction de VPN SSL des appareils FortiGate et FortiProxy de chez Fortinet. Aujourd'hui encore, il y a encore près de 150 000 équipements vulnérables. Faisons le point sur cette menace.

Rappel sur la CVE-2024-21762

La vulnérabilité associée à la référence CVE-2024-21762 est une faille de sécurité critique de type "out-of-bounds write", avec un score CVSS est de 9.6 sur 10, présente dans le système FortiOS de Fortinet. D'après l'entreprise américaine, cette vulnérabilité affecte les firewalls FortiGate et les équipements FortiProxy. En l'exploitant, un attaquant non authentifié peut exécuter du code à distance sur l'équipement pris pour cible, à l'aide d'une requête spécialement conçue dans ce but.

D'ailleurs, d'après l'agence américaine CISA, cette vulnérabilité a été activement exploitée dans la foulée de sa divulgation. La CISA avait ordonné aux agences fédérales américaines de protéger leurs appareils FortiOS contre cette vulnérabilité avant le 16 février 2024.

• En savoir plus sur la CVE-2024-21762

Près de 150 000 équipements vulnérables

D'après les derniers chiffres de The Shadowserver Foundation, au niveau mondial, il y a encore environ 150 000 équipements exposés sur Internet et vulnérables à la faille de sécurité CVE-2024-21762. Ce chiffre est fou, surtout que cette vulnérabilité a été très largement médiatisée...

Si l'on regarde la carte publiée par The Shadowserver Foundation, nous pouvons constater qu'il y a plus de 4 400 équipements Fortinet vulnérables en France, au même titre qu'au Canada, à quelques équipements près. En Suisse, il y a 1 700 équipements vulnérables, tandis qu'on en compte approximativement 1 500 pour la Belgique. À titre de comparaison, il y en a plus de 24 000 aux États-Unis.

J'en profite pour rappeler qu'il existe des correctifs de sécurité, publiés par Fortinet et disponible depuis 1 mois. Enfin, sachez que vous pouvez vérifier si votre VPN SSL est vulnérable en exécutant ce script Python développé par les chercheurs de la société BishopFox.

Source

The post Cette faille critique dans le VPN SSL de Fortinet affecte toujours près de 150 000 appareils ! first appeared on IT-Connect.

Si vous utilisez un NAS QNAP, vous devez installer la dernière mise à jour du système dès que possible ! Le fabricant taïwanais vient de corriger 3 failles de sécurité critiques ! Faisons le point.

QNAP a mis en ligne un bulletin de sécurité faisant référence à trois vulnérabilités découvertes dans ses différents systèmes : QTS, QuTS hero, QuTScloud, et myQNAPcloud. Il s'agit de systèmes utilisés par les produits de la marque, notamment les NAS.

Il est à noter que la faille de sécurité CVE-2024-21899 peut être exploitée à distance, sans être authentifié. De plus, cette vulnérabilité peut être exploitée facilement, et sans interaction de la part d'un utilisateur.

Voici ce que précise QNAP au sujet de cette faille de sécurité critique : "Si elle est exploitée, cette vulnérabilité de type improper authentication pourrait permettre aux utilisateurs de compromettre la sécurité du système via le réseau. - Même si ce n'est pas explicitement indiqué, nous pouvons imaginer que cette vulnérabilité permet de compromettre le NAS, ou d'accéder à des données.

Les deux autres vulnérabilités, associées aux références CVE-2024-21900 et CVE-2024-21901, sont aussi considérées comme critiques. La première permet d'exécuter des commandes à distance, tandis que la seconde est une injection SQL qu'un attaquant peut également exploiter à distance. Toutefois, bien qu'elles soient critiques, le risque d'exploitation est moins élevé, car il faut être authentifié pour exploiter ces deux vulnérabilités.

Quelles sont les versions affectées ?

Voici la liste des versions affectées, pour chaque système :

• QTS 5.1.x et QTS 4.5.x
• QuTS hero h5.1.x et QuTS hero h4.5.x
• QuTScloud c5.x
• myQNAPcloud 1.0.x

Comment se protéger ?

Pour vous protéger de ces failles de sécurité, vous devez utiliser l'une de ces versions :

• QTS 5.1.3.2578 build 20231110 et supérieur
• QTS 4.5.4.2627 build 20231225 et supérieur 
• QuTS hero h5.1.3.2578 build 20231110 et supérieur 
• QuTS hero h4.5.4.2626 build 20231225 et supérieur 
• QuTScloud c5.1.5.2651 et supérieur 
• myQNAPcloud 1.0.52 (2023/11/24) et supérieur

Pour le moment, rien n'indique que ces vulnérabilités sont exploitées par des cybercriminels dans le cadre d'attaques. Néanmoins, la faille de sécurité CVE-2024-21899 pourrait intéresser les pirates dans les prochaines semaines, notamment, car elle s'exploite à distance et sans être authentifié. Étant donné qu'il y a de nombreux NAS exposés sur Internet, ceci représente un réel risque.

Source

The post Patchez votre NAS QNAP pour vous protéger de ces 3 failles de sécurité critiques ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons effectuer le durcissement de configuration de machines sous Windows à l'aide d'un outil open source nommé HardeningKitty. Autrement dit, nous allons analyser la configuration de notre machine pour voir si elle répond aux bonnes pratiques en matière de sécurité.

Ceci est nécessaire car la configuration par défaut d'un système d'exploitation, que ce soit Linux ou Windows, n'est pas en adéquation avec les bonnes pratiques de sécurité. Certaines recommandations peuvent être trop contraignantes et la configuration doit être adaptée en tenant compte du contexte et des besoins de l'entreprise. Ainsi, c'est à l'administrateur système de faire le nécessaire pour améliorer la sécurité des postes de travail et des serveurs. Le hardening, ou durcissement, va permettre de réduire la surface d'attaque d'une machine.

Dans cet exemple, nous allons durcir la configuration d'un serveur Windows Server 2022, mais la procédure est identique pour une machine Windows 10 ou Windows 11 (d'ailleurs Windows 11 est utilisé pour la vidéo), ainsi que pour des versions plus anciennes de Windows Server. L'essentiel étant de récupérer l'image ISO d'installation depuis le site officiel de l'éditeur, en l'occurrence ici : Microsoft.

• Cliquez ici pour regarder la vidéo sur YouTube

II. Les guides de bonnes pratiques pour Windows

Vers qui se tourner pour obtenir des informations sur ces fameuses bonnes pratiques de configuration pour améliorer la sécurité de Windows ?

A. Microsoft Security Baselines

Tout d'abord, il faut savoir que Microsoft propose un ensemble de documents baptisés "Microsoft Security baseline" et correspondants à chaque version de Windows, Windows Server, et certaines applications comme le navigateur Microsoft Edge.

À chaque fois, Microsoft propose une documentation pour lister chaque paramètre à configurer et de quelle façon. Celle-ci est accompagnée par des modèles de GPO, ainsi que des modèles d'administration pour ces mêmes GPO (ADMX), et des scripts PowerShell.

Vous pouvez télécharger ces documents via ce lien.

B. Les guides du CIS Benchmark

Le CIS (Center for Internet Security) propose un ensemble de guides de bonnes pratiques pour de nombreux produits et services : Windows, Windows Server, Debian, Cisco, Apache, Fortinet, Google Chrome, Google Workspace, Kubernetes, SQL Server, VMware, Azure, etc... Ces guides, maintenus à jour au fil des versions, ont une excellente réputation. Ils sont très souvent utilisés comme référence lorsque l'on souhaite durcir la configuration d'un système ou d'une application.

Vous pouvez télécharger ces guides gratuitement, après avoir complété un formulaire où l'on vous demandera quelques informations vous concernant.

Si l'on prend l'exemple du guide dédié à Windows Server 2022, il contient 1065 pages. Pour chaque paramètre de configuration à modifier, vous avez une description, des notes, une explication (quel est l'intérêt d'activer / configurer tel paramètre), et les impacts potentiels. Il existe également des versions estampillées STIG (Security Technical Implementation Guide) où il y a un focus supplémentaire sur la partie cybersécurité.

Très intéressant, mais rapidement chronophage.

Vous pouvez télécharger ces guides via cette page.

C. Les autres ressources

Au-delà des ressources proposées par Microsoft et les guides du CIS, nous pouvons compter sur ceux d'autres organisations et entités : l'ANSSI en France, la BSI en Allemagne (l'équivalent de l'ANSSI), la CISA aux Etats-Unis, etc...

Mais à chaque fois, vous ferez surement le même constat :

• Comment comparer les recommandations d'un guide avec la configuration d'un serveur ou d'un poste de travail ?
• Comment configurer un serveur ou un poste de travail afin de respecter les bonnes pratiques sans devoir y passer "un temps fou" ?

C'est exactement pour répondre à ces deux problématiques que vous devez vous intéresser à HardeningKitty.

III. Découverte de HardeningKitty

A. HardeningKitty, c'est quoi ?

HardeningKitty est un outil gratuit que vous pouvez utiliser à la fois pour auditer la configuration de votre système et effectuer le durcissement de celle-ci. HardeningKitty est capable de s'appuyer sur la liste de recommandations de l'auteur de l'outil, mais également d'autres "security baselines" comme celles de Microsoft et du CIS. Ainsi, vous allez pouvoir automatiser le hardening de Windows 10, Windows 11, Windows Server, etc.

Le durcissement va modifier différents composants et services de votre système d'exploitation dans le but de réduire la surface d'attaque (ASR), configurer les journaux d'audit de Windows, configurer le pare-feu Windows Defender, activer / désactiver / configurer certaines fonctionnalités, etc. Dans une grande majorité des cas, HardeningKitty modifie le Registre pour effectuer la configuration.

Pour accéder au projet HardeningKitty sur GitHub, il y a deux liens. Un lien vers le projet source d'origine, et un lien vers un autre dépôt où vous pouvez retrouver chaque version stable signée par le certificat de scip AG. Ceci signifie que le script PowerShell d'HardeningKitty peut être exécuté sur une machine Windows même si elle autorise uniquement l'exécution de scripts signés (ceci fait écho à la stratégie d'exécution PowerShell).

• HardeningKitty - GitHub - Projet d'origine
• HardeningKitty - GitHub - Versions signées

B. Prenez des précautions

Avant d'effectuer des modifications en masse sur votre machine Windows, il est primordial d'assurer vos arrières. Autrement dit, prenez les précautions habituelles : testez les modifications sur un environnement de tests et vérifiez vos sauvegardes.

Au-delà de permettre l'audit de la configuration d'une machine, HardeningKitty peut déployer la nouvelle configuration durcie. Forcément, ceci peut être à l'origine d'un ou plusieurs effets de bords. Nous verrons également qu'il y a une fonction de "backup" dans HardeningKitty.

Remarque : vous pouvez aussi envisager d'effectuer une sauvegarde de la base de Registre Windows, et même créer un snapshot s'il s'agit d'une machine virtuelle.

IV. Utilisation d'HardeningKitty sur Windows

A. Télécharger HardeningKitty

Commencez par télécharger la dernière version signée depuis GitHub. Pour ma part, il s'agit de la version 0.9.2. Vous obtenez une archive ZIP qu'il suffit de décompresser afin d'obtenir un ensemble de fichiers, notamment le module PowerShell correspondant à HardeningKitty.

Notez également la présence du dossier "lists" qui contient un ensemble de fichiers CSV : un fichier CSV par liste de bonnes pratiques supportées par l'outil.

Nous avons à chaque fois deux fichiers CSV : un pour les paramètres de l'ordinateur (machine) et un pour les paramètres de l'utilisateur (user).

B. Sauvegarde de la configuration actuelle

Avant même d'auditer notre configuration ou d'effectuer la moindre modification sur le système, nous allons sauvegarder l'état actuel. Attention, quand vous utilisez HardeningKitty, vous devez effectuer une sauvegarde correspond à la liste ou aux listes que vous envisagez de "déployer" par la suite.

Dans cet exemple, nous allons utiliser ces deux listes :

• CIS Microsoft Windows Server 2022 (Machine) - 22H2 - 2.0.0
  • Soit le fichier : finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine.csv
• CIS Microsoft Windows Server 2022 (User) - 22H2 - 2.0.0
  • Soit le fichier : finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_user.csv

Ouvrez une console PowerShell en tant qu'administrateur afin de pouvoir utiliser l'outil.

Positionnez-vous dans le répertoire d'HardeningKitty et importez le module :

cd C:\users\Administrateur\Downloads\HardeningKitty-v.0.9.2\
Import-Module .\HardeningKitty.psm1

Pour effectuer la sauvegarde des paramètres machines et utilisateurs pour les listes évoquées ci-dessus, utilisez ces commandes :

# Paramètres machine
Invoke-HardeningKitty -Mode Config -Backup -BackupFile ".\Backup_$($env:COMPUTERNAME)_$(Get-Date -Format yyyyMMdd-hhmm)_Machine.csv" -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine.csv"
# Paramètres utilisateur
Invoke-HardeningKitty -Mode Config -Backup -BackupFile ".\Backup_$($env:COMPUTERNAME)_$(Get-Date -Format yyyyMMdd-hhmm)_User.csv" -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_user.csv"

À chaque fois, nous obtiendrons un fichier de "sauvegarde" au format CSV dont le nom sera constitué de la façon suivante :

• Backup_<nom de l'ordinateur>_<Date et heure actuelle>_<Machine ou User>.csv

Quelques secondes ou minutes sont nécessaires pour effectuer la sauvegarde.

Quand c'est fait, nous obtenons deux fichiers :

C. Auditer la configuration de la machine

La sauvegarde de la configuration étant effectuée, nous allons pouvoir auditer notre machine. Là encore, nous allons bien spécifier les noms des listes que nous souhaitons utiliser comme référence.

HardeningKitty doit être utilisé en mode "Audit" :

# Audit des paramètres machine
Invoke-HardeningKitty -Mode Audit -Log -Report -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine.csv"
# Audit des paramètres utilisateur
Invoke-HardeningKitty -Mode Audit -Log -Report -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_user.csv"

À chaque fois, HardeningKitty indique une note globale ainsi que le nombre de paramètres vérifiés et les résultats associés. Ici, nous pouvons qu'il y a eu 459 paramètres vérifiés et qu'il y en a 312 points de configuration à améliorer. L'idée étant de se concentrer en priorité sur ceux considérés comme "Medium" et "High". Imaginez un instant effectuer toutes ces corrections manuellement...

Your HardeningKitty score is: 3.57. HardeningKitty Statistics: Total checks: 459 - Passed: 147, Low: 43, Medium: 269, High: 0.

Le résultat dépend clairement de la liste utilisée. En effet, sur une même machine, mais avec la liste de vérification par défaut de l'outil (qui est le fruit de l'expertise de l'auteur de cet outil - Elle est estampillée Windows 10 !), le score obtenu est totalement différent :

Your HardeningKitty score is: 3.22. HardeningKitty Statistics: Total checks: 391 - Passed: 79, Low: 68, Medium: 243, High: 1.

Si l'on s'appuie sur la liste de Security Baseline de Microsoft pour Windows Server 2022, en prenant la configuration adaptée pour les contrôleurs de domaine (ici, l'outil est utilisé sur un DC), le résultat est encore différent :

# Exécuter l'audit :
Invoke-HardeningKitty -Mode Audit -Log -Report -FileFindingList ".\lists\finding_list_msft_security_baseline_windows_server_2022_21h2_dc_machine.csv"

# Résultat obtenu :
Your HardeningKitty score is: 3.2. HardeningKitty Statistics: Total checks: 328 - Passed: 74, Low: 27, Medium: 227, High: 0.

• Nommer le rapport d'audit

Afin de pouvoir effectuer une analyse et avoir un bon aperçu de l'état actuel de la configuration du serveur, il est préférable de générer un rapport d'audit. Ceci est déjà le cas avec le paramètre "-Report". HardeningKitty va générer un fichier CSV que l'on pourra exploiter dans Excel.

Pour créer un rapport avec le nom de votre choix, ajoutez le paramètre "-ReportFile" suivi du nom du fichier. Nous allons réutiliser la même logique pour le nom du fichier de rapport. Voici un exemple :

Invoke-HardeningKitty -Mode Audit -Log -Report -FileFindingList ".\lists\finding_list_msft_security_baseline_windows_server_2022_21h2_dc_machine.csv" -ReportFile ".\Audit_$($env:COMPUTERNAME)_$(Get-Date -Format yyyyMMdd-hhmm)_Machine.csv"

En sortie, le fichier suivant est obtenu :

Audit_SRV-ADDS-01_20240228-1259_Machine.csv

Si nous l'ouvrons avec Excel, nous pouvons appliquer différents filtres, un tri, etc... pour analyser les résultats.

• Affiner l'audit avec un filtre

Si vous souhaitez effectuer un audit en tenant compte uniquement des points dont la sévérité est élevée, vous pouvez ajouter un filtre comme ceci :

Invoke-HardeningKitty -Filter { $_.Severity -eq "High" } -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine.csv"

Lorsque la phase d'audit est terminée, vous pouvez passer à l'action : demander à HardeningKitty de durcir la configuration de votre machine.

Remarque : comment est calculé le score d'audit ? Sachez que la formule utilisée pour calculer le score d'HardeningKitty est la suivante : (Points obtenus / Maximum de points) * 5 + 1.

D. Durcir la configuration de la machine

Pour durcir la configuration de la machine Windows Server 2022, nous utilisons le mode "HailMary" (Ave Maria). A ce sujet, la documentation officielle précise : "La méthode HailMary est très puissante. Elle peut être utilisée pour déployer une liste de résultats sur un système. Tous les résultats sont placés sur ce système selon les recommandations de la liste. Le pouvoir s'accompagne de la responsabilité. N'utilisez ce mode que si vous savez ce que vous faites. Assurez-vous d'avoir une copie de sauvegarde du système."

Le mode HailMary va nous permettre de déployer tous les paramètres de configuration contenus dans les deux listes que nous avons choisi d'utiliser.

• Voici la commande à exécuter pour déployer les paramètres ordinateurs :

Invoke-HardeningKitty -Mode HailMary -Log -Report -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine.csv"

• Voici la commande à exécuter pour déployer les paramètres utilisateurs :

Invoke-HardeningKitty -Mode HailMary -Log -Report -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_user.csv"

Sachez qu'avant d'effectuer des modifications sur votre machine, HardeningKitty va créer un point de restauration. Si le point de restauration ne peut pas être créé, ce qui sera le cas sur Windows Server car il faut utiliser la Sauvegarde Windows à la place, l'opération est arrêtée immédiatement. Nous devons donc réexécuter les commandes avec le paramètre "-SkipRestorePoint".

Invoke-HardeningKitty -Mode HailMary -Log -Report -FileFindingList ".\lists\finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine.csv" -SkipRestorePoint

À chaque fois, et puisque nous avons précisé les paramètres "-Log" et "-Report", un fichier journal et un fichier de rapport (CSV) seront générés. Le fichier de log reprend toutes les lignes visibles dans la console. Voici un extrait du fichier journal "hardeningkitty_log_srv-adds-01_finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine-20240228-113957.log" :

[*] 28/02/2024 11:40:15 - Starting Category Administrative Templates: Windows Components
ID 18.10.89.1.1, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Client, AllowBasic, Registry key created
ID 18.10.89.1.1, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Client, AllowBasic, Registry value created/modified
ID 18.10.89.1.2, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Client, AllowUnencryptedTraffic, Registry value created/modified
ID 18.10.89.1.3, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Client, AllowDigest, Registry value created/modified
ID 18.10.89.2.1, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, AllowBasic, Registry key created
ID 18.10.89.2.1, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, AllowBasic, Registry value created/modified
ID 18.10.89.2.2, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, AllowAutoConfig, Registry value created/modified
ID 18.10.89.2.3, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, AllowUnencryptedTraffic, Registry value created/modified
ID 18.10.89.2.4, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, DisableRunAs, Registry value created/modified

Mais, priorisez la lecture du rapport avec Excel, ou un autre outil, pour l'analyse post-hardening. Ce rapport permet d'avoir une liste exhaustive des changements de configuration effectués.

Par la suite, si vous avez besoin de revenir en arrière, vous pouvez restaurer la configuration via cette commande (en adaptant le nom du fichier CSV) :

Invoke-HardeningKitty -Mode HailMary -Log -Report -FileFindingList ".\Backup_SRV-ADDS-01_20240228-1128_user.csv" -SkipRestorePoint

V. Conclusion

Si vous souhaitez durcir la configuration de vos machines en vous appuyant sur les recommandations de Microsoft, du CIS, du BSI, ou du DoD, alors HardeningKitty est probablement l'outil qu'il vous faut ! L'utilisation de cet outil devrait vous permettre de gagner énormément de temps. Néanmoins, vous devez prendre le temps d'analyser le contenu de ces guides et devez avoir une bonne connaissance de votre infrastructure et de ses particularités. Ceci vous permettra d'anticiper les éventuels effets de bords.

D'ailleurs, si vous envisagez de déployer la configuration recommandée par le CIS Benchmark, vous devez parcourir chaque guide afin d'avoir un aperçu des fonctions et services de Windows qui seront affectés lorsque le déploiement sera fait avec HardeningKitty. Cette recommandation s'applique également pour les autres guides.

Le seul bémol, c'est le fait qu'il soit nécessaire de l'exécuter machine par machine : ce qui pourra s'avérer utile lors de la création d'un master (image de référence) pour vos postes de travail ou serveur. En effet, ceci vous permettra de créer une image durcie.

HardeningKitty intègre bien un paramètre mode "GPO" (-Mode GPO) permettant de convertir une liste de résultats en une stratégie de groupe (GPO). Toutefois, ceci semble encore expérimental : "Pour l'instant, seuls les paramètres de registre peuvent être convertis et tout n'a pas encore été testé."

• Audit de sécurité Linux avec Lynis

The post Cybersécurité : durcir la configuration de Windows et Windows Server avec HardeningKitty first appeared on IT-Connect.