Les grands modèles de langage (LLM), comme le célèbre GPT-4 d’OpenAI, font des prouesses en termes de génération de texte, de code et de résolution de problèmes. Perso, je ne peux plus m’en passer, surtout quand je code. Mais ces avancées spectaculaires de l’IA pourraient avoir un côté obscur : la capacité à exploiter des vulnérabilités critiques.

C’est ce que révèle une étude de chercheurs de l’Université d’Illinois à Urbana-Champaign, qui ont collecté un ensemble de 15 vulnérabilités 0day bien réelles, certaines classées comme critiques dans la base de données CVE et le constat est sans appel. Lorsqu’on lui fournit la description CVE, GPT-4 parvient à concevoir des attaques fonctionnelles pour 87% de ces failles ! En comparaison, GPT-3.5, les modèles open source (OpenHermes-2.5-Mistral-7B, Llama-2 Chat…) et même les scanners de vulnérabilités comme ZAP ou Metasploit échouent lamentablement avec un taux de 0%.

Heureusement, sans la description CVE, les performances de GPT-4 chutent à 7% de réussite. Il est donc bien meilleur pour exploiter des failles connues que pour les débusquer lui-même. Ouf !

Mais quand même, ça fait froid dans le dos… Imaginez ce qu’on pourrait faire avec un agent IA qui serait capable de se balader sur la toile pour mener des attaques complexes de manière autonome. Accès root à des serveurs, exécution de code arbitraire à distance, exfiltration de données confidentielles… Tout devient possible et à portée de n’importe quel script kiddie un peu motivé.

Et le pire, c’est que c’est déjà rentable puisque les chercheurs estiment qu’utiliser un agent LLM pour exploiter des failles coûterait 2,8 fois moins cher que de la main-d’œuvre cyber-criminelle. Sans parler de la scalabilité de ce type d’attaques par rapport à des humains qui ont des limites.

Alors concrètement, qu’est ce qu’on peut faire contre ça ? Et bien, rien de nouveau, c’est comme d’hab, à savoir :

• Patcher encore plus vite les vulnérabilités critiques, en priorité les « 0day » qui menacent les systèmes en prod
• Monitorer en continu l’émergence de nouvelles vulnérabilités et signatures d’attaques
• Mettre en place des mécanismes de détection et réponse aux incidents basés sur l’IA pour contrer le feu par le feu
• Sensibiliser les utilisateurs aux risques et aux bonnes pratiques de « cyber-hygiène »
• Repenser l’architecture de sécurité en adoptant une approche « zero trust » et en segmentant au maximum
• Investir dans la recherche et le développement en cybersécurité pour garder un coup d’avance

Les fournisseurs de LLM comme OpenAI ont aussi un rôle à jouer en mettant en place des garde-fous et des mécanismes de contrôle stricts sur leurs modèles. La bonne nouvelle, c’est que les auteurs de l’étude les ont avertis et ces derniers ont demandé de ne pas rendre publics les prompts utilisés dans l’étude, au moins le temps qu’ils « corrigent » leur IA.

Source

Le mardi 9 avril 2024, Microsoft a dévoilé son nouveau Patch Tuesday qui va permettre de corriger 150 failles de sécurité, ainsi que 2 zero-day ! Faisons le point sur ce "très gros Patch Tuesday" d'avril 2024 !

Même si ce Patch Tuesday corrige 150 vulnérabilités dans les différents produits de Microsoft, il n'y a que 3 failles de sécurité critiques alors que 67 d'entres elles permettent une exécution de code à distance (RCE). Les trois failles de sécurité critiques ont été corrigées dans Microsoft Defender for IoT : CVE-2024-29053, CVE-2024-21323 et CVE-2024-21322.

Bien d'autres produits et services de chez Microsoft sont concernés par ce nouveau Patch Tuesday, notamment Azure (Azure Arc, Azure Migrate, Azure Monitor, Azure SDK, etc.), Microsoft Office (Outlook, Excel, SharePoint), le rôle "Serveur DNS" (7 vulnérabilités), le rôle "Hyper-V", SQL Server, le rôle "Serveur DHCP" (4 vulnérabilités) et Windows (BitLocker, Windows Defender Credentials Guard, Kerberos, le composant LSASS, le Secure Boot ou encore le noyau de Windows). De plus, Microsoft a corrigé 5 failles de sécurité dans son navigateur Edge.

Deux failles de sécurité zero-day

Microsoft a corrigé deux failles de sécurité zero-day et il s'avère qu'elles sont activement exploitées dans des attaques de logiciels malveillants. Pour en savoir plus sur cette vulnérabilité, vous pouvez lire cet article où nous apportons des détails supplémentaires :

• Avril 2024 - Deux zero-day corrigées dans Windows (CVE-2024-26234 et CVE-2024-29988)

CVE-2024-26234 - Vulnérabilité dans le pilote de Proxy de Windows (spoofing)

La faille de sécurité CVE-2024-26234 a été remontée à Microsoft par Christopher Budd de chez Sophos. D'ailleurs, Sophos a indiqué que cette vulnérabilité était associée à un pilote malveillant étant signé avec un certificat "Microsoft Hardware Publisher" valide, ce qui lui permet d'être approuvé par le système d'exploitation Windows.

Ce pilote malveillant et signé a été utilisé dans le cadre de cyberattaques pour déployer une porte dérobée (backdoor) sur les machines compromises. Sans surprise, compte tenu de l'origine de ce problème de sécurité, toutes les versions de Windows et Windows Server sont affectées (à partir de Windows Server 2008), y compris les plus récentes.

CVE-2024-29988 - Vulnérabilité dans la fonction SmartScreen de Windows (bypass)

Microsoft semble avoir des difficultés à corriger une faiblesse de longue date dans la fonction de sécurité SmartScreen de Windows. En effet, Microsoft a déjà publié plusieurs correctifs, mais à chaque fois, le patch parvient à être contourné. Ainsi, la faille de sécurité CVE-2024-29988 permet de bypasser le correctif CVE-2024-21412, qui lui-même permettait de bypasser le correctif CVE-2023-36025. Ceci permet d'ouvrir des fichiers malveillants sur la machine sans déclencher le filtre SmartScreen, c'est-à-dire qu'il n'y a pas de fenêtre d'avertissement pour demander à l'utilisateur de confirmer l'ouverture du fichier.

Le groupe de pirates Water Hydra a fait usage de cette vulnérabilité dans SmartScreen dans le cadre de cyberattaques ayant pour objectif d'infecter l'appareil des victimes avec le malware DarkMe, qui est un cheval de Troie d'accès à distance (RAT).

Versions affectées : Windows 10 Version 1809 et versions supérieures et Windows Server 2019 et versions supérieures.

Les mises à jour pour Windows 10 et Windows 11

Pour en savoir plus sur les nouvelles mises à jour pour Windows 10 et Windows 11, retrouvez nos deux articles :

• Mise à jour Windows 10 d'avril 2024
• Mise à jour Windows 11 d'avril 2024

Source

The post Patch Tuesday – Avril 2024 : 150 vulnérabilités corrigées, ainsi que 2 failles zero-day ! first appeared on IT-Connect.

Environ 16 500 passerelles Ivanti Connect Secure (ICS) et Policy Secure exposées sur Internet pourraient être vulnérable à une faille de sécurité corrigée la semaine dernière par l'éditeur Ivanti ! Faisons le point sur cette menace.

Une nouvelle fois, certains produits de chez Ivanti sont impactés par des failles de sécurité importantes. Une faiblesse de type "heap overflow" est présente dans le composant IPSec d'Ivanti Connect Secure 9.x et 22.x et Ivanti Policy Secure. Il y a deux références CVE associées : CVE-2024-21894 et CVE-2024-22053. En exploitant ces failles de sécurité, un attaquant non authentifié pourrait déclencher un déni de service sur la passerelle Ivanti, voire même effectuer une exécution de code à distance grâce à une requête spécialement conçue, en fonction de la CVE exploitée.

D'après The Shadow Server, il y a actuellement environ 16 500 passerelles Ivanti potentiellement vulnérables à ces failles de sécurité, au niveau mondial. Si l'on regarde la carte publiée, on constate qu'il y a 926 instances exposées en France, ainsi que 329 au Canada, 258 en Belgique et 248 en Suisse. Près d'un tiers de ces instances sont situées aux États-Unis (4 686).

Pour le moment, cette vulnérabilité ne serait pas exploitée massivement par les cybercriminels, mais compte tenu de l'actualité récente autour des solutions Ivanti, il est préférable d'installer le patch dès que possible. En effet, il y a eu plusieurs failles de sécurité découvertes et les cybercriminels en ont très largement profité pendant plusieurs semaines. Voici nos précédents articles sur le sujet :

• Solutions Ivanti : les pirates exploitent massivement une nouvelle faille zero-day (CVE-2024-21893) !
• Cyberattaque : la CISA, agence américaine de la cybersécurité, victime des failles Ivanti !

Cette fois-ci, en plus des vulnérabilités CVE-2024-21894 et CVE-2024-22053, Ivanti a corrigé deux autres failles de sécurité : CVE-2024-22052 et CVE-2024-22023. Vous pouvez vous référer à ce bulletin de sécurité mis en ligne par Ivanti pour en savoir plus.

Source

The post Plus de 16 000 passerelles VPN Ivanti vulnérables à une nouvelle faille de sécurité ! first appeared on IT-Connect.

Un nouvel ensemble de vulnérabilités baptisé "CONTINUATION Flood" a été découvert dans le protocole HTTP/2 ! Dans certains cas, l'exploitation de ces vulnérabilités permet un déni de service sur le serveur web pris pour cible, à partir d'une seule connexion TCP. Voici ce qu'il faut savoir !

Le chercheur en sécurité Barket Nowotarski a fait la découverte des vulnérabilités "CONTINUATION Flood" présente dans HTTP/2, une version du protocole HTTP standardisée en 2015. S'il a choisi ce nom, ce n'est pas un hasard, car ces faiblesses sont liées à une mauvaise gestion des trames HTTP/2 CONTINUATION dans de nombreuses implémentations du protocole HTTP/2. Ces trames sont utilisées pour assembler le flux de données correspondant à différents blocs de messages du protocole HTTP/2, notamment pour l'en-tête.

Lorsque les données ne sont pas correctement limitées ou vérifiées, un attaquant peut exploiter ces vulnérabilités en envoyant des trames extrêmement longues, sans définir l'indicateur "END_HEADERS", ce qui va permettre d'épuiser les ressources du serveur cible et engendrer un déni de service. Dans certains cas, une seule connexion TCP en HTTP/2 peut suffire pour saturer le serveur en mémoire vive et le faire planter.

"Les implémentations sans timeout pour les en-têtes ne nécessitaient qu'une seule connexion HTTP/2 pour faire planter le serveur.", peut-on lire dans le rapport de Barket Nowotarski.

Par ailleurs, il est important de préciser que le protocole HTTP/2 est encore largement utilisé. "Selon Cloudflare Radar, le trafic HTTP/2 représente environ 60 % de l'ensemble du trafic HTTP humain (données excluant les robots)", précise Barket Nowotarski, avec un graphe à l'appui.

CONTINUATION Flood, un ensemble de 9 failles de sécurité

Le CERT/CC a également publié un rapport au sujet de l'ensemble de vulnérabilités CONTINUATION Flood. Il référence 9 failles de sécurité correspondantes à cette faiblesse dans différentes implémentations : la bibliothèque nghttp2, AMPHP, Apache HTTP, Arista Networks, Red Hat, SUSE Linux, Node.js, Envoy (version 1.29.2 ou antérieure), ainsi que le langage de programmation Go.

À la fin de l'article du CERT/CC, il y a un tableau récapitulatif, et nous pouvons voir que le statut est actuellement inconnu pour plusieurs dizaines d'implémentations. Voici un extrait :

Les CVE suivantes sont associées à CONTINUATION Flood : CVE-2024-27983, CVE-2024-27919, CVE-2024-2758, CVE-2024-2653, CVE-2023-45288, CVE-2024-28182, CVE-2024-27316, CVE-2024-31309, CVE-2024-30255.

Si vous utilisez Apache2, sachez que la vulnérabilité CVE-2024-27316, correspondante à CONTINUATION Flood, a été corrigée dans Apache 2.4.59 publiée ce jeudi 4 avril 2024 (voir cette page).

Ceci n'est pas sans rappeler la faille de sécurité "Rapid Reset" présente dans le protocole HTTP/2 et révélée en octobre 2023. À l'époque, elle avait permis de déclencher des attaques DDoS records !

The post CONTINUATION Flood : une nouvelle vulnérabilité dans HTTP/2 expose les serveurs web à des attaques DoS first appeared on IT-Connect.

Google Chrome bénéficie d'une nouvelle mise à jour de sécurité pour combler une faille zero-day découverte à l'occasion de l'événement Pwn2Own 2024, ainsi que deux autres vulnérabilités importantes ! Faisons le point !

Si vous utilisez Google Chrome, oubliez les versions 123.0.6312.86/.87 pour Windows et Mac, ainsi que la version 123.0.6312.86 pour Linux ! Google a mis en ligne de nouvelle version pour corriger 3 vulnérabilités, dont une faille de sécurité zero-day découverte et exploitée le 22 mars 2024 par Edouard Bochin et Tao Yan de Palo Alto Networks, à l'occasion de la compétition de hacking Pwn2Own 2024 de Vancouver.

Associée à la référence CVE-2024-3159, cette faille de sécurité élevée correspond à une faiblesse de type "out-of-bounds read" est présente dans le moteur JavaScript Chrome V8. Elle pourrait être exploitée à partir d'une page HTML dans le but d'accéder à des informations sensibles ou de déclencher un plantage sur l'ordinateur de la victime. Grâce à la découverte de cette vulnérabilité présente aussi dans Microsoft Edge, Edouard Bochin et Tao Yan ont été récompensés par une belle somme : 42 500 dollars.

Par ailleurs, Google a corrigé deux autres failles de sécurité importantes découvertes en mars dernier : CVE-2024-3156 et CVE-2024-3158. La première est également présente dans le moteur JavaScript Chrome V8 tandis que la seconde est présente dans le gestionnaire de favoris.

Comment se protéger ?

Google a publié de nouvelles versions stables pour son navigateur Chrome. Ainsi, vous devez mettre à jour Google Chrome pour passer sur les versions 123.0.6312.105/.106/.107 pour Windows et Mac et 123.0.6312.105 pour Linux. Ces versions sont en cours de diffusion à l'échelle mondiale.

Pour rappel, mardi 26 mars 2024, Google avait déjà publié de nouvelles versions pour Chrome dans le but de corriger 7 vulnérabilités, dont 2 failles de sécurité zero-day découvertes lors du Pwn2Own 2024 de Vancouver. Donc, ces nouvelles versions vous permettent aussi de vous protéger contre ces vulnérabilités.

Retrouvez plus d'informations dans le changelog de Google Chrome.

Source

The post Dans Chrome, Google a corrigé une nouvelle faille zero-day découverte et exploitée au Pwn2Own 2024 first appeared on IT-Connect.

Mardi 26 mars 2024, Google a publié une nouvelle version de son navigateur Chrome dans le but de corriger 7 vulnérabilités, dont 2 failles de sécurité zero-day découvertes lors du Pwn2Own 2024 de Vancouver. Faisons le point sur cette mise à jour !

Les utilisateurs de Google Chrome sur Windows Mac et Linux vont pouvoir passer par la case maintenance : l'entreprise américaine a mis en ligne plusieurs versions pour protéger ses utilisateurs. Tout d'abord, nous allons évoquer les deux failles de sécurité zero-day découvertes et exploitées lors du Pwn2Own 2024, une compétition de hacking.

La première vulnérabilité, associée à la référence CVE-2024-2886, a été découverte par Seunghyun Lee (@0x10n) de KAIST Hacking Lab, le 21 mars 2024. Il s'agit d'une faiblesse de type "use after free" présente dans WebCodecs.

La seconde vulnérabilité, associée à la référence CVE-2024-2887, a été découverte par Manfred Paul de l'équipe Trend Micro Zero Day Initiative. Il s'agit d'une faiblesse de type "type confusion" présente dans le composant WebAssembly. Ces deux vulnérabilités sont considérées comme importantes.

Par ailleurs, d'autres vulnérabilités ont été reportées directement à Google, notamment la faille de sécurité critique CVE-2024-2883, découverte par Cassidy Kim le 3 mars 2024. Il s'agit d'une vulnérabilité de type "use after free" dans ANGLE.

Pour vous protéger, vous devez mettre à jour Google Chrome pour passer sur les versions 123.0.6312.86/.87 pour Windows et Mac, ainsi que la version 123.0.6312.86 pour Linux. Les versions antérieures sont vulnérables. Vous pouvez obtenir plus d'informations dans le bulletin de sécurité de Google.

Pour rappel, suite aux vulnérabilités découvertes à l'occasion de cette compétition de hacking, la Fondation Mozilla a mis en ligne une nouvelle version pour son navigateur afin de combler deux failles de sécurité zero-day : Firefox 124.0.1. Enfin, sachez que Manfred Paul est le grand gagnant de cette édition du Pwn2Own Vancouver 2024 grâce à plusieurs vulnérabilités découvertes dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge.

The post Mettez à jour Google Chrome pour vous protéger de 7 vulnérabilités, dont 2 zero-day first appeared on IT-Connect.

Quelques jours après avoir dévoilé Firefox 124.0, la fondation Mozilla a mis en ligne la version 124.0.1 de Firefox dans le but de patcher deux failles de sécurité zero-day ! Voici ce qu'il faut savoir sur ces vulnérabilités.

Le mardi 19 mars 2024, la fondation Mozilla a publié la version 124.0 de son navigateur Firefox, dans le but de corriger 12 failles de sécurité, dont cinq vulnérabilités importantes et une vulnérabilité critique. D'ailleurs, cette faille de sécurité critique, associée à la référence CVE-2024-2615, pourrait permettre à un attaquant d'exécuter du code arbitraire sur la machine de l'utilisateur.

Puis, le vendredi 22 mars 2024, Mozilla a mis en ligne une nouvelle version de son navigateur Firefox : 124.0.1. Cette fois-ci, l'objectif est de corriger deux failles de sécurité zero-day découvertes et exploitées un jour plus tôt lors de la compétition de hacking Pwn2Own Vancouver 2024.

D'ailleurs, à l'occasion de cette compétition de hacking, les participants sont parvenus à découvrir 29 failles de sécurité dans différents produits. En ce qui concerne les vulnérabilités dans Firefox, elles ont été découvertes par Manfred Paul (récompensé à auteur de 100 000 dollars) pour avoir exploité une faille de type "out-of-bounds write" (CVE-2024-29943) permettant d'exécuter du code à distance et d'échapper à la sandbox de Mozilla Firefox en exploitant une faiblesse dans une fonction du navigateur (CVE-2024-29944). Manfred Paul est membre de la Trend Micro Zero Day Initiative.

Dans son bulletin de sécurité, Mozilla a apporté quelques détails supplémentaires sur ces vulnérabilités qui affectent les versions desktop de son navigateur Firefox. Pour le moment, elles ne sont pas exploitées par les cybercriminels.

Pour vous protéger, vous devez passer sur Firefox 124.0.1 ou Firefox ESR 115.9.1, en fonction de la version que vous utilisez. Enfin, nous pouvons saluer la réactivité des équipes de Mozilla pour la correction de ces deux failles de sécurité, ainsi que Manfred Paul, grand gagnant de cette édition avec 25 points Master of Pwn. Grâce aux vulnérabilités qu'il a découvertes dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge, il a pu empocher 202 500 dollars de gain en cash.

Source

The post Dans Firefox 124.0.1, Mozilla a corrigé deux failles de sécurité zero-day ! first appeared on IT-Connect.

Les failles de sécurité dans le code sont le cauchemar des développeurs et des équipes de sécurité et font surtout le régal des hackers. Alors pour y remédier, GitHub a décidé de sortir l’artillerie lourde avec Code Scanning Autofix ! Attention les yeux, cet outil mêle IA et analyse statique et nous fait la promesse de corriger les vulnérabilités en un clin d’œil pendant que vous codez.

Concrètement, Code Scanning Autofix (actuellement en bêta publique) est activé par défaut sur tous les dépôts privés des clients GitHub Advanced Security. Et devinez quoi ? Il gère déjà plus de 90% des types d’alertes pour JavaScript, TypeScript, Java et Python. De quoi mettre une sacrée claque à la dette de sécurité applicative !

En coulisse, cette magie opère grâce à deux technologies de pointe made in GitHub : Copilot pour l’IA et CodeQL pour l’analyse statique. Une fois Code Scanning Autofix activé, il vous propose des correctifs quasi tout cuits qui sont censés régler les deux tiers des vulnérabilités détectées, le tout sans trop d’efforts de votre part.

Voici un exemple de correctif proposé :

Pour chaque faille repérée dans un des langages pris en charge, vous obtenez une explication en langage naturel du correctif suggéré, avec un aperçu du bout de code à valider, modifier ou rejeter. Cela peut inclure des changements dans le fichier en cours, d’autres fichiers, voire des dépendances du projet. Bien entendu, vous gardez le contrôle et pouvez vérifier si le correctif résout bien le problème sans casser la fonctionnalité.

L’intérêt est donc de décharger les experts en sécurité de la fastidieuse traque aux vulnérabilités introduites pendant le développement. Ils pourront alors se concentrer sur la sécurité globale de leur projet.

GitHub promet d’étendre prochainement Code Scanning Autofix à d’autres langages, en commençant par C# et Go. Et pour en savoir plus, foncez sur la doc de GitHub !

Source

Mercredi 13 mars 2024, l'éditeur Teclib a publié une nouvelle version de la solution GLPI ! Cette nouvelle version, estampillée 10.0.13, corrige au total 6 failles de sécurité. Faisons le point.

Parmi les 6 failles de sécurité corrigées par l'équipe de développeurs de GLPI, il y a 5 vulnérabilités avec une sévérité modérée et 1 vulnérabilité de type "injection SQL" associée à une sévérité élevée. Au-delà de cette injection SQL, il y a plusieurs vulnérabilités XSS et un problème de sécurité de type SSRF.

Voici la liste des vulnérabilités :

• CVE-2024-27096 (élevée) : injection SQL à travers le moteur de recherche
• CVE-2024-27098 : SSRF aveugle utilisant l’instanciation arbitraire d’objets
• CVE-2024-27104 : XSS stockée dans les tableaux de bord
• CVE-2024-27914 : XSS reflétée en mode debug
• CVE-2024-27930 : Accès à des données sensibles via les listes déroulantes
• CVE-2024-27937 : Énumération des emails des utilisateurs

À première vue, et même si ce n'est pas précisé, il faut que l'attaquant soit connecté sur l'application GLPI pour espérer exploiter l'une de ces vulnérabilités (ceci est une déduction vis-à-vis des fonctionnalités affectées). Néanmoins, il est probable que ces vulnérabilités permettent à un utilisateur standard authentifié d'élever ses privilèges, d'exécuter du code sur le serveur, ou d'accéder à des informations sensibles. Difficile d'être plus précis car Teclic ne fournit pas le moindre détail technique, ni même d'informations sur les risques potentiels.

Attention : n'installez pas la version 10.0.13, mais passez directement sur la version 10.0.14 car la précédente version a introduit deux bugs plutôt gênants, comme le mentionne cette page.

GLPI : les mises à jour de sécurité s'enchaînent

Depuis le dernier trimestre de l'année 2024, les mises à jour de sécurité s'accumulent, pour GLPI. Tout a commencé au mois d'octobre dernier lorsque Teclib a publié GLPI 10.0.10 pour corriger 10 vulnérabilités, dont une faille de sécurité critique permettant d'exécuter du code PHP : CVE-2023-42802. Puis, en décembre 2023, la version GLPI 10.0.11 a été publiée pour corriger 3 failles de sécurité (dont deux "injection SQL").

Au mois de février 2024, Teclic a publié GLPI 10.0.12 pour corriger deux failles de sécurité. Cette fois-ci, la nouvelle version permet d'en corriger 6 supplémentaires.

Si vous utilisez GLPI 10, il est temps de passer sur GLPI 10.0.13 pour vous protéger contre une bonne vingtaine de failles de sécurité. J'en profite pour vous annoncer qu'un tutoriel sur la mise à jour de GLPI sera publié dans les prochains jours !

Source

The post Passez sur GLPI 10.0.13 pour vous protéger de 6 failles de sécurité, dont une injection SQL first appeared on IT-Connect.

Le mardi 12 mars, Microsoft a publié son troisième Patch Tuesday de l'année 2024 ! Cette fois-ci, les équipes de Microsoft ont corrigé 60 failles de sécurité, et il n'y a pas la moindre zero-day. Faisons le point !

À l'occasion du Patch Tuesday de Mars 2024, Microsoft a corrigé 2 failles de sécurité critiques et elles sont toutes les deux présentes dans Hyper-V : CVE-2024-21407 et CVE-2024-21408. La première permet une exécution de code à distance sur l'hyperviseur (et serait difficile à exploiter), tandis que la seconde permet un déni de service. Au total, 18 vulnérabilités permettent une exécution de code à distance.

La grande majorité des autres vulnérabilités sont considérées comme importantes et elles affectent différents produits et services de chez Microsoft. Notamment : Exchange Server, SharePoint, l'agent Intune pour Linux, Microsoft WDAC OLE DB provider for SQL, le client Skype, Visual Studio Code, Windows Installer, l'implémentation de Kerberos dans Windows, le driver ODBC, le driver d'impression USB, ou encore plusieurs failles de sécurité dans le noyau Windows. À noter également la correction de 4 vulnérabilités dans le navigateur Edge, ainsi qu'une faille de sécurité dans l'application Microsoft Authenticator.

Aucune zero-day

Ce mois-ci, Microsoft n'a pas corrigé la moindre faille de sécurité zero-day. Néanmoins, ceci ne signifie pas que les vulnérabilités corrigées par Microsoft ne représentent pas un risque, ou qu'elles ne seront pas exploitées par les attaquants dans les prochaines semaines.

Voici quelques vulnérabilités à surveiller :

• CVE-2024-26199 - Élévation de privilèges dans Microsoft Office, ce qui permet à l'attaquant d'obtenir les droits SYSTEM sur la machine locale.
• CVE-2024-20671 - Contournement de la sécurité de Microsoft Defender, car cette vulnérabilité peut empêcher la solution de sécurité de démarrer, ce qui la rend inopérante. Toutefois, une mise à jour automatique de Windows Defender Antimalware Platform permet de corriger cette faille de sécurité.
• CVE-2024-21411 - Exécution de code malveillant au travers de l'application Skype for Consumer, à partir d'un lien ou d'une image malveillante.

D'autres articles sur les nouvelles mises à jour pour Windows 10 et Windows 11 seront publiés dans la journée.

Source

The post Patch Tuesday – Mars 2024 : 60 vulnérabilités corrigées ! first appeared on IT-Connect.

Si vous utilisez un NAS QNAP, vous devez installer la dernière mise à jour du système dès que possible ! Le fabricant taïwanais vient de corriger 3 failles de sécurité critiques ! Faisons le point.

QNAP a mis en ligne un bulletin de sécurité faisant référence à trois vulnérabilités découvertes dans ses différents systèmes : QTS, QuTS hero, QuTScloud, et myQNAPcloud. Il s'agit de systèmes utilisés par les produits de la marque, notamment les NAS.

Il est à noter que la faille de sécurité CVE-2024-21899 peut être exploitée à distance, sans être authentifié. De plus, cette vulnérabilité peut être exploitée facilement, et sans interaction de la part d'un utilisateur.

Voici ce que précise QNAP au sujet de cette faille de sécurité critique : "Si elle est exploitée, cette vulnérabilité de type improper authentication pourrait permettre aux utilisateurs de compromettre la sécurité du système via le réseau. - Même si ce n'est pas explicitement indiqué, nous pouvons imaginer que cette vulnérabilité permet de compromettre le NAS, ou d'accéder à des données.

Les deux autres vulnérabilités, associées aux références CVE-2024-21900 et CVE-2024-21901, sont aussi considérées comme critiques. La première permet d'exécuter des commandes à distance, tandis que la seconde est une injection SQL qu'un attaquant peut également exploiter à distance. Toutefois, bien qu'elles soient critiques, le risque d'exploitation est moins élevé, car il faut être authentifié pour exploiter ces deux vulnérabilités.

Quelles sont les versions affectées ?

Voici la liste des versions affectées, pour chaque système :

• QTS 5.1.x et QTS 4.5.x
• QuTS hero h5.1.x et QuTS hero h4.5.x
• QuTScloud c5.x
• myQNAPcloud 1.0.x

Comment se protéger ?

Pour vous protéger de ces failles de sécurité, vous devez utiliser l'une de ces versions :

• QTS 5.1.3.2578 build 20231110 et supérieur
• QTS 4.5.4.2627 build 20231225 et supérieur 
• QuTS hero h5.1.3.2578 build 20231110 et supérieur 
• QuTS hero h4.5.4.2626 build 20231225 et supérieur 
• QuTScloud c5.1.5.2651 et supérieur 
• myQNAPcloud 1.0.52 (2023/11/24) et supérieur

Pour le moment, rien n'indique que ces vulnérabilités sont exploitées par des cybercriminels dans le cadre d'attaques. Néanmoins, la faille de sécurité CVE-2024-21899 pourrait intéresser les pirates dans les prochaines semaines, notamment, car elle s'exploite à distance et sans être authentifié. Étant donné qu'il y a de nombreux NAS exposés sur Internet, ceci représente un réel risque.

Source

The post Patchez votre NAS QNAP pour vous protéger de ces 3 failles de sécurité critiques ! first appeared on IT-Connect.

VMware by Broadcom a publié des mises à jour de sécurité pour ses hyperviseurs VMware ESXi, Workstation et Fusion. L'objectif : corriger plusieurs vulnérabilités pouvant permettre d'accéder à l'hôte physique à partir d'une VM. Faisons le point.

Un nouveau bulletin de sécurité a été publié sur le site de VMware. Il fait référence à quatre failles de sécurité : CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255, présentes dans VMware ESXi, VMware Workstation Pro / Player, VMware Fusion Pro / Fusion et VMware Cloud Foundation.

Les failles CVE-2024-22252 et CVE-2024-22253 permettent à un attaquant, avec des droits administrateurs sur une machine virtuelle, de pouvoir exécuter du code sur l'hôte physique, c'est-à-dire sur l'hyperviseur, en agissant au nom du processus VMX. Il s'agit de faiblesses de type "Use-after free" présentes dans les contrôleurs XHCI et UHCI USB.

Par ailleurs, la faille CVE-2024-22254 présente dans VMware ESXi permet à un attaquant ayant les privilèges du processus VMX d'écrire en dehors de la région mémoire prédéterminée (donc en dehors des limites). Résultat, il peut s'échapper de la sandbox. Enfin, la vulnérabilité CVE-2024-22255 permet à un attaquant de déclencher une fuite des données en mémoire du processus VMX.

Les versions affectées

Le tableau ci-dessous, issu du site de l'éditeur, montre que VMware ESXi 7.0 et 8.0 sont dans la liste des produits affectés par ces vulnérabilités. En regardant plus attentivement le bulletin de sécurité, nous pouvons constater que ces failles affectent aussi les versions plus anciennes de VMware ESXi. VMware a fait l'effort de proposer des correctifs pour toutes les versions car ces vulnérabilités sont critiques.

Comment se protéger ?

La meilleure solution de se protéger, c'est d'installer le nouveau patch de sécurité mis en ligne par VMware pour chaque produit que vous utilisez. Voici un récapitulatif des versions à installer pour VMware ESXi :

• VMware ESXi 8.0
  • VMware ESXi 8.0 Update 2b
  • VMware ESXi 8.0 Update 1d
• VMware ESXi 7.0
  • VMware ESXi 7.0 Update 3p
• VMware ESXi 6.7
  • VMware ESXi 6.7 Update 3u
• VMware ESXi 6.5
  • VMware ESXi 6.5 Update 3v

La suite VMware Cloud Foundation (VCF) bénéficie aussi de correctifs pour les versions 5.x, 4.x et 3.x, comme l'explique cette page et celle-ci.

• VMware ESXi : comment installer une mise à jour de sécurité ?

Et pour les autres produits :

• VMware Workstation 17
  • VMware Workstation 17.5.1
• VMware Fusion 13 (macOS)
  • VMware Fusion 13.5.1

Si vous ne pouvez pas installer la mise à jour dans l'immédiat, sachez qu'il y a une solution d'atténuation qui consiste à retirer le contrôleur USB des VM. Attention, ceci peut avoir un impact et doit être fait en ayant conscience que ceci empêche l'utilisation des ports USB virtuels de la VM. Ainsi, il n'est plus possible de connecter une clé USB, par exemple.

Source

The post Patchez VMware ESXi, Workstation et Fusion pour vous protéger de 4 failles de sécurité critiques ! first appeared on IT-Connect.

Apple a mis en ligne de nouvelles mises à jour de sécurité à destination des propriétaires d'iPhone et d'iPad dans le but de corriger deux failles de sécurité zero-day déjà exploitées au sein d'attaques : CVE-2024-23225 et CVE-2024-23296.

Il y a quelques heures, Apple a publié iOS 17.4 pour les iPhone et iPadOS 17.4 pour les iPad. Ces mises à jour apportent différentes nouveautés, mais elles corrigent aussi plusieurs vulnérabilités, dont deux failles de sécurité zero-day. À ce sujet, la firme de Cupertino précise ce qui suit dans son bulletin de sécurité : "Apple a pris connaissance d'un rapport selon lequel ce problème pourrait avoir été exploité."

Associées aux références CVE-2024-23225 et CVE-2024-23296, ces vulnérabilités sont présentes dans le Kernel et dans RTKit, ce qui impacte directement le noyau du système d'exploitation. En l'exploitant, un attaquant peut contourner les protections de la mémoire du noyau.

Voici les appareils impactés par ces deux vulnérabilités, et qui bénéficient d'une mise à jour :

• iPhone XS et versions ultérieures,
• iPad Pro 12,9 pouces 2e génération et versions ultérieures,
• iPad Pro 10,5 pouces,
• iPad Pro 11 pouces 1re génération et versions ultérieures,
• iPad Air 3e génération et versions ultérieures,
• iPad 6e génération et versions ultérieures,
• iPad mini 5e génération et versions ultérieures.

Sachez que si vous ne pouvez pas installer iOS 17.4 ou iPadOS 17.4, vous pouvez tout de même bénéficier d'un correctif de sécurité pour la CVE-2024-23225. En effet, Apple a également publié des versions pour ses appareils plus anciens : iOS 16.7.6 et iPadOS 16.7.6.

Pour le moment, et dans le but de préserver ses utilisateurs, Apple n'a pas dévoilé de détails techniques sur ces vulnérabilités.

Pour les utilisateurs Européens, sachez qu'iOS 17.4 et iPadOS 17.4 intègrent des modifications pour que ces systèmes soient en conformité avec le Digital Markets Act (DMA). Par exemple, il y a désormais une prise en charge des magasins d'applications tiers, et la possibilité de choisir son navigateur Web par défaut afin de ne pas imposer Safari.

Source

The post iPhone : la mise à jour iOS 17.4 corrige deux failles de sécurité zero-day déjà exploitées ! first appeared on IT-Connect.

Un ensemble de vulnérabilités surnommé Leaky Vessels a été découvert dans l'outil CLI runc, utilisé notamment dans Docker et Kubernetes. En exploitant ces vulnérabilités, un attaquant peut s'échapper du container et accéder aux données de l'hôte physique. Faisons le point.

En novembre 2023, Rory McNamara, chercheur en sécurité chez Snyk, a fait la découverte de 4 failles de sécurité importantes présentes dans runc mais aussi dans Buildkit. Peut-être que ces noms ne vous disent rien, mais pourtant sachez qu'ils sont utilisés par des solutions populaires comme Docker et Kubernetes.

Par principe, un conteneur représente une application packagée qui contient les exécutables, toutes les dépendances nécessaires à son exécution, et tout le code nécessaire pour que l'application soit opérationnelle. Ceci crée un environnement isolé, vis-à-vis de l'hôte qui exécute le conteneur. Toutefois, si un pirate parvient à exploiter les failles de sécurité Leaky Vessels, il peut s'échapper du conteneur afin d'interagir avec l'hôte..

Voici les 4 failles de sécurité Leaky Vessels :

• CVE-2024-21626
• CVE-2024-23651
• CVE-2024-23652
• CVE-2024-23653

La vulnérabilité la plus critique, c'est bien la CVE-2024-21626 puisqu'elle permet, potentiellement, de compromettre l'hôte où sont exécutés les conteneurs. "L'exploitation de ce problème peut entraîner l'évasion du conteneur vers le système d'exploitation hôte sous-jacent, soit par l'exécution d'une image malveillante, soit par la construction d'une image à l'aide d'un fichier Docker malveillant ou d'une image en amont (c'est-à-dire lors de l'utilisation de FROM).", précise Snyk dans son rapport.

Quelles sont les versions affectées ? Comment se protéger ?

Même si pour le moment rien n'indique que ces failles de sécurité sont exploitées dans le cadre de cyberattaques, il est préférable d'installer les correctifs dès que possible. En effet, elles sont désormais divulguées publiquement et corrigées... Donc la situation pourrait évoluer.

Toutes les versions de runc sont affectées, et les développeurs ont mis en ligne runc 1.1.12 le 31 janvier 2024 afin de corriger ces vulnérabilités. En ce qui concerne Buildkit, les failles ont été corrigées avec la version 0.12.5.

A la même date, Docker a mis en ligne de nouvelles versions pour permettre de patcher ces vulnérabilités. Vous devez passer sur Docker 24.0.9 ou Docker 25.0.2. Pour Kubernetes, vous pouvez trouver des informations sur cette page. En complément, il y a d'autres bulletins de sécurité disponibles notamment du côté de chez AWS et Ubuntu.

Source

The post Les failles Leaky Vessels dans runc permettent de s’évader des conteneurs Docker first appeared on IT-Connect.

La solution open source Jenkins est affectée par plusieurs failles de sécurité critiques pour lesquelles il y a déjà des exploits PoC disponibles sur Internet. Voici ce qu'il faut savoir sur ces vulnérabilités déjà exploitées au sein d'attaques.

Pour rappel, Jenkins est une solution open source très appréciée par les développeurs et les DevOps, notamment pour mettre en place un pipeline CI/CD.

Les chercheurs en sécurité de SonarSource ont fait la découverte de deux failles de sécurité dans Jenkins : CVE-2024-23897 et CVE-2024-23898. Jenkins a été informé de la découverte de ces vulnérabilités le 13 novembre 2023.

En lisant le rapport qu'ils ont mis en ligne, on apprend que l'exploitation de ces deux vulnérabilités permet à un attaquant d'accéder aux données hébergées sur le serveur Jenkins. Dans certains cas, l'attaquant pourrait même exécuter des commandes à distance sur le serveur vulnérable.

Il y a déjà plusieurs exploits PoC disponibles pour ces vulnérabilités, et d'après certains honeypots mis en place par des chercheurs en sécurité, des cybercriminels tentent déjà d'exploiter ces failles de sécurité.

Jenkins - CVE-2024-23897

Commençons par évoquer la faille de sécurité CVE-2024-23897 jugée comme critique et qui permet à un attaquant non authentifié, et disposant de la permission "overall/read", de lire les données des fichiers présents sur le serveur. Sans cette permission, il est possible de lire les premières lignes des fichiers. SonarSource précise qu'un attaquant pourrait utiliser cette technique pour consulter le fichier "/etc/passwd" afin d'obtenir la liste des utilisateurs présents sur le système.

Ce problème de sécurité réside dans la bibliothèque args4j utilisée par Jenkins. À ce sujet, Jenkins précise : "Cet analyseur de commandes dispose d'une fonctionnalité qui remplace le caractère @ suivi d'un chemin de fichier dans un argument par le contenu du fichier (expandAtFiles). Cette fonctionnalité est activée par défaut et Jenkins 2.441 et antérieurs, LTS 2.426.2 et antérieurs ne la désactive pas."

Jenkins - CVE-2024-23898

En ce qui concerne la vulnérabilité CVE-2024-23898, elle permet à un attaquant d'exécuter des commandes à distance en incitant un utilisateur à cliquer sur un lien malveillant. Cette vulnérabilité de type "cross-site WebSocket hijacking (CSWSH)" est moins grave que la première vulnérabilité découverte par SonarSource.

En principe, les navigateurs doivent atténuer les risques liés à l'exploitation de cette vulnérabilité, mais tous les navigateurs n'appliquent pas les mêmes règles de sécurité par défaut.

Comment se protéger ?

Pour protéger votre serveur et vos données, vous devez mettre à jour Jenkins afin d'utiliser l'une de ces deux versions :

• Jenkins 2.442
• Jenkins LTS 2.426.3

En complément, vous pouvez consulter le bulletin de sécurité de Jenkins sur cette page, car l'éditeur donne des informations sur les scénarios d'attaques envisageables, ainsi que des mesures d'atténuation possibles (en attendant d'installer le patch).

Source

The post Patchez Jenkins : des exploits disponibles pour ces failles permettant l’exécution de code à distance first appeared on IT-Connect.