FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 25 mai 2022Flux principal

Sans sauvegarde, pas de cyber-résilience !

25 mai 2022 à 09:27
Par : UnderNews

Les études diverses sur les habitudes de sauvegarde des entreprises et leurs collaborateurs sont sans équivoque : très majoritairement, elles ne s’attardent vraiment sur ces questions de sauvegarde ou de récupération qu’en cas d’incidents. Pourtant la sauvegarde est l’élément majeur des dispositifs de cyber-résilience, à savoir la capacité à rester opérationnel, même face aux cyberattaques et à la perte de données.

The post Sans sauvegarde, pas de cyber-résilience ! first appeared on UnderNews.

Chrome : une faille dans l’extension Screencastify permet d’activer votre webcam

25 mai 2022 à 08:28

Une faille de sécurité importante vient d'être corrigée au sein de Screencastify, une extension très populaire pour le navigateur Google Chrome. En exploitant cette vulnérabilité, un attaquant peut activer la webcam de l'utilisateur et récupérer la vidéo enregistrée. Même si la faille de sécurité est corrigée, le risque reste élevé.

Le 14 février 2022, le chercheur en sécurité Wladimir Palant a informé l'éditeur de Screencastify de la présence de cette faille de sécurité XSS. Dans la foulée, cette vulnérabilité a bénéficié d'un correctif. Néanmoins, le problème de sécurité n'est que partiellement corrigé, ce qui remet en cause le respect de la vie privée et la sécurité des utilisateurs qui utilisent cette extension.

Il faut dire que cette extension, qui permet d'enregistrer son écran, est très populaire, et c'est d'autant plus vrai depuis le début de la pandémie de la Covid-19. Si l'on se réfère au Chrome Web Store, cette extension compte plus de 10 millions de téléchargements, tout en sachant qu'au-delà de 10 millions, cette statistique n'évolue pas donc ce pourrait être bien plus.

Screencastify fonctionne de la façon suivante : vous ajoutez l'extension à votre navigateur et vous lui donnez accès à votre espace de stockage Google Drive via un jeton Google OAuth permanent afin que les enregistrements vidéos soient stockés sur votre Drive au sein d'un dossier visible par l'utilisateur. Ensuite, vous exploitez vos enregistrements à partir de la plateforme Screencastify qui offre des fonctionnalités de montages vidéos. En complément, l'extension nécessite un accès à plusieurs API : API WebRTC, desktopCapture API et tabCapture API  pour les enregistrements.

Screencastify : les dangers de cette faille de sécurité

Une vulnérabilité XSS existant sur le site web permettait aux attaquants d'enregistrer une vidéo via Screencastify, qui serait ensuite téléchargée sur l'espace Google Drive de l'utilisateur. Ensuite, cette même vulnérabilité permettait de voler le jeton OAuth de Google Drive et donc de télécharger la vidéo créée à partir de Google Drive.

Le chercheur Wladimir Palant a développé un exploit PoC que les attaquants pourraient utiliser pour lancer la webcam des utilisateurs de Screencastify de manière transparente. D'après lui, le problème de sécurité se situe dans la page d'erreur affichée si vous avez déjà soumis une vidéo pour un exercice via un cours en ligne, d'autant plus que cette page est accessible à une adresse fixe donc elle peut être réutilisée facilement. Par exemple, il a créé une fausse page qui intègre la page d'erreur Screencastify dans une iframe, et lorsqu'un utilisateur clique, cela déclenche l'exploit et active la webcam sans que l'utilisateur s'en rende compte et qu'il en soit informé.

Même si cette faille de sécurité est corrigée dans l'extension et que les sites de Screencastify sont protégés également, ce n'est pas forcément le cas de certains services tiers qui s'appuient sur Screencastify (ou des sous-domaines de Screencastify géré par des tiers) donc les utilisateurs pourraient se faire piéger. Il ne devrait pas être possible d'activer la webcam sans avertir l'utilisateur, ce qui nécessite une mise à jour de la politique de sécurité de l'application : chose qui, normalement, est en cours.

Source

The post Chrome : une faille dans l’extension Screencastify permet d’activer votre webcam first appeared on IT-Connect.
À partir d’avant-hierFlux principal

Autoriser/Bloquer une application pare-feu Windows Defender

13 février 2020 à 09:30

Autoriser/Bloquer une application sur le pare-feu Windows Defender peut parfois être compliqué.
En effet, l’utilisation avancée du Firewall Windows Defender n’est parfois pas simple.

Dans ce tutoriel, nous verrons comment pouvoir gérer facilement ses applications sur le pare-feu de Windows.
Mais surtout comment autoriser/bloquer une application sur le firewall Windows 10 ou Windows 11.

Autoriser/Bloquer une application pare-feu Windows Defender

Bloquer une application sur le pare-feu Windows Defender

Le principe est de créer une règle de trafic afin de bloquer les connexions de l’application.
Plusieurs méthodes sont possibles.
Enfin pour autoriser une application sur le firewall Windows Defender, il suffit de désactiver la règle.

On peut d’ailleurs faire la même chose avec les adresses IP : Bloquer une adresse IP avec le pare-feu de Windows Defender

Autoriser/Bloquer une application sur le pare-feu Windows Defender de Windows 10, Windows 11

Autoriser une application

Voici comment gérer ses applications depuis les paramètres du pare-feu de Windows.
Vous allez constater que cette méthode n’est pas très pratique et même fastidieuse d’où les autres méthodes proposées dans cet article.

Ouvrir les sécurités de Windows 10
  • Puis cliquez sur Pare-feu et protection du réseau
  • Ensuite dans la liste cliquez sur Autoriser une application ou une fonctionnalité via le Pare-feu de Windows
  • Vous arrivez sur une liste d’application avec des éléments cochés avec deux colonnes Privé et Public
Pour comprendre les deux profils, lire l’article : Les différences entre un réseau public, privé ou domestique sur Windows
  • Cliquez sur Modifier les paramètres

Ainsi vous pouvez donc autoriser ou ne pas autoriser une application à se connecter sur le profil réseau Privé ou Public de Windows.

Comment Autoriser/Bloquer une application sur le pare-feu Windows Defender

La liste est par défaut grisée et donc inaccessible.

  • Pour modifier une autorisation du pare-feu : cliquez sur le bouton Modifier les Paramètres. A partir de là, vous pouvez cocher/décocher une application.
  • Pour ajouter une nouvelle application dans le pare-feu : cliquez sur le bouton en bas “Autoriser une application
Comment Autoriser/Bloquer une application sur le pare-feu Windows Defender
  • Cliquez sur bouton Parcourir sur la nouvelle fenêtre pour aller chercher l’exécutable de l’application que vous souhaitez ajouter dans la liste.
Comment Autoriser/Bloquer une application sur le pare-feu Windows Defender
Bravo ! vous avez autorisé ou bloqué une application sur le pare-feu Windows Defender

Bloquer une application

via les règles avancées

Pour bloquer une application sur le pare-feu Windows Defender, on doit créer une règle avancée.

Pour cela,

  • Sur votre clavier, appuyez sur les touches
    + R
  • Puis saisissez wf.msc
Comment ouvrir Windows Defender Firewall avancé
  • Sur règles de trafic sortant, faites un clic droit puis Nouvelle règle
Créer une règle pour bloquer une application sur le pare-feu Windows Defender
  • L’assistant de nouvelle règle de trafic sortant s’ouvre alors
  • Sélectionnez Programmes puis cliquez sur Suivant
Créer une règle pour bloquer une application sur le pare-feu Windows Defender
  • Ensuite cliquez sur Parcourir
  • Naviguez dans votre dossier pour sélectionner l’exécutable de l’application à bloquer sur firewall
Créer une règle pour bloquer une application sur le pare-feu Windows Defender
  • Dans action, sélectionnez bloquer la connexion puis cliquez sur suivant
Créer une règle pour bloquer une application sur le pare-feu Windows Defender
  • Enfin laissez tout coché dans les profils de règles puis cliquez sur Suivant.
Créer une règle pour bloquer une application sur le pare-feu Windows Defender
  • Enfin indiquez un nom à la règle et éventuellement une description
  • Cliquez sur Terminer
Créer une règle pour bloquer une application sur le pare-feu Windows Defender
Bravo ! Vous avez créé une règle pour bloquer votre application
.

Celle-ci apparaît dans la liste avec une icône interdiction.
Un clic droit permet de la désactiver pour autoriser temporairement l’application.
Enfin on peut la supprimer.

Créer une règle pour bloquer une application sur le pare-feu Windows Defender

En invite de commandes

Enfin on peut bloquer une application sur le pare-feu de Windows en invite de commandes.
Pour cela, il faut utiliser la commande netsh advfirewall firewall.

Inspirez-vous alors de cette commande :

netsh advfirewall firewall add rule name="Bloquer Chrome" program="C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" dir=out action=block profile=public
Enfin pour plus de détails, suivez cet article complet : Pare-feu Windows Defender en invite de commandes avec netsh advfirewall

Windows Firewall Control

Windows Firewall Control permet facilement de configurer et gérer le pare-feu de Windows en créant notamment des règles sur le pare-feu de Windows.
Pour comprendre le fonctionnement de Windows Firewall Control, voici le tuto et en vidéo de présentation de Windows Firewall Control :

Firewall App Locker

Firewall App Blocker est une application gratuite qui permet de gérer facilement vos applications sur le pare-feu Windows.
Vous pourrez autoriser ou bloquer des applications facilement, depuis une liste ou par un clic droit sur l’icône de l’application.

  • L’application se présente sous la forme d’un fichier zip.
  • Décompressez ce dernier dans un emplacement de votre choix.
  • En liste, vous trouverez les applications autorisées ou bloquées.
  • Le cercle rouge barrée indique que l’application est bloquée et celle-ci est aussi écrite en rouge.
Comment Autoriser/Bloquer une application sur le pare-feu Windows Defender
Comment Autoriser/Bloquer une application sur le pare-feu Windows Defender

Par exemple, ci-dessous Google Chrome est interdit sur le pare-feu Windows, la connexion au site WEB est interdite comme le montre ce message d’erreur “Votre Accès à internet est bloqué”.

Comment Autoriser/Bloquer une application sur le pare-feu Windows Defender

Depuis le menu Options, vous pouvez ajouter des menus d’autorisation/déblocage de Pare-feu de Windows.

Comment Autoriser/Bloquer une application sur le pare-feu Windows Defender

Il est aussi possible d’exporter et importer la liste en cas de réinstallation de Windows, mais aussi pour importer vos règles du pare-feu Windows sur un autre ordinateur.

En vidéo, autoriser/bloquer un programme sur le firewall de Windows.

OneClick Firewall

OneClick Firewall est une programme gratuit de winaero.com qui permet d’ajouter deux entrées dans le menu contextuel de Windows pour autoriser ou bloquer une application.
Le programme OneClick Firewall s’installe dans Windows et donc vous pouvez donc le désinstaller à tout moment pour retirer les entrées du menu contextuel de Windows.

Comment Autoriser/Bloquer une application sur le pare-feu Windows

Hard Configurator

C’est un outil gratuit qui améliore la sécurité de Windows 10 de manière automatique ou non.
Il permet aussi d’ajouter des règles de pare-feu très facilement.
Se reporter à notre tutoriel :

Hard configurator ajouter des règles de pare-feu facilement

Vidéo : Autoriser ou bloquer un programme sur le pare-feu de Windows

Enfin une vidéo qui récapitule toutes les étapes pour créer une règle pour autoriser/bloquer un programme sur le firewall de Windows.

Les bons réglages du pare-feu de Windows Defender

Sur le topic suivant, j’explique comment bloquer quelques processus système qui peuvent être utiliser par des programmes malveillants : 

L’article Autoriser/Bloquer une application pare-feu Windows Defender est apparu en premier sur malekal.com.

Quel est le meilleur Pare-feu/Firewall pour Windows 10, 11 ?

13 août 2020 à 14:47

Vous cherchez un bon pare-feu ou Firewall pour protéger votre PC des virus, malwares, intrusions et attaques réseaux.
Mais vous ne savez pas lequel choisir.
En effet, il en existe beaucoup comme Comodo, ZoneAlarm, NetLimiter, Glasswire, SimpleWall et bien d’autres.
D’ailleurs la plupart sont sous la forme de Firewall gratuit.
Enfin Windows 10 est fournit avec Windows Defender Firewall.
Est-il suffisant ?

Cet article vous présente une sélection des meilleurs pare-feu pour Windows 10, 11 afin de vous aider à choisir.

Quel est le meilleur Pare-feu/ Firewall pour Windows 10 ?

Quel est le meilleure Pare-feu et Firewall pour Windows 10, 11 ?

Un pare-feu est un dispositif qui permet de filtrer les connexions réseaux.
Dans Windows, vous pouvez bloquer l’accès à une application légitime ou malveillante.
Il vise aussi à protéger les services internet de Windows contre les connexions entrantes pouvant exploiter des vulnérabilités et failles logiciels.
C’est notamment le cas avec les attaques par vers informatiques.
Pour plus d’explications, lire :

Comme pour les antivirus, on installe un seule pare-feu sur le PC.
Il ne sert à rien de cumuler si ce n’est pour créer des lenteurs ou plantages de Windows.

Windows Defender Firewall

Depuis Windows XP Service Pack 2, Windows propose en natif un pare-feu.
Dans Windows 10, il est renommé en Windows Defender Firewall pour s’intégrer pleinement avec l’antivirus de Microsoft.

Contrairement à ce que beaucoup pensent, il fait le job puisqu’il permet :

  • de bloquer les flux entrants et sortants
  • bloquer ou autoriser une application
  • On peut créer des règles personnalisées (protocoles, ports, destination/sources, …)

Ainsi on peut gérer les applications autorisées à se connecter.
Cela se présente sous la forme d’une liste des applications que l’on coche.

Le contrôle des applications dans Windows Defender Firewall

Et puis, il y a les fonctions avancées de Windows Defender Firewall.
Vous pouvez créer des règles entrantes ou sortantes.
Soit sur une application, soit des règles de réseau avec le protocole (TCP, UDP, ICMP) et le port.
De quoi donc pouvoir créer toutes les règles souhaitées

Les règles avancées de Windows Defender Firewall

Un des problèmes de Windows Defender Firewall sont les règles par défaut.
Des processus systèmes pouvant être détournés par les malwares sont autorisés.
Ainsi, ils ne protègent pas complètement.
Pour palier à cela, il faut suivre ce guide :

Enfin un dossier complet existe sur le site afin de vous guider dans la configuration et utilisation du Firewall de Windows.

Avantages de Windows Defender FirewallDésavantages Windows Defender Firewall
Intégré à Windows, rien à installerManque une recherche dans la liste des applications autorisées.
L’interface est assez ancienne et peu moderne
Discret et légerL’interface de gestion et création de règles n’est pas pratique
Le journal du pare-feu est très sommaire
Les avantages et inconvénients de Windows Firewall

En complément, on peut aussi utiliser Windows Firewall control pour mieux contrôler le pare-feu de Windows et palier à certains manquements.

Comodo Firewall

Comodo Firewall est un pare-feu relativement populaire qui existe en version gratuite dite “Free”.
La version payante embarque un antivirus pour une licence un PC annuelle à 17,99 euros.

Les fonctionnalités :

  • Protection pare-feu avec un contrôle des applications.
  • Arrête les virus et les logiciels malveillants avant qu’ils n’accèdent à votre ordinateur.
  • Technologie Sandbox et bac à sables. Le bac à sable est un environnement d’exploitation virtuel pour les programmes non approuvés – garantissant que les virus et autres logiciels malveillants sont complètement isolés du reste de votre ordinateur
  • Analyse basée sur le cloud et analyse des comportements
  • Fournit aux utilisateurs la possibilité de verrouiller leur PC afin que seules les bonnes applications connues puissent s’exécuter.

A la fin de l’installation, Comodo Firewall propose plusieurs modification comme :

  • Changer les DNS de votre connexion internet
  • Installer Comodo Dragon comme navigateur WEB
  • Pousser Yahoo! comme moteur de recherche. Il s’agit ici de monétiser la version gratuite avec un accord commercial avec Yahoo!
Fin de l'installation de Comodo

Les fonctions de pare-feu pour autoriser ou bloquer la connexion sur une application.

Les fonctions du pare-feu de Comodo

On peut aussi afficher les connexions établies mais l’interface reste assez ancienne car il s’agit juste d’une liste.
La page est assez petite et peu pratique.
On ne peut pas faire de recherche sur le nom d’un processus.
Aucun graphique dans le temps n’est disponible.

Les connexions établies sur Comodo Firewall

Les fonctions du container avec l’exécution virtuel dans le bac à sable.
On peut aussi afficher les processus actif dans un gestionnaire de tâches très minimal.

Les fonctions de sandbox et bac à sables de Comodo

Voici un exemple d’alerte et popup qui s’ouvre lorsqu’une application inconnue tente de se connecter.
Vous devez alors choisir d’autoriser ou bloquer.

Alerte réseau du Pare-feu Comodo

Comodo dragon est le navigateur WEB basé sur Chromium.
Il embarque des extensions Comodo mais c’est surtout un prétexte pour forcer le moteur de recherche Yahoo!

Comodo Dragon

L’utilisation mémoire de Comodo Firewall.

Utilisation mémoire de Comodo Firewall
Avantages de Comodo FirewallInconvénients de Comodo Firewall
Complet et donc destiné aux utilisateurs avancés qui veulent tout contrôlerComodo Firewall est donc plus qu’un pare-feu et assez lourd dans son utilisation mais aussi sur le système.
La fonction Sandbox et bac à sablesUn PC de 4 Go sera ralentit surtout si vous avez un antivirus derrière.
La version gratuite peut être percue comme intrusive
Comparatif Comodo Firewall

ZoneAlarm Firewall

ZoneAlarm Firewall est un pare-feu qui existe en plusieurs versions dont une version gratuite.
Dans tous les cas elle embarque un antivirus.

  • Antivirus et Anti-Spyware : Détecte et supprime les virus, logiciels espions, chevaux de Troie, vers, bots et rootkits.
  • Pare-feu avancé : Surveille les programmes ayant des comportements suspects, pour repérer et empêcher de nouvelles attaques pouvant contourner les protections antivirus habituelles.
  • Firewall bidirectionnel : Rend votre PC invisible aux pirates, et empêche les logiciels espions d’envoyer vos données via internet.
  • Protection d’identité : Vous avertit s’il y a des changements non autorisés dans votre dossier de crédit.
  • Mode jeu : Optimise les performances de vos programmes de jeux en ligne, vous offrant la possibilité de suspendre temporairement les alertes de sécurité, les mises à jour des définitions de virus et les analyses automatiques.

Voici la page principale de ZoneAlarm Free Firewall.
Par défaut, l’antivirus n’est pas installé.

La version payante ajoute un Anti-Ransomware, Anti-phishing, Anti-Keylogger.
Bref ça devient presque une suite de sécurité.

L'interface de ZoneAlarm Firewall

La page des paramètres du Firewall.

Les paramètres du pare-feu de ZoneAlarm Firewall

Lee contrôle des applications sur le pare-feu.
Ce n’est pas des plus pratique.

Le contrôle des applications de ZoneAlarm Firewall

Le journal de ZoneAlarm Firewall où on peut trier, rechercher par état.

Le journal de ZoneAlarm Firewall

L’utilisation mémoire avec et sans l’antivirus ZoneAlarm.

Utilisation mémoire de ZoneAlarm
Utilisation mémoire de ZoneAlarm
Avantages de ZoneAlarm FirewallDésavantages de ZoneAlarm Firewall
Relativement completL’interface mérité nu coup de peinture pour plus modernité
Assez simple d’utilisationAucun suivi des connexions en temps réel
Comparatif de ZoneAlarm

SimpleWall

SimpleWall est une interface qui permet de contrôler la plate-forme de filtrage Windows (WFP).
Avec ce dernier, vous contrôler très facilement les accès réseaux pour chaque application.

L’interface est simple et agréable.
On peut lister les applications autorisés et bloqués sur le pare-feu.

L'interface de SimpleWall

SimpleWall permet aussi de gérer les services Windows et applications UWP.

Gérer les applications Win32, applications UWP et services Windows sur SimpleWall

Voici un exemple d’alerte réseau du firewall. Vous pouvez autoriser/bloquer une application ou créer une règle personnalisée.

Alerte de connexion sur SimpleWall

Enfin il est très simple d’afficher les connexions réseaux établies en temps réel ou les historiser dans un journal.

Les connexions en temps réel sur SimpleWall
Le journal de SimpleWall

Un tutoriel existe sur le site :

Avantages de SimpleWallInconvénients de SimpleWall
Interface simple et clairManque une fonction de recherche dans les journaux
Permet de créer des règles personnalisées
Comparatif du firewall SimpleWall

GlassWire

GlassWire est un firewall mais aussi un logiciel qui permet de suivre les connexions réseaux en temps réel.
La version gratuite ne propose pas les fonctionnalités de pare-feu.

On peut très facilement suivre les débits montants et descendants dans le temps.
De plus, Glasswire affiche des alertes sur le graphique que l’on retrouve dans le journal.

Le graphique de l'utilisation réseau sur GlassWire

Puis on peut afficher la liste des applications avec les débits, le type de trafic et les hôtes contactées.
En clair vous pouvez très facilement suivre l’activité réseau de chaque application.

Utilisation et connexion réseau par application sur Glasswire

A chaque fois on peut obtenir des informations sur le processus ou l’application.
Il est aussi possible de soumettre à une analyse VirusTotal.
Enfin des alertes sont liées à celle-ci que l’on retrouve dans le journal.

Les informations sur les applications dans le pare-feu Glasswire.

Enfin la fonction pare-feu avec les applications bloquées ou autorisées.
Vous pouvez aussi bloquer tout le trafic réseau d’une interface.
Elle s’arrête là avec aucune possibilité de créer des règles de personnalisées.

Le pare-feu glasswire

Le journal d’évènements de Glasswire qui consigne toutes les alertes et activités réseau.

Le journal Glasswire

Enfin il existe un article et tutoriel qui présente plus en profondeur ce Firewall :

Avantages de GlasswireInconvénients Glasswire
Assez légerLa version gratuite ne propose pas de pare-feu
Permet de connaître les connexions établies pour chaque applicationLes applications UWP / Windows Stores ne sont pas bien gérées dans le pare-feu
On ne peut pas faire de règles personnalisées
Comparatif GlassWire

NetLimiter

NetLimiter est un logiciel connu pour limiter la bande passante et débit des applications.
Toutefois, il offre aussi des fonctionnalités de pare-feu afin de bloquer les connexions des applications inconnues ou malveillantes.
Cela permet aussi de filtrer les connexions des applications vers internet ou votre réseau LAN.

Popup demander sur le pare-feu NetLimiter
Avantages de NetLimiterInconvénients Glasswire
Assez légerPeut être compliqué pour un utilisateur débutant
Permet de connaître les connexions établies pour chaque application
Peut limiter la bande passante par application
Comparatif NetLimiter

Comparatif Firewall : quel pare-feu choisir ?

Votre choix dépend bien entendu de vos attentes et connaissances informatiques.
Ce tableau comparatif peut déjà vous aider.

LégèretéEfficacitéFacilité d’utilisationNombre
de fonctionnalités
Windows Defender Firewall

(règles par défaut trop permissive)
Comodo Firewall
GlassWire
NetLimiter
SimpleWall

(fait le boulot globalement)
ZoneAlam
Comparatif Firewall : quel pare-feu choisir ?

Pour ceux qui ne veulent pas se prendre la tête, ou cherche le plus léger, Windows Defender Firewall est suffisant.
Pour les utilisateurs avancés qui aiment tout contrôler, Comodo Firewall ou ZoneAlarm fera l’affaire. Attention à la lourdeur, à éviter sur un PC avec 4 Go de RAM.
Si c’est plutôt pour suivre l’activité réseau, le choix se portera alors sur GlassWire ou NetLimiter qui est de loin le meilleur.
Enfin SimpleWall est un bon compris entre tout cela.

L’article Quel est le meilleur Pare-feu/Firewall pour Windows 10, 11 ? est apparu en premier sur malekal.com.

Microsoft surveille XorDdos, un botnet DDoS qui infecte les serveurs Linux via SSH

24 mai 2022 à 13:27

Microsoft surveille de près l'activité du botnet XorDdos, et ces derniers mois, il s'avère que son activité a fortement augmenté : +254%. Voici ce qu'il faut savoir à son sujet.

Le logiciel malveillant XorDdos est un botnet constitué de machines Linux et qui n'est pas nouveau puisqu'il est connu depuis 8 ans environ. Comme son nom le laisse penser, il est utilisé afin de mener des attaques par déni de service distribué (DDoS). Pour élargir ce réseau de machines infectées, des attaques automatisées sont exécutées sur des serveurs Linux où le service SSH est exposé sur Internet. Dans le cadre de ces attaques, la méthode par brute force est utilisée pour tenter de trouver le mot de passe d'accès au serveur au travers d'une connexion SSH. Les serveurs dont le service SSH est exposé sur Internet, qui utilisent un mot de passe faible et qui n'ont pas de systèmes de protection (CrowdSec, fail2ban, etc...) sont particulièrement vulnérables. Le botnet XorDddos profiterait également des objets connectés connectés à Internet (IoT), basés sur Linux et peu sécurisés, ainsi que les instances Docker.

Lorsqu'une machine est compromise, ce qui signifie que le botnet s'est connecté en tant que root sur le serveur, le logiciel malveillant est mis en place. À partir de là, il commence à communiquer avec le serveur C2 de l'attaquant au travers d'une communication basée sur du chiffrement XOR. Dans un premier temps, le botnet collecte des informations basiques sur la machine infectée telles que la version du système, le type de processeur, la vitesse du réseau local, ou encore l'utilisation de la mémoire. D'après Microsoft, les machines infectées ne sont pas seulement intégrées au réseau du botnet XorDdos. En effet, d'autres souches malveillantes infectent ces machines telles que la porte dérobée Tsunami et le logiciel de cryptominning XMRig.

XorDdos est un logiciel malveillant particulièrement évolué puisqu'il dispose de capacités d'évasion lui permettant de dissimuler ses activités, et qu'il tourne en arrière-plan sur les systèmes infectés. Microsoft précise que XorDdos "comprend également plusieurs mécanismes de persistance pour prendre en charge diverses distributions Linux".

Dans son rapport, la firme de Redmond précise que Microsoft Defender for Endpoint détecte et bloque XorDdos en identifiant les menaces comme ceci :

  • DoS:Linux/Xorddos.A
  • DoS:Linux/Xorddos!rfn
  • Trojan:Linux/Xorddos
  • Trojan:Linux/Xorddos.AA
  • Trojan:Linux/Xorddos!rfn
  • Behavior:Linux/Xorddos.A

Ce qui est particulièrement inquiétant, c'est le nombre de machines qui peuvent constituer ce botnet et qui pourraient être utilisées pour mener une attaque DDoS d'envergure. Sinon, pour que ce botnet parvienne à compromettre une machine Linux, il faut vraiment ne pas respecter les principes de bases en commençant par utiliser un mot de passe fort et ne pas permettre l'autorisation via le compte "root" sur un accès SSH.

Source

The post Microsoft surveille XorDdos, un botnet DDoS qui infecte les serveurs Linux via SSH first appeared on IT-Connect.

Comment sécuriser son routeur contre les piratages

26 avril 2018 à 15:46

Dans un article précédent, nous avons vu comment protéger son PC des virus et des pirates.
Qu’en est-t-il des attaques et pirates des routeurs ?
Il faut savoir que le routeurs et les objets connectés sont de plus en plus visés par les pirates.
Ainsi depuis deux ans, on assiste à une augmentation des hacks et piratages des routeurs afin de constituer des botnet.
Les attaques sont souvent automatisées et si le routeur n’est pas bien sécurisé alors ce dernier peut-être compromis.

Voici quelques conseils à suivre afin de pouvoir sécuriser votre routeur contre ces menaces.
Le but est de suivre ces conseils afin de protéger au maximum son routeur.

Comment sécuriser son routeur contre les piratages

La sécurité et les routeurs

Les routeurs sont des appareils qui permettent l’accès et le partage de la connexion internet pour les ordinateurs d’un réseau.
Il s’agit de boîtiers fonctionnant souvent à base de Linux.
Comme tout logiciel installé, une mauvaise configuration ou vulnérabilité peuvent permettre d’infecter ce dernier.
Pour le fonctionnement général des routeurs, reportez-vous à l’article : Comprendre le fonctionnement des routeurs et box.

Les menaces et attaques visant les routeurs

Les menaces visant les routeurs grands publics ne sont pas nouvelles.
Toutefois, depuis 2014, on assiste à une accélération des attaques visant les routeurs ainsi que les objets connectés.
Vous pouvez pour ces derniers, vous reporter à la page : Internet des objets (IoT) et sécurité

Sur le forum, une page de 2014 avec des conseils et actualités existent: Piratages de routeurs en hausse

Les menaces informatiques visant les routeurs sont diverses.
On distingue toutefois deux types de menaces :

  • Un trojan qui permet le contrôle à distance du router pour le faire joindre un botnet. Dernièrement, les routeurs et IoT ont été utilisées pour mener des attaques DoS (botnet Mirai).
  • Détournement des serveurs DNS du routeur (Hijack DNS) afin d’injecter des publicités sur les ordinateurs du LAN. Cela n’est pas nouveau puisque des Trojan DNS visant les routeurs ont existé très tôt. Ce Hijack DNS peut être utilisée pour mener des attaques plus importantes, comme des attaques de phishing ou visant les sites bancaires.

Le schéma suivant montre des attaques par détournement DNS :

Piratage de routeur et détournement DNS

Les botnet qui on pu être constitués en utilisant en autre des routeurs ont été assez massifs, parfois plus de 120 000 appareils.
Les attaques DoS menées ont aussi été très dévastateur.
Ainsi, la sécurité des routeurs et des IoT de manière générale ont été très rapidement pointés du doigt.

Comment les routeurs sont piratés ?

La compromission du routeur se fait généralement par l’existence de vulnérabilité ou une configuration faible de ce dernier.
Ainsi on distingue les attaques suivantes :

  • une vulnérabilité ou faille de sécurité sur les routeurs. Il faut mettre à jour le firmware du routeur) ;
  • une vulnérabilité connue mais que le constructeur ne corrigera jamais corrigée dû à l’obsolescence ;
  • un mot de passe par défaut ou trop faible sur les interfaces de gestion du routeur ;
  • une backdoor / une porte dérobée cachée par le constructeur du routeur ;
  • une configuration trop permissive ou un code qui abaisse le niveau de sécurité

On en revient donc au problème de vulnérabilité où le constructeur est censé proposer des correctifs.
Malheureusement dans certains cas, des constructeurs ont mis du temps à proposer des correctifs. Certains, comme D-Link ont été condamnés aux Etats-Unis.

Le dernière point posant problème est que les utilisateurs n’ont souvent aucune notion de sécurité et comment mettre à jour le routeur.
Ces opérations de maintenance de correctifs du routeur sont d’ailleurs assez complexes.

Un sondage aux USA ont montré que 86% des utilisateurs n’ont jamais à jour leur routeur.

L'importance de la mise à jour du routeur

 

Comment sécuriser son routeur contre les piratages et hack

Voici deux étapes importantes à suivre afin de sécuriser votre routeur.
Cela vise donc à renforcer la sécurité de votre appareil afin d’éviter les hacks.

La configuration et le paramétrage du routeur se fait à partir d’une interface WEB.
Pour se connecter à cette dernière, rendez-vous sur l’article : Comment accéder à l’interface WEB de gestion de la box ou routeur

Changer le mot de passe par défaut

La première étape consiste à changer le mot de passe par défaut, puisque tout le monde connaît ce dernier.
Si l’interface de gestion est accessible par internet, cela est catastrophique pour la sécurité de votre routeur et réseau.
En effet, le pirate peut alors prendre le contrôle du routeur.

Depuis quelques années, beaucoup d’attaques automatisées testent des mots de passe par défaut pour pirater les routeurs.
Il s’agit d’attaque par brute-force.

Il est donc important de changer le mot de passe par défaut, par un mot de passe sécurisé.

Depuis l’interface de gestion, se trouve en général, un menu administration.
A partir de là, vous pouvez changer le mot de passe administrateur.

Sécuriser un routeur : Changer le mot de passe par défaut (LinkSys)

ou encore maintenance > changer mot de passe sur un routeur netgear.

Sécuriser un routeur : Changer le mot de passe par défaut (Netgear)

Sur les Livebox, ce dernier a été changé pour sécuriser leurs accès par les 8 derniers chiffres de la clé WPA.
Celle-ci se trouve sur un auto-collant.

Sécuriser un routeur : Changer le mot de passe par défaut (Livebox)
Sécuriser un routeur : Changer le mot de passe par défaut (Livebox)

Gestion à distance du routeur

Par défaut, le panneau d’administration du routeur n’est pas accessible à distance.
Cela peut permettre le piratage du routeur.
Il faut donc que la gestion à distance du routeur ne soit pas activé.
Là aussi, c’est en général, depuis le menu d’administration que l’on règle ce paramètre.

Sécuriser un routeur : désactiver la gestion à distance

Sur les Livebox, il faut aller dans la configuration avancée > gestion à distance.
Par défaut, la gestion à distance des Livebox n’est pas activée.

Sécuriser un routeur : désactiver la gestion à distance
En général, l’accès à distance du routeur n’est pas actif par défaut pour des raisons de sécurité.

UPnP : un protocole à risque pour la sécurité

UPnP est un protocole qui permet à une application de créer automatiques des règles de transfert de port sur le routeur.
Des implications de sécurité sont liés à ce protocole, on peut alors envisager de le désactiver.
Lire la page : UPnP et les risques de sécurité

Mise à jour du firmware pour corriger les failles de sécurité

Le firmware ou Micrologiciel est donc la partie logicielle active sur le routeur.
Lorsqu’une vulnérabilité est publiée, une mise à jour correctrice est mis en ligne.
Il faut donc mettre à jour le firmware du routeur.
Pour se faire reportez-vous à notre article dédié : Comment mettre à jour le micrologiciel (firmware) d’un routeur

La mise à jour manuelle n’est pas forcément simple.
Il est fort probable, dans un futur proche, que les routeurs se mettent à jour automatiquement afin d’améliorer la sécurité de ces derniers.
D’ailleurs, c’est comme cela que les box françaises fonctionnent.

Les box ne sont pas concernées par ces mises à jour manuelles car ces dernières se mettent à jour automatiquement.

Les autres points à sécuriser contre les virus, attaques et hacks

Sécuriser la connexion Wifi

Votre connexion Wifi peut être une entrée sur votre réseau pour des attaques et pirates.
Enfin cela peut permettre d’accéder à votre réseau puis hacker et compromettre vos appareils (PC, etc).

Enfin, vous pouvez aller plus loin en sécurisant votre connexion Wifi.
Cela permet d’éviter de pirater votre connexion internet et voler des informations mais aussi tenter de pirater votre routeur par rebond.
Plus d’informations sur la page : Comment sécuriser sa connexion Wifi contre les piratages ou hack

Sécuriser son PC contre les virus et attaques

Les PC en Windows sont très visés par les pirates à travers les logiciels malveillants.
Pour vous protéger des attaques et virus, vous pouvez lire notre dossier complet : comment protéger son PC des virus et des pirates.

Ce dernier est un maillon d’un dossier plus complet qui couvre toute la sécurité de votre ordinateur : Comment sécuriser son PC des virus : le dossier

Liens autour des routeurs

Les liens du site autour des routeurs internet.

L’article Comment sécuriser son routeur contre les piratages est apparu en premier sur malekal.com.

Un pirate a publié de faux exploits PoC pour piéger les chercheurs en sécurité

24 mai 2022 à 08:23

Un pirate informatique a ciblé les chercheurs en sécurité en publiant de faux exploits Windows proof-of-concept dans le but d'infecter leurs appareils avec une porte dérobée Cobalt Strike. Une histoire surprenante.

Lorsque Microsoft corrige une vulnérabilité, il est fréquent que les chercheurs en sécurité effectuent une analyse des correctifs et qu'ils publient sur GitHub des PoC d'exploitation de la faille, en précisant la CVE.

Ce travail communautaire est intéressant puisqu'il permet à d'autres personnes, notamment des chercheurs en sécurité et des pentesters, de tester leur propre système de défense contre les vulnérabilités récentes. Bien entendu, des pirates informatiques réutilisent également ces informations à des fins malveillantes (attaques, mouvements latéraux sur une infrastructure compromise).

En avril, à l'occasion de son Patch Tuesday, Microsoft a corrigé différentes failles de sécurité dont les deux CVE suivantes : CVE-2022-24500 and CVE-2022-26809. Il s'avère qu'un pirate informatique a mis en ligne sur GitHub deux PoC malveillants, et donc faux, pour ces deux vulnérabilités ! Il a mis en ligne ces éléments via un compte GitHub nommé "Rkxxz" qui est désormais supprimé.

Preuve qu'il a parfaitement réussi son coup, la nouvelle s'est rapidement répandue sur Twitter, comme c'est le cas lorsqu'un PoC est mis en ligne, jusqu'à attirer l'attention également de pirates informatiques qui ont échangé à ce sujet sur des forums spécifiques, d'après le site Bleeping Computer.

Rapidement, les personnes qui ont pu tester ont constaté un problème ! En effet, lorsque l'exploit est exécuté, cela a pour effet d'utiliser l'outil de pentesting Cobalt Strike pour exécuter un "Beacon", en l'occurrence ici un script PowerShell qui va mettre en place une porte dérobée sur la machine locale. D'ailleurs, l'entreprise Cyble a pu réaliser une analyse avancée de cet exploit et notamment de son code (rapport disponible ici). A en croire les analyses sur VirusTotal, cet échantillon n'est pas considéré malveillant par tous les moteurs antivirus.

Ce n'est pas la première fois que cette méthode est utilisée pour piéger les chercheurs en sécurité et les pentesters, mais c'est intéressant de voir la diversité des méthodes employées par les pirates informatiques.

Source

The post Un pirate a publié de faux exploits PoC pour piéger les chercheurs en sécurité first appeared on IT-Connect.

Firefox 100 bénéficie d’une mise à jour pour corriger 2 failles de sécurité

23 mai 2022 à 12:36

La fondation Mozilla a mis à jour son navigateur Firefox afin de corriger deux failles de sécurité critiques liées à JavaScript. Cette mise à jour est disponible pour les versions desktop et Android, ainsi que pour la version ESR plutôt utilisée en entreprise.

Disponible depuis quelques semaines, Firefox 100 vient de recevoir une nouvelle mise à jour mineure, mais importante qui lui permet de renforcer sa sécurité. Ainsi, Firefox passe en version 100.0.2 sur desktop (Windows, Linux) et en version 100.3.0 sur Android.. Du côté de la version ESR de Firefox, cela se traduit par la sortie de Firefox ESR 91.9.1. Il est à noter que Thunderbird, le client de messagerie de Mozilla, bénéficie lui aussi d'un correctif pour ces mises à jour.

C'est Manfred Paul de la Trend Micro Zero Day Initiative qui a découvert ces deux failles de sécurité lors de l'événement Pwn2Own 2022 de Vancouver qui vient tout juste de se terminer. Elles sont identifiées par les deux références CVE suivantes : CVE-2022-1802 et CVE-2022-1529. Dans les deux cas, les vulnérabilités sont liées à l'utilisation de JavaScript dans le navigateur Firefox, elles permettent une exécution de code et elles héritent d'un score CVSS v3 de 7,7 sur 10.

Si vous souhaitez obtenir des détails techniques supplémentaires, je vous invite à consulter le bulletin de sécurité de Firefox. Quoi qu'il en soit, il est recommandé d'attaquer cette nouvelle semaine par une mise à jour de Firefox ! 🙂

The post Firefox 100 bénéficie d’une mise à jour pour corriger 2 failles de sécurité first appeared on IT-Connect.

Pwn2Own 2022 : Ubuntu et Windows 11 hackés à plusieurs reprises !

23 mai 2022 à 08:18

La compétition de hacking Pwn2Own Vancouver 2022 est désormais terminée ! Après trois jours de recherches intenses, voici un résumé de ce qu'il s'est passé.

Premier jour

Tout d'abord, je vous rappelle que pendant le premier jour de la compétition, les participants ont pu récolter 800 000 dollars de récompense grâce aux différentes vulnérabilités trouvées et aux démonstrations associées. Au total, lors de cette première journée, ils ont découvert 16 failles de sécurité zero-day au sein de multiples produits : Windows 11, Microsoft Teams, Ubuntu Desktop, Mozilla Firefox, Apple Safari, et Oracle VirtualBox.

Deuxième jour

Lors de la deuxième journée, les participants se sont d'avantages concentrés sur le système Tesla. D'ailleurs, l'équipe Synacktiv est parvenue à trouver deux bugs de sécurité différents dans le système d'infodivertissement de la Tesla Model 3, pour une récompense de 75 000 dollars.

Le participant @Jedar_LZ n'a pas réussi à faire la démo de son exploit Tesla dans le temps imparti, donc il n'a pas obtenu de récompense. Néanmoins, la Zero Day Initiative (ZDI) de Trend Micro a obtenu les détails de l'exploit et les a communiqués à Tesla afin que la vulnérabilité soit corrigée malgré tout. L'occasion de rappeler que dans certains cas, les tentatives ont échoué, car les candidats ont un temps limité pour découvrir et montrer l'exploit qu'ils découvrent.

Lors de cette journée, le participant nommé To est parvenu à trouver une vulnérabilité de type "élévation de privilèges" au sein de Windows 11. Il était sur le point d'en trouver une deuxième, mais cela n'a pas abouti par manque de temps.

Enfin, Bien Pham et l'équipe TUTELARY sont parvenus à découvrir deux failles de sécurité permettant une élévation des privilèges au sein d'Ubuntu Desktop. Ils ont pu obtenir 40 000 dollars chacun.

Troisième jour

Pendant ce troisième jour de compétition, les participants sont retournés à la charge sur Windows 11, Ubuntu, etc... Résultat, il y a eu de nouvelles vulnérabilités découvertes : en l'occurrence Windows 11 par trois fois et une fois Ubuntu Desktop, ce qui représente des récompenses de 160 000 dollars. Par ailleurs, l'équipe DoubleDragon n'a pas pu faire valider sa tentative sur Microsoft Teams par manque de temps.

La vulnérabilité sur Ubuntu Desktop a été découverte par l'équipe STAR Labs, qui avait déjà fait la découverte de deux vulnérabilités dans Windows 11 lors de la première journée de compétition.

Cet événement étant terminé, c'est l'heure de faire les comptes ! Lors du Pwn2Own 2022 de Vancouver, les 17 participants ont gagné un total de 1 155 000 dollars grâce aux chaînes d'exploitation et aux exploits (failles "zero-day") identifiés pendant ces trois jours. Félicitations aux différentes équipes ! 🙂

Maintenant, la balle est dans le camp des éditeurs qui disposent de 90 jours pour corriger les différentes failles de sécurité découvertes ! Sinon, la Trend Micro Zero Day Initiative pourra divulguer publiquement les détails sur ces vulnérabilités.

Source

The post Pwn2Own 2022 : Ubuntu et Windows 11 hackés à plusieurs reprises ! first appeared on IT-Connect.

Comment partager une vidéo Youtube aux enfants en toute sécurité ?

21 mai 2022 à 09:00
Par : Korben

Si vous êtes dans l’enseignement ou que ce que voient vos enfants sur Internet vous importe, vous avez sûrement conscience que YouTube peut parfois proposer des vignettes choquantes ou des vidéos qui vont distraire l’élève.

Heureusement, il existe un outil nommé VideoLink destiné aux enseignants outils qui va vous permet de regarder et de partager des vidéos YouTube de manière sûre et conviviale sans aucune distraction ou contenu offensant, que ce soit une image, un lien, un commentaire.

Il vous suffit de coller un lien Youtube sur le site Video.link pour pouvoir la lire dans un environement safe et partager le lien en toute sécurité avec votre classe ou votre famille.

Video.link permet de virer les pubs, de mettre les sous titres, d’avoir un compteur de vues, de modifier le titre de la vidéo, d’activer la lecture automatique et même de ne garder qu’un extrait de la vidéo.

Pratique !

Doctolib et le chiffrement : pourquoi y a-t-il polémique ?

20 mai 2022 à 17:38

Doctolib

Une enquête de Radio France a entraîné une polémique sur la manière dont Doctolib protège les données médicales de sa clientèle. Si l'affaire se concentre sur un point très précis du site, à savoir les rendez-vous médicaux, il illustre néanmoins une communication au minimum imprécise du site.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Doctolib et le chiffrement : pourquoi y a-t-il polémique ?

20 mai 2022 à 17:38

Doctolib

Une enquête de Radio France a entraîné une polémique sur la manière dont Doctolib protège les données médicales de sa clientèle. Si l'affaire se concentre sur un point très précis du site, à savoir les rendez-vous médicaux, il illustre néanmoins une communication au minimum imprécise du site.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Le ransomware DeadBolt s’en prend encore aux NAS QNAP !

20 mai 2022 à 08:41

QNAP alerte ses utilisateurs : une nouvelle vague d'attaques est en cours avec le ransomware DeadBolt ! Il est impératif de mettre à jour son NAS dès que possible !

Dans son nouveau bulletin de sécurité, QNAP précise : "QNAP demande instamment à tous les utilisateurs de NAS de vérifier et de mettre à jour QTS à la dernière version dès que possible, et d'éviter d'exposer leur NAS à l'Internet.". D'après l'équipe de réponse à incident de QNAP, cette nouvelle vague d'attaques cible principalement les NAS des séries TS-x51 et TS-x53, et les versions du système suivantes : QTS 4.3.6 et QTS 4.4.1.

Ces derniers mois, les NAS QNAP sont régulièrement la cible du ransomware DeadBolt et les vagues d'attaques sont assez fréquentes : c'est la troisième depuis le début de l'année 2022. Entre temps, le ransomware DeadBolt s'en est pris également aux NAS ASUSTOR.

Lors des précédentes vagues d'attaques, la rançon demandée était de 0,03 bitcoin sur chaque NAS, ce qui représente environ 850 euros. Pour un particulier, c'est une somme qui est loin d'être négligeable. À ce jour, le ransomware DeadBolt a chiffré les données de plusieurs milliers de NAS QNAP, dont environ 5000 en janvier 2022 et 1000 en mars 2022.

Lorsqu'un NAS est victime du ransomware DeadBolt, les fichiers chiffrés utilisent l'extension .deadbolt. En complément, la page d'accueil de l'interface du NAS (c'est-à-dire le fichier /home/httpd/index.html) est remplacée par une page qui donne les instructions permettant à l'utilisateur de régler la fameuse rançon aux pirates informatiques.

Voici à quoi ressemble cette page :

QNAP - Ransomware DeadBolt

Au-delà de mettre à jour votre NAS, si vous ne souhaitez pas qu'il soit accessible depuis Internet, vous devez désactiver toutes les règles de redirection de port à destination de votre NAS et créé sur votre routeur. Potentiellement, vous avez pu créer ces règles via l'interface du NAS grâce au protocole UPnP, qu'il est recommandé de désactiver.

Utilisateurs de NAS QNAP, à vos mises à jour !

Source

The post Le ransomware DeadBolt s’en prend encore aux NAS QNAP ! first appeared on IT-Connect.

L’analyse des données en temps réel : quels enjeux ?

19 mai 2022 à 17:16
Par : UnderNews

La question des données est un sujet plus que jamais d'actualité. D’après le dernier rapport Confluent mené auprès des décideurs informatiques dans 6 pays (États-Unis, Royaume-Uni, France, Allemagne, Australie, Singapour), 97% des entreprises exploitent le flux de données en temps réel, ce qui en fait l'une des technologies les plus importantes pour prospérer dans le paysage numérique d'aujourd'hui. Mais qu’en est-il vraiment ? Bien plus qu’un simple concept, à quoi sert vraiment la donnée ? et pour quel objectif ?

The post L’analyse des données en temps réel : quels enjeux ? first appeared on UnderNews.

Les API internes, parents pauvres de la cybersécurité ?

19 mai 2022 à 16:37
Par : UnderNews

Depuis 10 ans, les entreprises ont adopté en masse le principe des API pour faciliter l’intégration avec leur écosystème externe. Face à cet engouement et cette facilité de mise en place, elles ont décidé d’utiliser cette technologie à des fins internes. Mais cela s’est-il fait au détriment de la sécurité ?

The post Les API internes, parents pauvres de la cybersécurité ? first appeared on UnderNews.

Pwn2Own : Microsoft Teams et Windows 11 hackés dès le premier jour !

19 mai 2022 à 15:55

Actuellement se déroule la compétition de hacking Pwn2Own Vancouver 2022, et dès le premier jour, les équipes sont parvenus à trouver des vulnérabilités dans différents produits tels que Windows 11 et Microsoft Teams. Faisons le point.

Lors de cette première journée de compétition, les participants ont pu remporter 800 000 dollars de récompense grâce à la découverte et l'exploitation de 16 failles de sécurité zero-day, au sein de différents produits. Dans cette liste des produits hackés, on retrouve des produits très populaires et tendances : Microsoft Teams, et Windows 11, le dernier système d'exploitation de Microsoft.

Cet événement se déroule du 18 au 20 mai 2022, et de belles sommes sont en jeux, et elles sont plus ou moins importantes en fonction des vulnérabilités trouvées et des produits. Il est également possible de remporter une voiture : une Tesla Model 3 ou une Tesla Model S. D'ailleurs, en parlant de Tesla, si une équipe réussie parvient à hacker une voiture Tesla, la récompense sera de 600 00 dollars, en plus de remporter la voiture elle-même. 

Au-delà des récompenses et du côté challenge, ce type d'événement est très intéressant pour renforcer la sécurité des systèmes et logiciels grâce aux nouvelles failles de sécurité découvertes et qui vont pouvoir être corrigées par les éditeurs. Sachez que les éditeurs ont 90 jours pour publier un correctif de sécurité permettant de patcher les vulnérabilités découvertes.

Pwn2Own : plusieurs vulnérabilités découvertes dans Teams

Ce n'est pas une vulnérabilité que les participants ont pu mettre en lumière dans Microsoft Teams, mais plusieurs ! Tout d'abord, Hector Peralta a exploité une faille liée à une mauvaise gestion de la configuration de Teams, puis, l'équipe STAR Labs a démontré un autre exploit basé sur l'exploitation de deux vulnérabilités. Enfin, Teams a fait les frais d'un troisième hacker : Masato Kinugawa qui est parvenu à trouver un exploit basé sur l'exploitation de trois bugs de sécurité (injection, mauvaise configuration et échappement de la sandbox). Grâce à ces démonstrations, chaque participant a pu récolter une jolie somme : 150 000 dollars.

L'équipe STAR Labs ne s'est pas arrêtée en si bon chemin en découvrant une vulnérabilité d'élévation de privilèges (Use-After-Free) dans Windows 11, permettant d'obtenir une récompense de 40 000 dollars supplémentaires. Pour finir, ils ont découvert une vulnérabilité dans VirtualBox et ont obtenu 40 000 dollars encore en plus. Une bonne journée !

Mais ce n'est pas tout !

Au-delà de ces vulnérabilités dans Microsoft Teams, Windows 11, ainsi que VirtualBox, d'autres ont été hackés ! Par exemple, Manfred Paul a récolé 150 000 dollars grâce à la faille qu'il a découverte dans le navigateur Safari d'Apple et celle qu'il a découverte dans Mozilla Firefox. De son côté, Keith Yeo a remporté 40 000 dollars grâce à une faille de sécurité découverte dans Ubuntu Desktop.

Pour en savoir plus, je vous invite à consulter ce lien : PWN2OWN VANCOUVER 2022 - Les résultats

Je vous laisse en compagnie du classement de cette première journée. 😉

Source

The post Pwn2Own : Microsoft Teams et Windows 11 hackés dès le premier jour ! first appeared on IT-Connect.

Le Bluetooth est une porte ouverte au piratage de millions d’appareils électroniques

19 mai 2022 à 11:41

Une faille dans les composants chargés de relayer le signal Bluetooth permettrait à des attaquants de déverrouiller n'importe quel produit doté de cette technologie.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Le Bluetooth est une porte ouverte au piratage de millions d’appareils électroniques

19 mai 2022 à 11:41

Une faille dans les composants chargés de relayer le signal Bluetooth permettrait à des attaquants de déverrouiller n'importe quel produit doté de cette technologie.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Microsoft : les instances SQL Server ciblées par des attaques par brute force

18 mai 2022 à 16:42

Microsoft alerte ses utilisateurs sur le fait qu'il y a des attaques brute force en cours qui ciblent les serveurs Microsoft SQL Server exposé sur Internet et peu sécurisé, la faute notamment à un mot de passe faible.

Ce n'est pas la première attaque de ce type qui est menée, mais c'est sûrement l'occasion pour Microsoft de rappeler l'importance de bien sécuriser son instance SQL Server. Ce qui est particulier dans le cadre de cette attaque, c'est qu'elle s'appuie sur l'outil natif de SQL Server nommé "sqlps.exe". Cet outil est inclus avec toutes les versions de SQL Server, par défaut. De ce fait, "sqlps.exe" agit comme un LOLBin, dans le cas présent, un fichier légitime, car signé par Microsoft, mais qui est utilisé à des fins malveillantes, et donc, qui ne va pas nécessairement attirer l'attention des antivirus et EDR. Ainsi, il peut agir sur le serveur et effectuer différentes actions sans être perturbé.

D'après l'équipe Microsoft Security Intelligence : "Les attaquants obtiennent la persistance sans déposer de fichier en faisant apparaître l'utilitaire sqlps.exe, un wrapper PowerShell pour exécuter des cmdlets SQL, afin d'exécuter des commandes de reconnaissance et changer le mode de démarrage du service SQL en LocalSystem". En complément, les attaquants s'appuient sur "sqlps.exe" pour créer un nouveau compte avec des privilèges élevés afin d'obtenir un contrôle total sur l'instance SQL Server. Lorsque cette étape est effectuée avec succès, cela laisse la possibilité de mettre en place d'autres charges utiles sur le serveur. Lors de campagnes précédentes, les attaquants ont mis en place un logiciel malveillant de type "cryptomining" (Monero ou Vollar) sur les serveurs compromis afin de miner des cryptomonnaies.

SQL Server : quelques règles de sécurité de base

Même si cela semble logique, il est important de rappeler qu'un serveur SQL Server ne doit pas être exposé directement sur Internet. En complément, et notamment pour se protéger contre les attaques de type brute force, il est indispensable d'utiliser un mot de passe complexe, de placer le serveur SQL derrière un pare-feu et de surveiller l'activité du serveur (journaux d'événements, logs).

Le serveur où est installé SQL Server doit être maintenu à jour, tout comme l'instance SQL Server en elle-même, afin de se protéger contre les failles de sécurité les plus récentes.

Je profite de cet article pour vous rappeler que la solution CrowdSec est en cours de développement sur Windows et qu'elle permet de se protéger contre différents types d'attaques, notamment au niveau de SQL Server.

Source

The post Microsoft : les instances SQL Server ciblées par des attaques par brute force first appeared on IT-Connect.
❌