#Le brief du 01 septembre 2021

Nouvelles failles sur les imprimantes, en particulier chez HP, Samsung et Xerox

Nouvelles failles sur les imprimantes, en particulier chez HP, Samsung et Xerox

Le 01 septembre 2021 à 08h44

Chez les trois fabricants, une brèche datant de 2005 a fait surface, comme le rapporte Hacker News. Elle se trouve dans le pilote SSPORT.SYS. Elle est plutôt gênante puisqu’elle peut conduire à une élévation des privilèges et à l’exécution de code arbitraire.

Des correctifs ont été mis en ligne (pensez à installer les mises à jour) mais aucune trace ne laisse supposer que cette faille était activement exploitée. Chez Microsoft, c’est une nouvelle fois le spooler d’impression qui fait parler de lui.

C’était le second cauchemar en quelques jours : « Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec des privilèges SYSTÈME. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, créer des comptes dotés de tous les privilèges ».

Si ce n’est pas encore fait, il est temps d’installer les dernières mises à jour.

Le 01 septembre 2021 à 08h44

Nouvelles failles sur les imprimantes, en particulier chez HP, Samsung et Xerox

Vultur : un cheval de Troie sur Android qui utilise VNC et un keylogger

Vultur : un cheval de Troie sur Android qui utilise VNC et un keylogger

Le 01 septembre 2021 à 08h44

ThreatFabric a détecté cette application malveillante en mars. Le principe est on ne peut plus simple : enregistrer ce qu’il se passe à l’écran et au clavier pour récupérer des données confidentielles, notamment des identifiants et mots de passe. 

L’application était diffusée via le Play Store sous l'appellation Protection Guard. Elle a été installée plus de 5 000 fois avant d’être supprimée. Les détails techniques du fonctionnement de ce cheval de Troie sont donnés par ici.

Le 01 septembre 2021 à 08h44

Vultur : un cheval de Troie sur Android qui utilise VNC et un keylogger

Multiples failles dans des SDK Wi-Fi de Realtek, des risques pour les objets connectés

Multiples failles dans des SDK Wi-Fi de Realtek, des risques pour les objets connectés

Le 01 septembre 2021 à 08h44

Le fabricant a publié un bulletin de sécurité pour les détailler, expliquant que l’une d’entre elles conduit à un scénario catastrophe : l’exécution de code arbitraire.

Selon IoT Inspector (qui est à l’origine de cette découverte), pas moins de 65 vendeurs et près de 200 produits différents seraient concernés. La faille a été remontée à Realtek le 17 mai et corrigée en juin.

Il faut maintenant que les correctifs arrivent jusqu’aux objets connectés… Ce qui est loin d’être gagné pour certains.

Le 01 septembre 2021 à 08h44

Multiples failles dans des SDK Wi-Fi de Realtek, des risques pour les objets connectés

Power Apps : de mauvaises configurations rendent des millions de données accessibles

Power Apps : de mauvaises configurations rendent des millions de données accessibles

Le 01 septembre 2021 à 08h44

Microsoft rappelle que Power Apps « est une suite d’applications, de services, de connecteurs et une plateforme de données qui fournissent un environnement de développement applicatif rapide ». On peut y stocker des données ayant vocation à être librement partagées, tandis que d’autres doivent rester confidentielles.

Une mauvaise configuration et le drame peut arriver… certains se souviendront du cas de MongoDB. C’est exactement ce qu’il s’est passé cet été. UpGuard a en effet notifié 47 entités (organismes gouvernementaux, American Airlines, Microsoft…) que pas moins de 38 millions d’enregistrements étaient librement accessibles.

« Bien que nous comprenions (et approuvions) la position de Microsoft selon laquelle le problème ici n'est pas strictement une vulnérabilité logicielle, il s'agit d'un problème de la plateforme nécessitant des modifications de code », affirme UpGuard.

Microsoft a depuis publié un outil pour vérifier la configuration et a procédé à quelques ajustements sur les permissions par défaut. Cette histoire rappelle une fois encore qu’il est important de bien comprendre (et vérifier) ce que l’on fait…

Le 01 septembre 2021 à 08h44

Power Apps : de mauvaises configurations rendent des millions de données accessibles

BadAlloc : BlackBerry confirme finalement que son système QNX est touché

BadAlloc : BlackBerry confirme finalement que son système QNX est touché

Le 01 septembre 2021 à 08h44

Commençons par revenir en arrière de quelques mois, jusqu’en avril, quand Microsoft dévoilait la faille BadAlloc. Elle affectait une large panoplie d’objets connectés (y compris industriels)… au sens très large du terme puisque cela concerne aussi bien des caméras que des voitures et des produits médicaux.

Comme l’explique Politico, BlackBerry avait alors réfuté que son système d’exploitation était impacté par BadAlloc et n’avait d’ailleurs pas fait la moindre communication sur le sujet. Avec plusieurs mois de retard, la société confirme enfin officiellement être touchée par BadAlloc. Des versions de 2012 et antérieures de QNX sont ainsi concernées. 

« Tous les clients potentiellement concernés ont été informés. BlackBerry a mis à disposition des correctifs logiciels pour résoudre le problème […] Pour le moment, aucun client n'a indiqué qu'il avait été touché », affirme la société.

Le 01 septembre 2021 à 08h44

BadAlloc : BlackBerry confirme finalement que son système QNX est touché

Un paquet npm malveillant récupérait des mots de passe des navigateurs

Un paquet npm malveillant récupérait des mots de passe des navigateurs

Le 01 septembre 2021 à 08h44

Le pot aux roses a été découvert par Secure.software (Reversing Labs). Le paquet en question – nodejs_net_server – a été téléchargé près de 1 300 fois depuis février 2019. La première version était un test du processus de publication d’un paquet npm, mais un script de récupération des mots de passe (ChromePass) a été ajouté par la suite.

Ce dernier « n'est pas malveillant en soi, mais il peut le devenir lorsqu'il est entre de mauvaises mains ». Plus tard, ChromePass a été remplacé par TeamViewer, « probablement parce que l'auteur ne voulait pas avoir un lien aussi évident entre le malware et son site Web », sur lequel ChromePass était récupéré sous la forme d’un fichier a.exe.

Détail « amusant », l’auteur de ce paquet malveillant a publié dans une version du paquet son propre listing de mots de passe… avec pas moins de 282 entrées, dont certaines ne respectent pas vraiment les règles de bases sur la sécurité.

Reversing Labs indique avoir contacté l’équipe sécurité de npm le 2 juillet puis de nouveau le 15 juillet faute de réponse. Le paquet est finalement retiré le 21 juillet. Sa page indique désormais qu’il « contenait du code malveillant et a été supprimé » par l'équipe de sécurité de npm.

Le 01 septembre 2021 à 08h44

Un paquet npm malveillant récupérait des mots de passe des navigateurs

ProxyToken : nouvelle faille Microsoft Exchange qui permettait de récupérer des emails

ProxyToken : nouvelle faille Microsoft Exchange qui permettait de récupérer des emails

Le 01 septembre 2021 à 08h44

En mars dernier, l’entreprise avait déployé en urgence un patch pour corriger des failles 0-day qui permettaient d'exécuter du code à distance dans Microsoft Exchange Server. Ce service est de nouveau sous le feu des projecteurs à cause d’une nouvelle brèche d’importance.

Cette fois-ci, « un attaquant non authentifié peut effectuer des actions de configuration sur des boîtes aux lettres appartenant à des utilisateurs ». On peut alors transférer une copie de l’ensemble des emails entrant ou sortant de la boîte de réception. Les détails techniques se trouvent dans ce billet de blog de la Zero Day Initiative.

Celle-ci indique que cette faille, identifiée CVE-2021-33766, lui a été signalée en mars par le chercheur en sécurité Xuan Tuyen et qu’elle a été corrigée dans la mise à jour cumulative d’Exchange de juillet 2021.

La Zero Day Initiative affirme que Microsoft « Exchange Server continue d'être une terre incroyablement fertile pour la recherche de vulnérabilités. Cela peut être dû à l'énorme complexité du produit, à la fois en termes de fonctionnalités et d'architecture ». Une publicité dont, à coup sûr, Microsoft se passerait bien.

Le 01 septembre 2021 à 08h44

ProxyToken : nouvelle faille Microsoft Exchange qui permettait de récupérer des emails

Microsoft Cosmos DB : des milliers de bases de données étaient accessibles

Microsoft Cosmos DB : des milliers de bases de données étaient accessibles

Le 01 septembre 2021 à 08h44

Scénario catastrophe pour l'éditeur : « nous avons pu obtenir un accès complet et sans restriction aux comptes et bases de données de plusieurs milliers de clients Microsoft Azure, y compris de nombreuses entreprises du Fortune 500 », affirme l’entreprise Wiz spécialisée dans la sécurité informatique.

La brèche a été ajoutée en 2019 avec la fonctionnalité Jupyter Notebook to Cosmos DB. Cette dernière a été activée par défaut pour toutes les nouvelles bases Cosmos DB en février 2021. Microsoft confirme, mais ajoute que, selon son enquête, « aucune donnée client n'a été accédée ». Les clients potentiellement concernés ont été prévenus. 

Microsoft accorde 40 000 dollars de récompense à Wiz pour avoir signalé cette faille de manière responsable (début août), lui laissant ainsi le temps de la corriger et de prévenir ses clients.

Le 01 septembre 2021 à 08h44

Microsoft Cosmos DB : des milliers de bases de données étaient accessibles

AMD : une faille de sécurité touche les processeurs Ryzen Zen+ et Zen 2

AMD : une faille de sécurité touche les processeurs Ryzen Zen+ et Zen 2

Le 01 septembre 2021 à 08h44

On prend les mêmes et on recommence avec une brèche dans la lignée de Meltdown/MDS (Microarchitectural Data Sampling) pour les processeurs AMD cette fois. Elle a été baptisée Transient Execution of Non-Canonical Accesses. 

Le fabricant explique que, avec la combinaison de certaines séquences logicielles, il peut y avoir des fuites de données. Un bulletin de sécurité est disponible par ici. Nous devons cette découverte aux travaux de plusieurs chercheurs, qui les détaillent dans cette publication.

Ils ajoutent que les processeurs Intel vulnérables à MDS le sont également à Transient Execution of Non-Canonical Accesses. Cette brèche aurait été découverte en octobre 2020, mais dévoilée seulement maintenant pour permettre l'arrivée de contre-mesures.

Le 01 septembre 2021 à 08h44

AMD : une faille de sécurité touche les processeurs Ryzen Zen+ et Zen 2

T-Mobile : les données personnelles de dizaines de millions de clients ont fuité

T-Mobile : les données personnelles de dizaines de millions de clients ont fuité

Le 01 septembre 2021 à 08h44

L’opérateur n’a pas fait dans la demi-mesure puisque près de 48 millions de numéros de sécurité sociale ont été exfiltrés de ses serveurs. Dans un communiqué, le CEO Mike Sievert tente néanmoins de minimiser un peu la portée.

Il affirme d’un côté qu’aucune donnée bancaire n’a été dérobée. Puis il ajoute que, « comme tant de fuites auparavant, numéros de sécurité sociale, nom, adresse, date de naissance et permis de conduire/carte identité ont été compromis »… une manière regrettable de banaliser une fuite d'ampleur. Signalons aussi la présence de millions de numéros IMEI et IMSI dans le lot.

Une enquête officielle est en cours et l’opérateur n’a pour le moment pas donné davantage de détails. John Binns, un jeune Américain de 21 ans, endosse la responsabilité de ce piratage et affirme au Wall Street Journal que la sécurité de T-Mobile « est horrible ».

Lors d’une interview à nos confrères, il explique avoir utilisé un routeur non protégé pour pénétrer dans les serveurs de la société.

Le 01 septembre 2021 à 08h44

T-Mobile : les données personnelles de dizaines de millions de clients ont fuité

Poly Network : le feuilleton crypto de l’été, plus de 600 millions de dollars dérobés et… restitués

Poly Network : le feuilleton crypto de l’été, plus de 600 millions de dollars dérobés et… restitués

Le 01 septembre 2021 à 08h44

Début août, un coup de tonnerre retentissait dans le monde des cryptomonnaies : la plateforme Poly Network se faisait pirater (à cause d’une faille de sécurité) et l’équivalent de plus de 600 millions de dollars s’étaient envolés. 

Quelques jours plus tard, premier rebondissement : le pirate retournait une partie des fonds à Poly Network. Comme le rapporte The Verge, il expliquait alors qu’il voulait démontrer la présence d’une brèche, en mettant au passage les cryptomonnaies en sécurité pour éviter qu’une autre personne ne les dérobe. De son côté, Poly Network cherchait à entrer en contact avec lui.

Elle le nommera par la suite « Mr. White Hat » dans les communications officielles. La société lui a offert 500 000 dollars (transférés sur un compte en cryptomonnaies) ainsi qu’un poste de responsable en sécurité au sein de l’entreprise, qu’il aurait refusé. Finalement, deux semaines après le « casse du siècle », l’intégralité des fonds était retournée à la plateforme.

L’adage « plus de peur que de mal » s’applique parfaitement dans le cas présent. Poly Network en profite pour rehausser le niveau de ses récompenses en cas de signalement d’un bug critique, qui va désormais jusqu’à 500 000 dollars. 

Le 01 septembre 2021 à 08h44

Poly Network : le feuilleton crypto de l’été, plus de 600 millions de dollars dérobés et… restitués

L’Argus a été victime d’un « incident de sécurité », pas de fuite du côté des utilisateurs

L’Argus a été victime d’un « incident de sécurité », pas de fuite du côté des utilisateurs

Le 01 septembre 2021 à 08h44

Antoine Jouteau, CEO du groupe Le Bon Coin (propriétaire de l’Argus), explique que l’incident s’est déroulé dans la nuit du 13 au 14 août.  Pour les détails on repassera : « Nos équipes techniques sont mobilisées depuis ce week-end pour restaurer les services de L’argus, isoler les serveurs touchés et restaurer les systèmes ».

Il ajoutait : « les autres plateformes du groupe, notamment leboncoin n’ont pas été touchées et les services de petites annonces continuent à fonctionner sans risque ».

« Les données et les transactions des utilisateurs n’ont pas été compromises et sont sécurisées »… mais rien n’est précisé pour les données de la plateforme. La CNIL a été notifiée et une plainte déposée. 

Le 01 septembre 2021 à 08h44

L’Argus a été victime d’un « incident de sécurité », pas de fuite du côté des utilisateurs

KiwiSDR : l’histoire d’une porte dérobée présente depuis des années et supprimée « discrètement »

KiwiSDR : l’histoire d’une porte dérobée présente depuis des années et supprimée « discrètement »

Le 01 septembre 2021 à 08h44

C’est un peu le film d’horreur de l’été. Cette application de radio logicielle (SDR) disposait d’une backdoor permettant à son développeur – et à tous ceux disposant du mot de passe codé en dur – d’accéder au système avec des droits root… lui ouvrant ainsi une voie royale. 

La porte dérobée a été supprimée cet été, sans aucune mention dans les notes de version ni explications. De quoi inquiéter bon nombre d'utilisateurs de ce logiciel. Cette histoire illustre aussi le besoin d’auditer et vérifier le code des applications et le danger que représentent les portes dérobées. 

Le 01 septembre 2021 à 08h44

KiwiSDR : l’histoire d’une porte dérobée présente depuis des années et supprimée « discrètement »

Cloudflare a bloqué une attaque DDoS de 17,2 millions de requêtes par seconde

Cloudflare a bloqué une attaque DDoS de 17,2 millions de requêtes par seconde

Le 01 septembre 2021 à 08h44

Selon l’entreprise, elle serait « presque trois fois plus importante que toutes les précédentes [attaques] » dont elle a connaissance. Afin de mieux situer l’ampleur de cette tentative de DDoS, Cloudflare affirme traiter « en moyenne plus de 25 millions de requêtes HTTP par seconde ». 17,2 millions de plus sur cet ordre de grandeur, c’est loin d’être négligeable.

« Cette attaque a été lancée par un puissant botnet, ciblant un client Cloudflare du secteur financier ». « En quelques secondes, le botnet a bombardé la périphérie de Cloudflare avec plus de 330 millions de requêtes d'attaque », explique l’entreprise. 20 000 bots de 125 pays auraient été mis à contribution.

De plus amples détails sont disponibles par ici. C’est l’occasion pour la société de mettre en avant ses systèmes de protection, notamment son « autonomous edge DDoS », qui a détecté et bloqué automatiquement cette tentative.

Le 01 septembre 2021 à 08h44

Cloudflare a bloqué une attaque DDoS de 17,2 millions de requêtes par seconde

Gigabyte victime d’une cyberattaque, 112 Go de données auraient été dérobées

Gigabyte victime d’une cyberattaque, 112 Go de données auraient été dérobées

Le 01 septembre 2021 à 08h44

Le fabricant a confirmé à plusieurs de nos confrères avoir été la cible d’un piratage, mais sans entrer dans les détails. Bleeping Computer précise qu’il s‘agirait du ransomware RansomEXX et que 112 Go de données auraient été récupérées par les pirates, qui menacent de les publier si une rançon n’est pas payée. 

Selon les pirates, les documents contiendraient des informations sous NDA de géants comme Intel, AMD et American Megatrends. Mi-août, une première salve de documents (7 Go) a été mise en ligne.

Le 01 septembre 2021 à 08h44

Gigabyte victime d’une cyberattaque, 112 Go de données auraient été dérobées

ProxyShell : les correctifs Microsoft Exchange sont disponibles, mais la mise en place traîne

ProxyShell : les correctifs Microsoft Exchange sont disponibles, mais la mise en place traîne

Le 01 septembre 2021 à 08h44

En mars, Microsoft corrigeait en urgence des failles 0-day critiques dans Exchange Server. D’autres ont ensuite été dévoilées et colmatées durant les mois suivants. Le danger est réel et immédiat car, exploitées conjointement, elles permettent de prendre le contrôle à distance d’un serveur Exchange. Le petit nom donné à ces attaques est ProxyShell

Début août, le chercheur en sécurité Orange Tsai a dévoilé de nouveaux détails. Dans le même temps, le CERT-FR rappelait qu’il fallait redoubler de prudence et affirmait avoir « connaissance de campagnes de recherches actives sur Internet ciblant les serveurs Exchange pour ces vulnérabilités ». 

« Les correctifs sont disponibles depuis plusieurs mois, et le CERT-FR anticipe la disponibilité prochaine de codes implémentant la chaîne d’exploitation complète sur Internet ». Il y a quelques jours, les craintes se confirmaient et des serveurs encore vulnérables étaient identifiés. 

Le CERT-FR rappelle, s’il en est besoin, « la nécessité d’appliquer les correctifs dans les plus brefs délais ». Ce conseil est valable quels que soient les systèmes et les applications, aussi bien pour les professionnels que les particuliers.

Le 01 septembre 2021 à 08h44

ProxyShell : les correctifs Microsoft Exchange sont disponibles, mais la mise en place traîne

Fermer