Chaque dimanche, une revue de presse de l'actu tech en général et de la cybersécurité en particulier
L'agendaC'est en cours ! Du 19 novembre au 19 janvier, Microsoft lance le
Microsoft-zero-day-quest, un bug bounty dont l'objectif est de découvrir des failles de sécurité dans leurs programmes AI et cloud. La prime totale, à départager entre les gagnants, sera de 4 millions de dollars.
https://www.microsoft.com/en-us/msrc/microsoft-zero-day-quest https://www.zdnet.fr/actualites/microsoft-offre-4-millions-de-dollars-de-primes-aux-bugs-lies-a-lia-et-au-cloud-401663.htmLundi 25 novembre de 19h à 20h30, le développeur de
Paheko, solution de gestion associative, propose un temps d'échange en visioconférence sur les question techniques autour de son logiciel.
https://visio.octopuce.fr/b/pah-yvy-j4g-k3dMardi 26 novembre à 9h, l'
Usine Nouvelle organise un webinaire gratuit intitulé "Cybersécurité, comment les industriels peuvent limiter les risques ?" Au programme, le témoignage de responsables cyber d'entreprises telles que Siemens, Bosch, Arkema ou Solvay.
Les mercredi 27 et jeudi 28 novembre au Parc des Expositions porte de Versailles, se tiendra le
Tech Show Paris 2024. Cette exposition immense est découpée en 5 espaces : Cloud, DevOps, Cybersécurité, Data & IA et Data Center.
ATTENTION : l'inscription est gratuite mais obligatoire, et réservée aux professionnels et aux étudiants IT.
https://www.techshowparis.fr/Jeudi 28 novembre 2024 de 13h00 à 17h30, à l'Université de Montpellier (Campus Triolet, 75, rue du Truel) :
Sud Sciences, Festival du film scentifique. Thème 2024 : l'influence de l'IA dans l'évolution du documentaire scientifique et des autres images de sciences.
https://www.agendadulibre.org/events/31119TendancesLes vulnérabilités logicielles les plus dangereuses en 2024Réalisée conjointement par MITRE et le CISA, la liste des 25 vulnérabilités logicielles les plus dangereuses est sortie. La première place revient à la vulnérabilité au cross-site scripting, par défaut de neutralisation des données entrées par l'utilisateur d'une page web.
https://cybersecuritynews.com/25-most-dangerous-software-weaknesses/ https://www.darkreading.com/application-security/cross-site-scripting-is-2024-most-dangerous-software-weaknessLe top 2023 des éditeurs de logiciel en FranceIl ressort des chiffres de 2023 que la croissance de cette année a dépassé les prévisions avec +7,6%. Les secteurs les plus en vogue sont le cloud, le SaaS et l'intelligence artificielle.
https://siecledigital.fr/2024/11/15/top-250-des-editeurs-de-logiciels-en-france-une-croissance-de-76-en-2023/Le principal outil de consommation numérique et audiovisuelle est désormais le smartphoneL'Observatoire de l’équipement de l’audiovisuel de l’Arcom annonce que le nombre de foyers possédant un smartphone atteint 92% (+8,8% par rapport à 2021), dépassant pour la première fois celui des foyers équipés de téléviseurs (89,7%, contre 91,3% en 2021).
Le détail des foyers avec ou sans téléviseurs démontre une nette fracture numérique dans cette tendance, avec une persistance du téléviseur dans les bas revenus, dans les villes petites et moyennes et chez les moins jeunes.
https://siecledigital.fr/2024/11/19/le-smartphone-detrone-la-television-une-revolution-numerique-dans-les-foyers-francais/Pannes & bugsChrome casse le surlignage (et c'est réparé)En début de semaine, une mise à jour de Chrome a cassé le surlignage, affectant les fonctions copier-coller sur plusieurs sites, incluant The Verge, Bloomberg et X. Si un correctif est sorti depuis, sa mise en œuvre dépend des sites affectés.
https://www.theverge.com/2024/11/19/24300531/chrome-chromium-text-highlighting-invisible-websites-tailwind-cssMicrosoft confronté à des bugs sur plusieurs de ses produitsParce que sa dernière mise à jour a pu perturber la distribution des emails sur les serveurs dont les règles de transport ou de protection contre la perte de données (DLP) ont été configurées par l'administrateur, Microsoft a suspendu la distribution des MàJ de sécurité du mois de novembre sur Exchange.
https://www.it-connect.fr/microsoft-exchange-mise-a-jour-novembre-2024-perturbe-envoi-des-e-mails/Quant à Windows 11 24H2, le changement de fuseau horaire est cassé.
Et les gamers utilisant cette version de l'OS en même temps qu'un convertisseur audio USB DAC se trouveront confrontés à un bug qui pousse le volume à fond. Ce sont les voisins qui vont être contents...
https://www.theregister.com/2024/11/19/microsoft_breaks_timezones_in_settings/ https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-game-audio-issues-on-windows-11-24h2-pcs/Les utilisateurs restés sur Windows 10 ne sont guère mieux lotis : ceux d'entre eux ayant installé une appli livrée avec WinAppSDK 1.6.2 se trouveront incapables de mettre à jour ou de désinstaller Teams. Microsoft travaille à réparer le bug.
https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-winappsdk-update-breaking-windows-10-app-uninstalls/Failles de sécuritéAppleMacOS et iOS sont touchés par deux vulnérabilités, l'une permettant une RCE (CVE-2024-44308), l'autre un cross-site scripting (CVE-2024-44309). L'exploitation a déjà commencé, les patches sont disponibles.
https://www.securityweek.com/apple-confirms-zero-day-attacks-hitting-intel-based-macs/ https://techcrunch.com/2024/11/19/apple-says-mac-users-targeted-in-zero-day-cyberattacks/MacOS WorkflowKit permet l'exécution de code code malveillant par l'intercepetion et la modification d'entrées utilisateur. (CVE-2024-27821). Le patch n'est pas encore sorti.
https://gbhackers.com/macos-workflowkit-race-vulnerability/ https://cybersecuritynews.com/macos-workflowkit-race-vulnerability/ChatGPTMarco Figueroa, manager de 0Din (la plateforme de bug bounty sur la genIA de Mozilla), a découvert cinq vulnérabilités critiques dans l'environnement de ChatGPT, permettant l'exécution de code en Python et l'accès aux configurations internes. OpenAi dénie le caractère vulnérable de la sandbox, affirmant que toutes les interactions possibles avec l'utilisateur sont des fonctionnalités et non des bugs. Le chercheur, de son côté, maintient la possibilité d'une compromission du système par ce biais.
https://hackread.com/mozilla-0din-chatgpt-sandbox-flaws-python-execution/D-LinkDevant les risques causés par des RCE sur leurs anciens modèles de routeurs VPN, D-Link préfère offrir à leurs détenteurs -20% sur le prix d'appareils récents, plutôt que de sortir un patch.
https://www.theregister.com/2024/11/20/dlink_rip_replace_router/ https://www.bleepingcomputer.com/news/security/d-link-urges-users-to-retire-vpn-routers-impacted-by-unfixed-rce-flaw/ https://cybersecuritynews.com/multiple-d-link-end-of-life-routers-vulnerabilities/FortinetUne faille dans le design du VPN FortiClient permet de mener des attaques par force brute indétectées. aucun patch n'est sorti à ce jour.
https://gbhackers.com/forticlient-vpn-brute-force-attacks/ https://www.bleepingcomputer.com/news/security/fortinet-vpn-design-flaw-hides-successful-brute-force-attacks/KubernetesUne vulnérabilité touche les conteneurs Kubernetes associés à un volume gitRepo, et laisse les attaquants exécuter des commandes arbitraires (CVE-2024-10220)
https://cybersecuritynews.com/critical-kubernetes-vulnerability/Microsoft Une faille de sécurité critique autorisant les RCE a été détectée dans le système d'authentification Kerberos. Le patch est sorti mardi dernier, la mise à jour est chaudement recommandée.
https://hackread.com/windows-kerberos-flaw-millions-of-servers-attack/NvidiaLe composant CMDaemon souffre d'une vulnérabilité critique qui permet de nombreuses infractions (RCE, DOS, escalade de privilèges, fuite de données...) : CVE-2024-0138
https://cybersecuritynews.com/nvidia-base-command-manager-vulnerability/OracleL'entreprise alerte sur une vulnérabilité sévère touchant son framework Agile Product Lifecycle Management et permettant un accès non autorisé aux données : CVE-2024-21287. Un patch est disponible, une mise à jour est recommandée dès que possible.
https://cybersecuritynews.com/oracle-agile-plm-zero-day-vulnerability/Palo AltoLes pare-feux de Palo Alto sont la cible d'une attaque massive (plus de 2000 piratages en quelques jours, principalement en Inde et aux USA) à cause de deux faille zero-day critiques dans l'interface de gestion de PAN-OS, leur système d'exploitation.
La première est de permettre un accès distance sans authentification et la prise de contrôle du pare-feu par gains de privilèges administrateur : CVE-2024-0012.
La seconde suit naturellement la première et consiste à laisser un administrateur réaliser une injection de commandes pour une nouvelle élévation de privilèges qui lui accordera des droits root : CVE-2024-9474.
Des patches sont désormais disponibles et comme d'habitude à utiliser au plus vite. Si la mise à jour est retardée, il est recommandé de ne pas exposer l'interface de gestion sur internet et d'en limiter l'accès avec une liste blanche.
https://www.it-connect.fr/environ-2-000-firewalls-palo-alto-pirates-en-quelques-jours-avec-les-dernieres-failles-de-securite/ https://www.helpnetsecurity.com/2024/11/18/cve-2024-0012-cve-2024-9474/ https://www.helpnetsecurity.com/2024/11/21/palo-alto-firewalls-compromised-cve-2024-0012-cve-2024-9474/ https://www.bleepingcomputer.com/news/security/over-2-000-palo-alto-firewalls-hacked-using-recently-patched-bugs/ Operation Lunar Peek: More Than 2,000 Palo Alto Network Firewalls Hacked
Samba ADLa version 4.13.0 de Samba, lorsque configuré pour faire office de contrôleur de domaine AD, peut laisser une prise de contrôle indue, potentiellement sur la totalité du domaine : CVE-2023-3961. Des patches sont disponibles et applicables au plus tôt.
https://cybersecuritynews.com/samba-ad-vulnerability/Fichiers Scalable Vector Graphics La nature du format image SVG, qui utilise des formules mathématiques pour transmettre des formes, des couleurs et du texte, le rend propice à dissimuler du code malveillant sans être détecté. La technique n'est pas nouvelle, mais s'améliore et s'intensifie. Une grande vigilance s'impose donc pour des fichiers SVG reçus par email.
https://www.clubic.com/actualite-544076-le-svg-la-nouvelle-arme-ultime-des-hackers.htmlTrend MicroLe logiciel AV Deep Security 20 Agent comporte une vulnérabilité qui permet l'escalade de privilèges et l'injection de commandes : CVE-2024-51503. Le patch est disponible, à appliquer sans tarder.
https://cybersecuritynews.com/trend-micro-deep-security-vulnerability/ https://gbhackers.com/trend-micro-deep-security-vulnerable/UbuntuCinq possibilités d'élévation de privilèges en local (LPE) ont été découvertes dans le paquet Needrestart, depuis Ubuntu Server 21.04. Ce qui est remarquable, c'est que celtte version remonte à 10 ans. Bien que l'exploitation de ces failles nécessite un accès local, il est important de passer à la version 3.8 ou ultérieure au plus vite : CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224, et CVE-2024-11003
https://www.it-connect.fr/linux-failles-de-securite-vieilles-de-10-ans-decouvertes-paquet-needrestart-ubuntu/ https://www.bleepingcomputer.com/news/security/ubuntu-linux-impacted-by-decade-old-needrestart-flaw-that-gives-root/ https://cybersecuritynews.com/ubuntu-server-needrestart-package/ https://www.theregister.com/2024/11/21/qualys_needrestart_linux_vulnerabilities/VMwareDeux failles de sécurité ont été découvertes sur VMware vCenter
La première permet une RCE :CVE-2024-38812 a fait l'objet d'un correctif.
La seconde permet une élévation de privilèges : CVE-2024-38813 a elle aussi été corrigée.
Pourtant, il ya quelques jours, VMware a fait savoir que ces deux vulnérabilités étaient activement exploitées. La solution la plus sûre est de passer à vCenter version 8.0 U3d ou ultérieure.
https://www.it-connect.fr/vmware-vcenter-cette-faille-de-securite-difficile-a-corriger-est-exploitee-par-les-pirates/ https://www.theregister.com/2024/11/18/vmware_vcenter_rce_exploited/ https://www.bleepingcomputer.com/news/security/critical-rce-bug-in-vmware-vcenter-server-now-exploited-in-attacks/ https://cybersecuritynews.com/cisa-warns-of-vmware-vcenter-vulnerabilities/WordPressLe plug-in Really Simple Security comporte une faille de sécurité permettant un contournement de l'authentification à deux facteurs. 4 millions de sites sont concernés, avec la possibilité de prendre le contrôle de l'administration du site, mais aussi d'automatiser l'attaque sur des cibles multiples : CVE-2024-10924. Le patch est disponible, son installation est urgente.
https://www.darkreading.com/cloud-security/critical-wordpress-plugin-flaw-4m-sites-takeover https://www.clubic.com/actualite-543929-nouvelle-faille-de-securite-dans-un-plugin-wordpress-utilise-par-des-millions-de-sites.html https://www.it-connect.fr/wordpress-faille-critique-really-simple-security-expose-4-millions-sites-web/MàJ et nouvelles fonctionnalitésBraveSur sa version pour iOS, le navigateur Brave permet désormais à l'utilisateur de détruire les données de navigation site par site, selon ses préférences.
https://www.bleepingcomputer.com/news/security/brave-on-ios-adds-new-shred-button-to-wipe-site-specific-data/MicrosoftMicrosoft ajoute une nouvelle fonctionnalité à Active Directory : Specops uReset, une solution de réinitialisation des mots de passe directement par l'utilisateur. Pour rappel, jusqu'ici, Active Directory réserve la réinitialisation du mot de passe à ceux qui ont les droits d'administrateur, ce qui oblige les utilisateurs à faire appel au help desk quand ils veulent en changer.
https://www.it-connect.fr/active-directory-reinitialisation-du-mot-de-passe-libre-service-avec-specops-ureset/Chez Microsoft encore, on est en train de tester Edge Game Assist, un nouveau navigateur in-game qui cherche automatiquement des soluces en ligne pendant une session de jeu.
https://www.theverge.com/2024/11/23/24303988/microsoft-game-assist-browser-overlay-game-bar-pc-gamingGoogleLa fonction de cadrage automatique, qui permet d'être toujours au centre de l'image lors d'une visioconférence, sera désormais accessible à tous les utilisateurs de Meet.
https://www.zdnet.fr/actualites/google-meet-generalise-sa-surprenante-fonction-de-cadrage-automatique-401737.htmProxmox Proxmox intègre à sa version 8.3 un pare-feu avec SDN (Software-Defined Networking), ce qui offre aux utilisateurs la posssibilité de créer des réseaux et zones virtuelles, et facilite la gestion des configurations réseau complexes via l'interface web de Proxmox VE.
Attaques : les campagnes de la semaineFuites de donnéesLa liste hebdomadaire des victimes devient vertigineuse. Pour éviter de passer de la revue de presse à l'encyclopédie, les fuites de données feront l'objet d'un simple listing (et d'une sélection subjective).
PhishingL'identité des agences gouvernementales étatsuniennes est usurpée dans une campagne massive de fausses requêtes Docusign.
https://hackread.com/us-govt-agencies-impersonate-docusign-phishing-scams/L'approche du black friday est un moment idéal pour les scams...
https://thecyberexpress.com/ncsc-warns-of-fraud-risk-on-black-friday/Microsoft a saisi a saisi 240 domaines appartenant à ONNX, une plateforme PhaaS (Phishing as a Service).
https://www.darkreading.com/cybersecurity-operations/microsoft-takes-action-against-phishing-service-platformUne agence locale japonaise dédiée au soutien aux victimes des yakuzas fait fuiter les données de 2 500 personnes suite à un phishing réussi.
https://www.theregister.com/2024/11/22/helpline_for_yakuza_victims_may/Les progressions de la semaineLa cybercriminalité assistée par AI est en constante augmentation. On atteint le nombre d'une attaque par deepfake toutes les 5 minutes en 2024, soit une augmentation de 244% en un an.
https://www.helpnetsecurity.com/2024/11/22/ai-assisted-fraud-rise/Même tendance du côté des DDOS, qui atteignent les 14,5 millions, soit 2 200 par heure.
https://cybersecuritynews.com/ddos-attack-growing-bigger/Les arnaques aux faux captcha et au support technique se multiplient en France :
https://siecledigital.fr/2024/11/21/montee-en-fleche-des-arnaques-aux-faux-captcha-et-au-support-technique-en-france/ https://www.undernews.fr/reseau-securite/phishing-hoax/ingenierie-sociale-le-piege-clickfix-se-repand-sur-le-web-entre-faux-captcha-et-faux-problemes-it.htmlEn dehors des sentiers battus...L'attaque "Sitting duck" existe depuis 2018 mais était restée relativement confidentille jusque là. Il s'agit de prendre le contrôle d'un domaine en attaquant ses configurations DNS. On dénombre environ 800 000 domaines vulnérables, dont 70 000 déjà exploités.
https://cybersecuritynews.com/hackers-using-sitting-ducks-attack-to-hijack-domains-1-million-domains-vulnerable/Une toute nouvelle attaque : Ghost Tap exploite le mode de paiement par mobile NFC (Near Field Communication).
https://www.bleepingcomputer.com/news/security/new-ghost-tap-attack-abuses-nfc-mobile-payments-to-steal-money/ https://cybersecuritynews.com/ghost-tap-attack/Encore une revue de presse trop longue pour le format, mais pas assez pour aborder toute l'actualité de la semaine :(
A la semaine prochaine...
