Archives pour la catégorie Microsoft

De nombreuses failles Microsoft sont découvertes tous les jours. Nos articles essayent d’en relayer le plus possible afin de prévenir nos chers lecteurs et de les protéger contre les pirates informatiques !

Les conséquences qu’il faut attendre des failles de sécurité de Microsoft Exchange

Il y a un mois de cela jour pour jour, le géant américain de l’informatique que Microsoft, rendait public la détection de 4 failles de sécurité de type 0 day.

Des failles de sécurité qui ont profité a des cybercriminels pour initier plusieurs formes d’attaques informatiques. Si Microsoft a bel et bien proposé un patch de sécurité pour combler vulnérabilités, toutes les structures vulnérables n’ont pas encore exécuté les mises à jour nécessaire.

Cet article va aussi vous intéresser : Microsoft Exchange : les boîtes e-mails piratées

Si on est sûr d’une chose aujourd’hui, c’est bien sûr que les failles de sécurité ont été belle et bien exploité. Cependant, on ne peut établir avec certitude l’ampleur de ces exploits. On peut juste préciser que 400 000 serveurs ont été exposés dès le début de la faille de sécurité. Une situation qui se présente comme plateau servi pour les pirates informatiques.

De manière ou d’une autre, la réputation de Microsoft est en jeu.

« Les entreprises distribuent les courriers électroniques à leurs employés à l’aide de serveurs de courrier, dont Microsoft Exchange est l’un des plus répandus. Lorsque Microsoft a annoncé l’existence de quatre failles inconnues dans ses serveurs – des « vulnérabilités zero-day » –, elle a aussitôt publié des correctifs. Les vulnérabilités ont été découvertes par au moins deux groupes de chercheurs, au sein de sociétés spécialisées, DevCore (https://devco.re/en/), à Taiwan, et Volexity, aux États-Unis, qui ont averti Microsoft début janvier, en toute discrétion. C’est l’usage. Ce secret permet à l’entreprise de mettre au point des correctifs sans révéler les failles. Souvent, hormis les chercheurs, personne d’autre n’a identifié le problème, de sorte que, au moment où le correctif est publié, les criminels n’ont pas le temps de développer des outils pour l’exploiter… sauf si les entreprises tardent à déployer ces correctifs. C’est là qu’est le danger. Dans ce cas, les hackers qui tentent de comprendre, grâce au correctif, ce que ce dernier essayait de corriger (technique appelée rétro-ingénierie ou « reverse engineering »), peuvent l’exploiter afin d’attaquer les entreprises encore vulnérables. Ici, les failles étaient déjà exploitées : dès janvier, Volexity avait averti Microsoft qu’un groupe de hackers était occupé à (tranquillement) exploiter cette ou plutôt ces vulnérabilités. Autrement dit, les hackers avaient découvert ces failles avant même que Microsoft ne le sache et en profitaient pour compromettre la sécurité des serveurs. », détaille Charles Cuvelliez, enseignant à l’Université de Bruxelles et chef de la sécurité de l’information chez Belfius Banque – Gaël Hachez, PwC Belgique, cybersécurité et Jean-Jacques Quisquater, enseignant à l’université de Louvain et MIT.

De façon concrète, les failles de sécurité permettant aux pirates informatiques de réaliser certains exploits. À savoir par exemple :

– Infiltrer les e-mails du serveur Exchange pour espionner les conversations ou exfiltrer des informations.

– Exécuter un code malveillant (une porte dérobée) sur le serveur de l’entreprise dans le but d’y accéder à distance

– Exécuter certaines commandes qui en principe ne sont pas permise surtout en passant par les serveurs Exchange.

– S’octroyer des privilèges d’administrateur en exécutant un code arbitraire à distance.

– Ecrire des fichiers sur les serveurs Exchange peu importe la partie.

La gravité de cette situation est visible à travers la possibilité pour les pirates informatiques d’automatiser l’ensemble de leur action

Interrogé sur ces questions de failles de sécurité, le patron de la société de sécurité informatique américaine FireEye, Kevin Marndia explique : « Certaines configurations sont-elles plus exposées que d’autres ? Tout d’abord, pour profiter de ces failles, il faut que le serveur Exchange soit directement relié à Internet. La tâche est facilitée dans les petites entreprises, qui ont un seul serveur, car l’adresse e-mail des utilisateurs permet de pointer directement sur cet unique serveur. Dans le cas contraire, il reste nécessaire d’identifier plus précisément le serveur à attaquer. Certaines sociétés ne permettent à leurs employés d’accéder aux e-mails qu’à condition de se connecter préalablement au réseau d’entreprise. Celles-là sont a priori mieux protégées, même si l’installation de correctifs de sécurité reste indispensable : un hacker qui serait rentré dans le réseau via un autre moyen peut alors accéder au serveur et exploiter les vulnérabilités. ».

Lorsque Microsoft a par exemple découvert les failles de sécurité, il était en son obligation bien sûr d’avertir le public. L’entreprise américaine était face à une course à la montre où il lui était exigé de produire le plus tôt possible un correctif de sécurité pour combler les vulnérabilités. Pourtant les choses ne sont pas si simples que cela. Effectivement, « Mais tout le monde savait à l’avance qui allait gagner : appliquer ces correctifs (ce qu’on appelle « patcher » des serveurs dans le jargon), les programmer et les planifier est une tâche assez longue. Pour « patcher » des serveurs, il faut les déconnecter du réseau, y accéder en mode administrateur, appliquer les instructions de Microsoft. Tout cela laisserait du temps aux criminels. Ce n’est que récemment que Microsoft a proposé pour les entreprises un correctif tout-en-un qui se rapproche des mises à jour que nous appliquons tous sur nos ordinateurs personnels. Et ce correctif tout-en-un n’est apparu qu’après que le Conseil de sécurité nationale de la Maison-Blanche a instamment demandé à Microsoft d’aider les petites entreprises, qui n’ont pas d’équipes dédiées, prêtes à faire face, à surmonter cette vulnérabilité. » expliquent nos   spécialistes. Et cela se confirme lorsque le 23 mars dernier, Microsoft annoncé qu’il y avait encore 30 000 infrastructures qui n’avaient pas toujours adoptés les patchs de sécurité. Quelques semaines avant, soit le 12 mars, il y avait encore 82 000 infrastructures qui étaient toujours vulnérables.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Attaques informatiques : une riposte contre l’attaque de Microsoft serait en cours

L’attaque informatique qui a touché le service de messagerie fourni par le géant américain Microsoft, juste quelques mois après l’attaque de l’entreprise Texanne SolarWinds, il est dit que des milliers de systèmes informatiques et d’ordinateurs seraient compromis.

Surtout, des réseaux informatiques appartenant au gouvernement américain, en plus haut du secteur privé.

Selon une déclaration émanant d’un responsable du gouvernement américain, l’administration du nouveau président Joe Biden était sur le point de lancer une riposte à ses différentes attaques informatiques. Si ce dernier c’est-à-dire le responsable l’a pas souhaité être identifié, il est confirmé selon plusieurs sources qu’il affirme de manière claire et nette que la Maison Blanche, en collaboration avec certaines entreprises du secteur privé, essaie de mettre en place les meilleures Défenses possible contre la cybermalveillance.

Cet article va aussi vous intéresser : Piratage d’Exchange : les experts de la sécurité inquiets par la présence d’un rançongiciel

Si de manière concrète, aucun lien a été établi entre les récentes attaques informatiques qui ont visé Microsoft Exchange et celle du logiciel Orion de SolarWinds, il n’empêche que, l’hypothèse ensemble crédible. Pour ce qui concerne cette dernière cyberattaque, il avait été envisagé par les autorités américaines que l’attaque informatique auraient peut-être le fait des autorités russes, cachées derrière des cybercriminels. Accusation démentie par ces dernières. Cela expliquera sans doutes les rumeurs concernant riposte éventuelle des Américains.

« Vous pouvez vous attendre à de prochaines annonces sur ce sujet dans quelques semaines, et non quelques mois », a déclaré le haut responsable américain, lors d’une rencontre avec la presse sur les deux attaques informatiques (SolarWinds et Microsoft Exchange).

Les autorités américaines ont déclaré que des agences fédérales sont intervenues avec succès pour repars et les systèmes informatiques des 9 agences qui avaient été impactées par la cyberattaque de l’entreprise Texane. Du côté de la cyberattaque de Microsoft Exchange, une action fédérale d’urgence sur un aussi en cours. Car, il faut l’avouer, les cybercriminels ont activé plusieurs failles de sécurité qui peuvent avoir des conséquences dommageables.

Le haut responsable a déclaré que pour trouver des solutions au problème actuel : « pour la première fois nous avons invité des entreprises du secteur privé à participer dans des réunions majeures de sécurité nationale au sujet des attaques ». Ce dernier précise que la réponse « est encore en train d’évoluer ». « Nous avons vraiment une courte fenêtre de temps pour réparer les serveurs vulnérables », « c’est une question d’heures et non de jours », ajoute-il.

À titre de rappel, il faut signifier que nouveau type de programme de rançon exploite une faille de sécurité qui a été créé lors d’une attaque informatique contre les serveurs de Microsoft Exchange. Par rapport à ce que mentionnent les experts, une attaque massive peut causer beaucoup de dégâts si cela n’est pas anticipé.

« Nous avons détecté et nous bloquons une nouvelle famille de logiciels de rançon utilisés après une attaque initiale sur des serveurs locaux d’Exchange non mis à jour », a souligné le département sécurité de à société de Redmond sur Twitter.

Le logiciel indexé ces jours-ci sur est d’origine chinoise. Il est baptisé « DearCry ». Il aurait été utilisé par un groupe de pirates informatiques connus sous la dénomination de « Hafnium ». Un groupe de pirate Informatiques semble-t-il, qui serait soutenu par le gouvernement chinois de Pékin. Près de 30 000 organisations composées de ville de collectivités locales américaines et d’entreprises en privées aurait été touché par ce dernier programme malveillant.

Face à la situation qui se présente, Brent Callow, de Emsisoft, Une société de cybersécurité déclare : « Il sera facile de faire des mises à jour pour empêcher des intrusions futures, mais pas d’apporter des correctifs sur les systèmes qui ont été attaqués ». Il ajoute part ailleurs : « Il est absolument essentiel que les gouvernements mettent au point rapidement une stratégie pour aider les entreprises à sécuriser leurs serveurs Exchange et corriger les failles avant que la situation, qui est déjà grave, n’empire ».

Pour le moment, la stratégie que compte adopter le gouvernement américain pour initier sa contre-attaque n’a pas été dévoilée. Aucun détail non plus du côté de Microsoft ou d’autres entreprises telle que FireEyes ou SolarWinds, qui pourraient être impliquées d’une certaine manière à cette réponse.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Piratage d’Exchange : les experts de la sécurité inquiets par la présence d’un rançongiciel

Le programme informatique malveillant dont il est questions se fait appelé « DearCry ».

Selon certaines informations, il aura été créé par des pirates informatiques chinois sont tenus par le gouvernement de Pékin. Ce logiciel malveillant qui est assez nouveau dans sa catégorie a été détecté après avoir exploiter une faille de sécurité présente dans les services de messagerie Exchange de Microsoft. Le géant américain en question aurait été victime d’une attaque massive, une cyberattaque dont les conséquences pourrait s’évaluer à un haut niveau. Les Spécialistes de la sécurité pense qu’il faudrait faire attention et prendre ses dispositions

« Nous avons détecté et nous bloquons une nouvelle famille de logiciels de rançon utilisés après une attaque initiale sur des serveurs locaux d’Exchange non mis à jour », avait déclaré l’équipe de sécurité de la société basée à Redmond.

Par ailleurs il faut noter que le programme de rançon « DearCry » a été découverte après l’attaque informatique après mieux à un autre programme en malveillants connu sous la dénomination de « Hafnium ». Pour le moment comme nous l’avons mentionné plus haut, il est attribué à des pirates informatiques chinois soutenus par les autorités du pays.

C’est près de 30.000 organisations composées d’entreprises et de collectivités locales de villes qui ont été probablement touchées. Certaines seraient même aux États-Unis.

Le spécialiste de la sécurité dans Michael Gillespie, le fondateur de ID Ransomware, avait détecté dans plusieurs systèmes informatiques, un programme malveillant qui crypte les données et exige le paiement de rançon.

Beaucoup d’applications derrière ces différentes cyberattaques en particulier cette dernière qui serait peut-être imputer à la Russie. On parle alors à l’attaque informatique qui a touché de plein fouet une entreprise Texane, SolarWinds. Une attaque informatique qui est qualifiée comme étant la plus importante de cette décennie. « Il sera facile de faire des mises à jour pour empêcher des intrusions futures, mais pas d’apporter des correctifs sur les systèmes qui ont été attaqués », a souligné Brent Callow, de la firme de sécurité informatique Emsisoft. « Il est absolument essentiel que les gouvernements mettent au point rapidement une stratégie pour aider les entreprises à sécuriser leurs serveurs Exchange et corriger les failles avant que la situation, qui est déjà grave, n’empire », a ajouté ce dernier.

On rappel qu’en début de semaine, la police fédérale américaine ainsi que le ministère de la sécurité intérieure mettaient l’ensemble des utilisateurs but service de messagerie de Microsoft en garde. Le communiqué mentionne que cette faille pouvait d’une certaine manière : « compromettre des réseaux, voler des informations, encrypter des données en vue d’une demande de rançon, ou même perpétrer des attaques destructrices ».

Le département de la sécurité intérieure à travers sa section sécurité informatique à faire appel à la mise en place de correctif de sécurité unique pouvant être utilisé par le gouvernement et par le secteur privé séparément.

« Si 95% des infrastructures essentielles sont contrôlées par le secteur privé, nous devons être à la table pour trouver des solutions », déclare Suzanne Clark, la présidente de la Chambre américaine de commerce. Elle manifeste ouvertement son inquiétude face à la situation.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage
=

Microsoft veut se débarrasser des mises à jour de Windows 10 qui perturbent son système d’exploitation

L’objectif est de faire éviter aux entreprises plusieurs autres difficultés qui pourraient être liées à la mise à jour.

La semaine dernière, le géant américain Microsoft avec dévoiler une fonctionnalité d’un nom de « Known Issue Rollback » qui permettait aux administrateurs IT la possibilité d’annuler des processus de mise à jour qui entre pas dans le cadre des correctifs de sécurité si cela pose un problème.

Cet article va aussi vous intéresser : Les pirates informatiques proposent de revendre les codes sources piratés à Microsoft

De façon pratique, il n’est pas rare que les mises à jour proposées par Microsoft sur Windows 10 soient souvent de nature à agacer. Avec la nouvelle fonctionnalité que propose le géant de Redmond, le professionnel du secteur de l’IT vont se voir beaucoup aider. De la sorte lorsqu’une mise à jour ne semble pas nécessaire ou utile, les administrateurs auront la possibilité de revenir à l’avant mise à jour des l’instant où cela posera des perturbations opérationnelles. Bien sûr, cette fonctionnalité ne concerne pas les correctifs de sécurité.

La partie de ce nouveau déploiement, le géant de Redmond ne vas plus forcer sa clientèle à accepter les changements qui sont souvent inclus dans ces mises à jour qui parfois sont imparfaite sur le plan opérationnel. « Même si la qualité s’est améliorée au cours des cinq dernières années, nous reconnaissons que parfois les choses peuvent mal tourner et qu’elles tournent mal », a signifié dans un accès de sincérité la responsable principale du programme, bienvenue Namrata Bachwani, dans une vidéo postée le 2 mars lors de la conférence virtuelle Ignite de la firme de Redmond.

« Jusqu’à présent, c’était du tout ou rien, il fallait soit installer la totalité de la mise à jour pour profiter des correctifs, mais en assumer aussi les problèmes, soit il fallait tout ignorer », a noté Mme Bachwani. « L’administrateur pouvait choisir de ne pas installer la mise à jour parce qu’il avait entendu dire qu’elle provoquait un problème, ou il pouvait la désinstaller s’il constatait un problème, et par voie de conséquence, ne profitait plus de tous les autres correctifs du paquet, des modifications intéressantes ou celles dont il pouvait avoir besoin », a-t-elle poursuivit cette dernière.

Les administrateurs connaissent très bien cette situation que présente Madame Bachwani. Ces derniers n’ont jamais pu être en phase avec cette manière de Microsoft à de regrouper tout les correctifs du système d’exploitation. Les obligeant ainsi à les accepter alors que certains n’étaient même pas utile pour eux-mêmes. Cela contrairement aux anciennes version du système d’exploitation, où les mises à jour étaient offerte à part Microsoft différemment de façon distincte et séparé. Cette situation a révolté plus d’un. En effet, ces derniers voyant cela la méthode « à prendre ou à laisser » de Microsoft, les acceptant souvent à contrecœur n’ayant pas d’alternatives.

Aujourd’hui, il semble alors que Microsoft a écouté les plaintes. « Nous vous avons écouté et nous avons trouvé une façon de gérer ce genre de scénario de manière ciblée et non destructive », a affirmé Mme Bachwani.

La nouvelle fonctionnalité « Known Issue Rollback », est prise en charge dans de la version 2004 de Windows 10 également connu sous le nom de 20H1. Les administrateurs ont dans cette version, la possibilité d’annuler près de 80 % des changements apportés par une mise à jour non désirée. Mais cela n’est pas le cas pour toutes les versions. En l’occurrence il s’agit de celle de 1809 et 1909. Pour ce qui concerne ces dernières, la fonctionnalité n’est prise en charge que partiellement.

« Si un correctif provoque un problème sérieux, les services hébergés par Azure et Windows travaillent en tandem pour mettre à jour cette politique sur le dispositif et désactiver le correctif problématique », souligne M. Vernon, le responsable principal du programme.

Lorsqu’il s’agit des petites entreprises ou encore dans le cadre du grand public, Microsoft se charge elle-même de gérer cette fonctionnalité. À ce propos, M. Vernon déclare : « Le changement de configuration est effectué par nos soins dans le cloud (…) Les appareils connectés à Windows Update ou à Windows Update for Business sont informés de ce changement et il prend effet au prochain redémarrage »

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Pourquoi ne pas négliger les mises à jour ?

Les mises à jour ont pour objectif le plus souvent d’apporter à un programme informatique de nouvelles fonctionnalités.

Mais il arrive qu’elles permettent aux éditeurs de solutions informatiques de pouvoir corriger certaines vulnérabilités aperçues après la mise en service du programme en question. L’histoire de la sécurité informatique a prouvé que chaque fois que les mises à jour ont été négligées, certaines conséquences ont eu du mal à être rattrapées. Dans certains cas les conséquences ont été désastreuses. On peut citer dans ce contexte la prolifération des programmes de rançon dans le célèbre WannaCry.

Cet article va aussi vous intéresser : La mise à jour de vos logiciels peut vous protéger

En 2017, le programme malveillant s’est répandu à l’échelle mondiale. Des centaines de milliers d’ordinateurs ont été infectés. Cette contamination à grande échelle a été causé par une négligence gestionnaire de système d’information, pour la non réalisation de mise à jour permettant de déployer un correctif de sécurité qui comblera une faille qui affectent l’environnement Windows. En d’autres termes, le remède du problème existaient avant même que le problème de survient. Mais pour le seul fait de n’avoir pas mis en œuvre une mise à jour importante, le monde entier a été secoué. Pendant cette période et les conséquences sur le plan financier, industriel, et technique ont été énorme.

Par ailleurs, les mises à jour doivent être appréhendées comme des impératifs de la sécurité informatique. « Les mises à jour sont au cœur d’une dualité forte, avec le double objectif de garantir la sécurité tout en tenant compte des contraintes opérationnelles propres à chaque organisation. En effet, si les mises à jour existent pour corriger des bugs et vulnérabilités, elles apportent parfois aussi leur lot de contraintes. Dans le secteur industriel et OT, elles peuvent par exemple entraîner des effets indésirables, comme un arrêt prolongé de la production. Leur impact peut donc s’avérer être majeur, les cycles de maintenance associés à l’application des correctifs doivent, de ce fait, être préparés et programmés avec la plus grande attention. De manière plus générale, en dehors de l’industrie, certaines mises à jour peuvent générer des régressions, rendre un site web indisponible ou impacter la productivité des utilisateurs pendant un certain temps. Au regard de ces éléments, le sujet des mises à jour est aussi complexe que paradoxal. », explique Adrien Brochot – Chef de produit, Stormshield Endpoint Security.

 De savoir s’il faut toujours réaliser les mises à jour proposer, la réponse n’est pas si évidente que cela, en effet « Cette question est stratégique et fait débat au sein des entreprises. Tout d’abord, il faut cartographier les contraintes opérationnelles et les environnements de travail de l’organisation. N’oublions pas que les mises à jour peuvent s’avérer très complexes, voire impossibles dans certains cas. Contrôle et anticipation sont donc deux éléments à prendre en compte pour limiter les risques. » répond Adrien Brochot.

Pourtant, la culture de mise à jour est encouragée. Partout, il est régulièrement conseillé à toutes personnes ayant un système informatique ou un appareil informatique sur son contrôle, de ne jamais tarder à effectuer les mises à jour de sécurité proposées. Comme quoi cela se présente comme un aspect essentiel dans le développement de la sécurité.

« Si le caractère critique des mises à jour se diffuse de plus en plus dans les entreprises, certaines ont encore du mal à percevoir clairement les risques liés à la non-réalisation de celles-ci. Encore trop d’entre elles pensent qu’elles ne peuvent pas être concernées par une cyber attaque. C’est le cas dans les domaines de l’OT, où la culture cyber n’est pas encore suffisamment développée. Il est donc stratégique que les éditeurs et les fournisseurs accompagnent leurs clients pour faire adopter cette culture. » souligne Adrien Brochot.

D’une certaine manière tout le monde doit s’impliquer. Que ce soit les éditeurs, les équipementiers et même les dirigeants d’entreprise en passant par le plus petit maillon de la chaîne c’est-à-dire l’utilisateur final, tout le monde doit apporter sa pierre à la conception et à la culture de la mise à jour. Pour cela il faudra passer par me simplification du processus. Il faudra aussi mettre l’accent sur la sensibilisation d’une certaine manière. Les acteurs principaux c’est-à-dire les éditeurs et les équipementiers doivent assurer un accompagnement continu. Ce qui aura pour effet immédiat d’accroître la confiance et le développé d’une certaine manière le réflexe.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage