Archives de catégorie : Windows

Windows est le système d’exploitation le plus utilisé dans le monde avec une part de marché à 90 %. Il est aussi le plus piraté. Nos dernières nouvelles vous alerteront des mises à jour à faire et des failles de sécurité à prendre en compte pour ne pas se faire hacker son ordinateur.

MosaicLoader : le programme malveillant qui vole les mots de passe sous Windows

En début du mois d’août, les chercheurs en sécurité informatique de la société de sécurité BitDefender ont la découverte d’un nouveau programme malveillant.

Il se nomme « MosaicLoader ».

« Nous l’avons nommé MosaicLoader en raison de sa structure interne complexe qui vise à confondre les analystes de logiciels malveillants et à empêcher la rétro-ingénierie », a signifié Bitdefender dans un billet de blog. Sa fonctionnalité principale serait entre autres de voler les mots de passe Windows sur les terminaux qu’il infecte.

Cet article va aussi vous intéresser : La société de sécurité qui relève des milliers de mots de passe voler sur Google sans aucune protection

Selon les spécialistes de BitDefender, il suffirait d’un simple clic pour qu’il infecte un ordinateur sous Windows. Il a commencé à se propager à travers les publicités des moteurs de recherche. En d’autres termes, cliquer sur un lien sponsorisé sur un moteur de recherche exposé votre machine et votre mot de passe par ricochet. D’une manière ou d’une autre, c’est un programme malveillant très dangereux qui peut se déployer très facilement.

La manière dont ce programme informatique a été conçu empêche les antivirus non seulement de le détecter, mais aussi de comprendre la manière dont il fonctionne. Ce qui le rend notamment difficile à gérer.

Pour s’assurer de rendre très difficile la détection de ce programme malveillant, les attaquants derrière ce logiciel ont utilisé plusieurs techniques dont celle d’obscurcissement qui consiste en « la présence de sauts qui divisent le code en petits morceaux », explique les chercheurs de BitDefender. « Certains de ces sauts sont conditionnels, mais le code au-dessus d’eux garantit que les conditions sont toujours remplies (…) Cette technique rend le code difficile à suivre lors de la rétro-ingénierie et donne l’impression que la section ne contient que des données. (…) Entre les morceaux de code se trouvent également des octets de remplissage aléatoires. Ces octets aident à maintenir l’impression que la section contient des données. Le flux de code saute par-dessus ces parties et n’exécute que les petits morceaux significatifs. ».

En combinant toutes les techniques qu’ils ont plus développés, les informatiques peuvent alors brouiller l’ordre des morceaux à exécuter pouvant faire passer le flux d’un morceau à un autre

« Il crée une structure semblable à une mosaïque où le code des fonctions n’est pas contigu et des morceaux de différentes fonctionnalités sont entrelacés. Même si nous démêlons les sauts, nous ne pouvons pas obtenir de fonctions individuelles, car dans certains cas, le malware omet l’utilisation d’instructions d’appel, sautant directement à l’adresse souhaitée. », note les chercheurs de BitDefender.

 Vu l’originalité de la méthode utilisée pour le concevoir et pour le reprendre, s’éloignant ici des habituels phishing ou des exploitations de failles de données, l’utilisateur lambda est grandement exposé en ce sens qu’il ne va pas sentir venir la menace. La contamination est donc facile et réalisable à souhait. Surtout qu’il n’y a pas de signe distinctif permettant de savoir quel lien peut être corrompu au moins.

Le conseil le plus simple à suivre dans cette situation et d’éviter de télécharger des applications venant de sites peu connus ou de sites peu fiables. Un conseil assez commun mais qui doit être rappelé en circonstance.

Quels sont exactement les fonctionnalités de ce nouveau programme malveillant ?

« Les attaquants à l’origine de MosaicLoader ont créé un logiciel malveillant capable de fournir n’importe quelle charge utile sur le système, ce qui le rend potentiellement rentable en tant que service de livraison », explique les chercheurs de BitDefender dans leur a rapport. « Il télécharge un pulvérisateur de logiciels malveillants qui obtient une liste d’URL du serveur de commande et de contrôle (C2) et télécharge les charges utiles à partir des liens reçus. », ajoute ces derniers.

 Selon la description de spécialiste de BitDefender, le logiciel virus infecte le terminal Windows. Une fois réalisé, il va mettre en place un ensemble de processus assez complexe à la chaîne pour ensuite télécharger un ensemble de menaces.

« Le danger de cette application, c’est qu’elle peut diffuser n’importe quel logiciel malveillant dans le système. Son objectif est de télécharger une liste des logiciels malveillants provenant des sources d’infection contrôlées par des attaquants et de les exécuter. », note la société de cybersécurité dans son billet de blog.

Ces virus supplémentaires peuvent être des chevaux de Troie, des voleurs de cookies ou encore des logiciels de minage de crypto monnaie. En d’autres termes tout type de logiciel malveillant imaginable.

Selon la description de la société de cybersécurité, ce programme malveillant fait déjà des ex team partout dans le monde. Pour un logiciel capable de réaliser une telle exploit avec une facilité de contamination à la chaîne, on peut nettement imaginer les conséquences que cela peut engendrer. Surtout dans un contexte où, une simple généralité peut s’avérer très dramatique.

Malgré cela il est possible de vérifier si votre ordinateur n’est pas infecté par ce logiciel malveillant. On peut aussi vérifier si ce dernier tu n’as pas ajouter d’exclusion à Windows Defender. Pour cela il faut se rendre à la base de registre en tapant simplement dans la barre de recherche de Windows 10 ou de Windows 11 « Regedit ». Dans les clés de registre en suivant il est possible de voir apparaître les exclusions :

– Exclusions de fichiers et de dossiers :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths

– Exclusions de type de fichier :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions

– Exclusions de processus :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

PrintNightmare : Microsoft exhorte les utilisateurs de Windows à réaliser les mises à jour nécessaires

Lors du fameux patch Tuesday du mois de juin, le géant américain de Redmond avait tenté de corriger une faille de sécurité qui affectait des outils d’impression qui était fourni par son système d’exploitation Windows.

Les chercheurs de la société américaine n’ont pas tardé à se rendre compte que la famille était plus difficile à corriger que prévue.

Cet article va aussi vous intéresser : Microsoft veut se débarrasser des mises à jour de Windows 10 qui perturbent son système d’exploitation

Malheureusement pour Microsoft, les choses ont pris une autre tournure. En effet l’ensemble de correctif de sécurité qui était embarqué dans les femmes et patch Tuesday n’a pas été efficace à 100 %. Le soupleur d’impression des différents systèmes d’exploitation Windows, en d’autres termes en l’ensemble des utilitaires qui gère les questions d’impression était touché par une vulnérabilité assez importante identifiée sous les termes : CVE-2021-1675.

Si à la base Microsoft ne qualifiait pas cette faille de sécurité de critique, il n’empêche qu’il a tout de même corriger la vulnérabilité. Du moins il aurait tenté. Selon les explications de la société américaine, la distance de sécurité ne pouvait permettre que d’élever simplement le privilège pour le pirate informatique de pouvoir accéder de façon locale à l’appareil touché par la vulnérable.

C’est d’ailleurs pour cela que cette faille de sécurité a eu un score de type CVSS de 7,8. Constituer de la sorte en une faille de sécurité modérée en terme de gravité.

Cependant, le mardi dernier, les chercheurs de Microsoft publiaient sur la plate-forme GitHub un exposé qui montrait à quel point la faille de sécurité devait inquiéter plus que cela en avait l’air. En effet selon cette analyse, un pirate informatique pouvait exécuter un exploit par la faille de sécurité même à distance. Cette vulnérabilité pouvait aussi permettre « une exécution de code à distance entraînant une élévation de privilèges avec les droits SYSTEM » comme le précise le CERT-Fr dans son avertissement.

Dans ce contexte, la faille de sécurité devient beaucoup plus grave et prise beaucoup plus de sérieux. Comme le précise l’organisme français, le spouleur Windows « est activé sur les contrôles de domaine Active Directory. Un attaquant ayant préalablement compromis un poste utilisateur pourra in fine obtenir les droits et privilèges de l’administrateur de domaine Active Directory ».

Si la preuve du concept tel développé par les chercheurs sur GitHub a disparu, plusieurs ont réussi à le récupérer pour ensuite le partager.

Ce qui signifie seulement que le patch distribué par Microsoft durant le mois de juin n’a pas suffi pour combler la faille car des spécialistes de la sécurité informatique ont démontré qu’avec un système même à jour, il est impossible de réaliser l’exploit.

« Un hacker qui réussit à profiter de la faille pourrait exécuter des codes arbitraires grâce à un accès privilégié au système », a expliqué la société de Redmond. Il pourrait « ensuite installer des programmes ; voir, modifier ou effacer des données ; ou créer des nouveaux comptes avec tous les droits de l’utilisateur », souligne Microsoft.

Dans l’urgence, Microsoft n’a pas hésité à déployer une nouvelle mise à jour dont la référence KB5004945. Et le meilleur dans tout ça, plusieurs versions de Windows en profiteront. Ce sont notamment :

– Windows 10 21H1,

– Windows 10 20H1,

– Windows 10 2004,

– Windows 10 1909,

– Windows 10 1809,

– Windows 10 1803,

– Windows 10.

Et ce n’est pas tout, la société américaine propose un correctif même pour ses versions Windows 8 et Windows 7 SP1, des versions qui sont officiellement abandonnées par la société américaine. Pour les versions entreprises, le correctif est applicable à :

– Windows Server 2019,

– Windows Server 2012,

– Windows Server 2008 R2 SP1

– Windows Server 2008 SP2

La société précise de la mise à jour selon les détails suivants et par version de système. Cela donne entre autres :

– Windows 10 21H1, 20H2 ou 2004 pour KB5004945 ;

– Windows 10 1909 pour KB5004946

– Windows 10 1809 et Windows Server 2019 pour KB5004947 ;

– Windows 10 1803 pour KB5004949 ;

– Windows 10 1507 pour KB5004950 ;

– Windows 8.1 et Windows Server 2012 pour Mensuelle KB5004954 ou « Security only » KB5004958 ;

– Windows 7 SP1 et Windows Server 2008 R2 SP1 pour Mensuelle KB5004953 ou « Security only » KB5004951 :

– Windows Server 2008 SP2 pour Mensuelle KB5004955 ou « Security only » KB5004959

En attendant la réalisation des mises à jour disponibles, le CERT-Fr a recommandé à l’ensemble des responsables de sécurité de système d’information et aux responsables et administrateurs de système informatique de procéder à la désactivation complète des spouleurs d’impression de leur contrôleur de domaine.

« Ainsi que sur toute autre machine sur lequel ce service n’est pas nécessaire, particulièrement pour des machines hébergeant des services privilégiés sur l’Active Directory », indique l’organisme en public. Il recommande par ailleurs d’être attentif et de suivre les communautés des cherche en sécurité informatique pour apprendre sur l’évolution des méthodes d’exploitation de cette faille de sécurité connu sous la dénomination de PrintNightmare.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Microsoft veut se débarrasser des mises à jour de Windows 10 qui perturbent son système d’exploitation

L’objectif est de faire éviter aux entreprises plusieurs autres difficultés qui pourraient être liées à la mise à jour.

La semaine dernière, le géant américain Microsoft avec dévoiler une fonctionnalité d’un nom de « Known Issue Rollback » qui permettait aux administrateurs IT la possibilité d’annuler des processus de mise à jour qui entre pas dans le cadre des correctifs de sécurité si cela pose un problème.

Cet article va aussi vous intéresser : Les pirates informatiques proposent de revendre les codes sources piratés à Microsoft

De façon pratique, il n’est pas rare que les mises à jour proposées par Microsoft sur Windows 10 soient souvent de nature à agacer. Avec la nouvelle fonctionnalité que propose le géant de Redmond, le professionnel du secteur de l’IT vont se voir beaucoup aider. De la sorte lorsqu’une mise à jour ne semble pas nécessaire ou utile, les administrateurs auront la possibilité de revenir à l’avant mise à jour des l’instant où cela posera des perturbations opérationnelles. Bien sûr, cette fonctionnalité ne concerne pas les correctifs de sécurité.

La partie de ce nouveau déploiement, le géant de Redmond ne vas plus forcer sa clientèle à accepter les changements qui sont souvent inclus dans ces mises à jour qui parfois sont imparfaite sur le plan opérationnel. « Même si la qualité s’est améliorée au cours des cinq dernières années, nous reconnaissons que parfois les choses peuvent mal tourner et qu’elles tournent mal », a signifié dans un accès de sincérité la responsable principale du programme, bienvenue Namrata Bachwani, dans une vidéo postée le 2 mars lors de la conférence virtuelle Ignite de la firme de Redmond.

« Jusqu’à présent, c’était du tout ou rien, il fallait soit installer la totalité de la mise à jour pour profiter des correctifs, mais en assumer aussi les problèmes, soit il fallait tout ignorer », a noté Mme Bachwani. « L’administrateur pouvait choisir de ne pas installer la mise à jour parce qu’il avait entendu dire qu’elle provoquait un problème, ou il pouvait la désinstaller s’il constatait un problème, et par voie de conséquence, ne profitait plus de tous les autres correctifs du paquet, des modifications intéressantes ou celles dont il pouvait avoir besoin », a-t-elle poursuivit cette dernière.

Les administrateurs connaissent très bien cette situation que présente Madame Bachwani. Ces derniers n’ont jamais pu être en phase avec cette manière de Microsoft à de regrouper tout les correctifs du système d’exploitation. Les obligeant ainsi à les accepter alors que certains n’étaient même pas utile pour eux-mêmes. Cela contrairement aux anciennes version du système d’exploitation, où les mises à jour étaient offerte à part Microsoft différemment de façon distincte et séparé. Cette situation a révolté plus d’un. En effet, ces derniers voyant cela la méthode « à prendre ou à laisser » de Microsoft, les acceptant souvent à contrecœur n’ayant pas d’alternatives.

Aujourd’hui, il semble alors que Microsoft a écouté les plaintes. « Nous vous avons écouté et nous avons trouvé une façon de gérer ce genre de scénario de manière ciblée et non destructive », a affirmé Mme Bachwani.

La nouvelle fonctionnalité « Known Issue Rollback », est prise en charge dans de la version 2004 de Windows 10 également connu sous le nom de 20H1. Les administrateurs ont dans cette version, la possibilité d’annuler près de 80 % des changements apportés par une mise à jour non désirée. Mais cela n’est pas le cas pour toutes les versions. En l’occurrence il s’agit de celle de 1809 et 1909. Pour ce qui concerne ces dernières, la fonctionnalité n’est prise en charge que partiellement.

« Si un correctif provoque un problème sérieux, les services hébergés par Azure et Windows travaillent en tandem pour mettre à jour cette politique sur le dispositif et désactiver le correctif problématique », souligne M. Vernon, le responsable principal du programme.

Lorsqu’il s’agit des petites entreprises ou encore dans le cadre du grand public, Microsoft se charge elle-même de gérer cette fonctionnalité. À ce propos, M. Vernon déclare : « Le changement de configuration est effectué par nos soins dans le cloud (…) Les appareils connectés à Windows Update ou à Windows Update for Business sont informés de ce changement et il prend effet au prochain redémarrage »

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Windows 10 : Ce qu’il faut savoir de l’arnaque à l’écran bleu

Depuis un certain moment, il a été découvert, voire subie une nouvelle forme d’arnaque.

Elle se base essentiellement sur le système d’exploitation récent de Microsoft Windows 10.  En clair ce sont les utilisateurs de ce système qui sont ciblés. Comment cela se manifeste-t-il. Très simplement par l’apparition soudaine d’un écran bleu comme signe d’un problème ou d’une panne technique. Si vous êtes dans ce cas, ne vous laissez pas berner, ce n’est pas un problème technique. C’est plutôt un agissement de pirate informatique qui ont contrefait l’écran.

Cet article va aussi vous intéresser : Les Etats-Unis aux proies des ransomwares

Lorsque l’écran bleu apparaît. L’utilisateur est informé par un message qui apparaît à l’écran qui lui signifie que son ordinateur est attaqué par un virus informatique qui est susceptible de lui faire perdre l’ensemble des ses données. Il est proposé à l’utilisateur d’appeler un numéro qui apparaît à l’écran, de sorte à le mettre en contact avec un conseiller technique de jeu Microsoft pour l’aider à répondre aux problèmes.

En pratique la tactique est très convaincante. Pour tout utilisateur qui n’est pas suffisamment vigilant, il est très facile de se faire berner. En tout cas les utilisateurs en grande partie n’hésitent pas à appeler le numéro, à cause de menace de perdre des fichiers importants.

Les autorités informées de ce problème n’ont pas manqué de réagir immédiatement pour informer le plus grand nombre de personnes au plus tôt. Sur le site internet de cybermalveillance.gouv.fr, il a précisé que le numéro censé dirigé vers le support technique de Windows on n’est pas le bon. Le site du gouvernement n’a pas manqué de préciser que ce sont des cybercriminels qui se font passer pour les techniciens de Microsoft dans le but de Nantes seulement collecter des données mais aussi poussés les utilisateurs à commettre des faux pas. En effet, les cybercriminels lorsqu’ils sont contacté par les victimes, signifie qu’ils vont prendre d’abord de contrôle de l’ordinateur dans le but de pouvoir corriger le problème. Ils demandent aussi aux personnes de payer des logiciels qui seront installés pour résoudre la panne technique qui en réalité n’est pas une. Une technique assez simple pour soutirer de l’argent aux personnes suffisamment pas alerte.

Pour les personnes qui sont confrontés à cette situation :

– Il faut tout d’abord éviter de paniquer.

– Il ne faut en aucun cas appeler le numéro indiqué à l’écran

– Par la suite, l’utilisateur doit nettoyer l’ensemble de cette application, voire désinstaller celles qui semblent suspectes.

Le géant américain indique quelques conseils à suivre lorsque les utilisateurs sont face à ce genre d’escroquerie :

– En cas de doute pour le numéro de support technique de Microsoft, utiliser un autre ordinateur ou un smartphone pour vérifier sur Internet.

– La victime doit garder suffisamment de preuves pour être en mesure de porter plainte par la suite auprès des autorités.

– Par ailleurs le message qui apparaît à l’écran on peut comporter des fautes susceptibles d’attirer l’attention de la personne victime. Aussi, il faudra être vigilant.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Windows XP : le code source du système d’exploitation de Microsoft disponibles en ligne

Une fuite de données dont l’impact est mesurable à un très haut niveau.

En effet, le code source de Windows XP est disponible pour toute personne intéressée en ligne. Personne ne sait d’où cela provient et qui aurait bien pu être l’initiateur. Cependant, sur plusieurs sites internet, il est possible de trouver des liens qui conduisent directement au téléchargement de ce script important. « Tous ces fichiers sont là depuis des lustres En particulier le WRK [Windows Research Kernel], que n’importe qui avec un .edu [compte email] pouvait déjà télécharger. » a signifié un utilisateur sur la plateforme de HakerNews.

Cet article va aussi vous intéresser : 100 000 dollars, voilà combien coûte exactement le code source de Cerberus, un programme malveillant virulent

Pourquoi cela défraie t-il tant l’actualité ? C’est tout simplement parce que des milliers d’ordinateurs continuent de tourner sur ce système d’exploitation ancien de Microsoft. Cependant, les sources pour être en mesure d’accéder à ce code source augmente d’heure en heure. À ce stade, il sera compliqué, disons impossible à Microsoft le propriétaire de ses lignes de codes de pouvoir intervenir.

Comme on le sait, le géant américain avait toujours garder secret le code sur son système d’exploitation. S’il a souvent partagé ces lignes de code à des gouvernements dans le cadre de certains projets, et même si la société américaine est beaucoup plus concentrée aujourd’hui sur son système Windows 10, il n’en demeure pas moins que la fuite de ces informations puisse lui être préjudiciable d’une certaine manière.

Microsoft n’a encore fait aucune déclaration concernant cette affaire. Selon certaines personnes, le code source de la Xbox originelle serait aussi disponible à travers les mêmes liens. Mais cette dernière information n’a pas encore été confirmée.

Une conséquence immédiate sera visible après cette fuite de données. C’est bien sur l’analyse complète et accélérer des scripts composant le système d’exploitation. Vu à l’allure à laquelle les liens de téléchargement se multiplient de plus en plus

En outre, appréhendons cette affaire d’une manière un peu plus large. Comme on le sait depuis 2014, le géant américain a décidé littéralement d’abandonner son système d’exploitation. Plus aucun suivi, plus aucun support. Les failles de sécurité n’étaient plus corrigées. Il faut noter que plusieurs personnes dans le secteur de l’informatique avaient espéré voir annoncer que Microsoft allait se décider à rendre Open Source Windows XP pour le bonheur des chercheurs. Mais cela tarde à venir, avant que cette fuite de données ne vient changer la donne. On aurait pu dire que si le géant américain hésitait depuis tout ce temps à mettre à disposition de la communauté de programmeurs et de chercheurs en sécurité informatique son système d’exploitation, c’était sûrement dû au fait que plusieurs millions de terminaux à travers le monde continuent de tourner toujours avec le système. Et même en 2017, Microsoft avait fourni un patch de sécurité pour contrer le célèbre malware WannaCry, le rançongiciel qui commençait à faire beaucoup de dégâts.

Selon les chiffres fournis par NetMarketShare, c’est plus de 1 % des ordinateurs en circulation et en utilisation dans le monde qui tourne en sous Windows XP. On peut donc envisager que Windows XP est installé sur près de 18 millions d’ordinateurs. Un système d’exploitation qui est toujours utilisé dans certains terminaux au sein de certaines organisations gouvernementales et même d’entreprises privées. En effet, il faut noter qu’il n’est pas simple de changer le système d’exploitation de son parc informatique comme change par exemple un terminal du jour au lendemain. Cela y va de la compatibilité des logiciels utilisés et du coût généré. Dans la majeure partie des cas, les organisations seront obligées de changer par exemple pour les ordinateurs.

Mais on retient que pour la société américaine, la sécurité doit être au-delà de toutes les considérations. C’est pour cette raison qu’elle publiait ses recommandations claires à propos de Windows XP.

« Si vous continuez à utiliser Windows XP, votre ordinateur fonctionnera toujours, mais il pourrait devenir plus vulnérable aux risques de sécurité et aux virus. Internet Explorer 8 n’est plus pris en charge, donc si votre PC Windows XP est connecté à Internet et que vous utilisez Internet Explorer 8 pour surfer sur le Web, vous exposez peut-être votre PC à des menaces supplémentaires. En outre, comme de plus en plus de fabricants de logiciels et de matériel continuent d’optimiser pour les versions plus récentes de Windows, vous pouvez vous attendre à rencontrer de plus en plus d’applications et d’appareils qui ne fonctionnent pas sous Windows XP. ».

De façon concrète, cette fuite de données pourra mettre en danger les millions d’ordinateurs équipés de Windows XP. Certains même que cela peut être d’une certaine manière dangereuse pour la sécurité des utilisateurs de Windows 8 ou de Windows 10. Car Windows n’a pas véritablement changé, à part quelques fonctionnalités et le design. Il y a donc de fortes chances que des bouts de code présents dans Windows XP auraient pu être réutilisés pour la conception des deux modèles récents.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage