Archives par mot-clé : faille de sécurité

Faille de sécurité : Google Doc serait vulnérable

Depuis le début du mois de janvier, une faille de sécurité a été découverte dans la fonction de commentaire offert à ta part Google dans son outil Cloud d’édition de document.

L’application Google doc est donc vulnérable. Particulièrement pour les utilisateurs de Outlook.

Cet article va aussi vous intéresser : Google met l’accent sur la protection des échanges sur son application de messagerie

Grâce à la faille de sécurité, il est possible pour un hacker de leur envoyer un contenu malveillant destiné à les piéger.

Dans ce contexte, les attaques de type spear phishing s’avère efficace. C’est d’ailleurs pour cette raison que les utilisateurs de Google docs soyez vigilants.

La faille de sécurité a été découverte par Jeremy Fuchs, un chercheur en sécurité informatique de Avanan, une start-up spécialisée dans la protection des messageries Cloud, racheté depuis août 2021 par le géant américain de la cybersécurité CheckPoint. Il semblerait que le même chercheur en sécurité informatique a découvert d’autres faille de sécurité dans Google doc depuis le mois de juin dernier et en octobre dernier. Et les utilisateurs les plus vulnérables sont les utilisateurs du client de messagerie de Microsoft Outlook.

« Dans cette attaque, les pirates ajoutent un commentaire à un document Google. Le commentaire mentionne la cible avec un @. Un e-mail est ensuite automatiquement envoyé dans la boîte de réception de cette personne. Dans cet e-mail, qui provient de Google, le commentaire complet, y compris les mauvais liens et le texte, est inclus. De plus, l’adresse e-mail n’est pas affichée, juste un nom, ce qui facilite le travail des attaquants », explique le chercheur Jeremy Fuchs.

Comme l’explique ce dernier, l’exploitation de cette faille de sécurité va nécessiter la création d’un compte fictif de type bad.actor@gmail.com. Ensuite le hacker envoie un mail ou il sera possible de lire en entête « Bad actor vous a mentionné dans le document suivant ». Le problème avec cette situation, c’est que si jamais le nom d’un collègue est mentionné dans l’en tête ou une personne avec qui nous avons une collaboration professionnelle, il y a de fortes chances que la victime cliquer là-dessus. Ce qui peut s’avérer particulièrement dangereux si le document est piégé par un programme en malveillant. Ce qui facilite tout cela c’est que, le pirate informatique n’a même pas besoin de partager le document. Il lui suffit juste de mentionner la personne qu’il veut cibler.

« L’attaquant n’a même pas besoin de partager le document, il suffit de mentionner la personne dans le commentaire », explique Jeremy Fuchs.

une loupe montre en gros le logo de Google Doc

Selon ce dernier, c’est près de 500 boîtes de réception provenant de 30 instances différentes qui auraient été touchées. On pense que près de 100 comptes Gmail à différents ont été utilisé dans le déploiement de cette escroquerie.

« Le vecteur d’attaque, via un véritable compte de messagerie Google, rend difficilement authentifiable cette opération malveillante et affiche seulement un nom rendant plus difficile sa détection par les filtres anti spam. », souligne Jeremy Fuchs.

Alors les experts en sécurité informatique recommandent certaines mesures aux utilisateurs de Google docs pour ne pas se faire piéger : « encouragez les utilisateurs finaux à croiser l’adresse e-mail dans le commentaire pour vous assurer qu’il est légitime, leur rappeler l’hygiène informatique de base notamment en examinant les liens et en inspectant la grammaire et en cas de doute de contacter l’expéditeur légitime et confirmer qu’il avait l’intention d’envoyer le document ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Log4Shell : la faille aurait-elle été contenue?

« Il n’y a pas eu d’exploitation manifeste des vulnérabilités Log4j, mais des inquiétudes sur les attaques futures », selon le CISA, l’agence américaine de cybersécurité.

Selon la CISA (Cybersecurity and Infrastructure Security Agency pour Agence de cybersécurité et de sécurité des infrastructures), les inconvénients qui avaient été prévus une derrière la faille de sécurité Log4Shell n’ont pas été observés véritablement. Il semblerait entre autres que si le risque demeure quand même, de manière pratique, on ne peut pas nier que l’exploitation de la vulnérabilité aurait été surestimée. Cependant, la vigilance est toujours de mise.

Cet article va aussi vous intéresser : Faille de sécurité : après Log4Shell, une vulnérabilité critique encore découverte

« Nous avons surveillé activement les acteurs de la menace les plus susceptibles d’exploiter la vulnérabilité (baptisée Log4Shell), et pour le moment, son exploitation n’est pas mise en évidence dans des intrusions importantes », a signifié Jen Easterly, directeur de la CISA, lors d’une déclaration de presse. « Mais les adversaires peuvent utiliser cette vulnérabilité pour obtenir un accès persistant en vue de mener des attaques plus tard, c’est pourquoi nous nous mobilisons fortement sur la correction de la vulnérabilité dans tout le pays et sur la détection des intrusions quand elles se produisent », ajoute ce dernier.

Pourtant, le 10 janvier dernier, Microsoft avait fait un signalement sur une potentielle exploitation de la vulnérabilité dans des systèmes qui était ouvert sur internet. En particulier à travers l’exécution de VMware Horizon. De plus les enquêtes du géant américain du numérique avaient permises de prouver que des intrusions initiées sur la base de ce genre d’attaques avait réussi et même avait conduit au déploiement d’un rançongiciel connu sous la dénomination de NightSky. Cependant, il est sûr et certain, que des hackers l’ont bel et bien exploité mais pour des attaques à portée mineure.

« Nous constatons une certaine prévalence de ce que nous appellerions des activités de bas niveau, comme la mise en route d’un minage de cryptomonnaie et l’installation de logiciels malveillants qui pourraient être utilisés dans des botnets », a noté Eric Goldstein, le directeur exécutif adjoint pour la cybersécurité de la CISA.

De son côté, l’organisme américain a fait de son mieux pour aider les entreprises privées américaines et même étrangères ainsi que les agences fédérales à contenir la menace que représentait la faille de sécurité Log4Shell. En effet, à la découverte de la vulnérabilité, l’agence américaine n’a pas hésité à déclencher un ensemble de processus pour imposer à l’ensemble des structures concernées par la faille de sécurité sur sa juridiction, le déploiement rapide effectif as des correctifs de sécurité mise à disposition par la Fondation Apache.

La CISA a compris que pour accélérer le processus de correction de cette faille de sécurité, elle devait : « s’appuyer sur la directive opérationnelle contraignante pour mieux hiérarchiser les mesures correctives et s’assurer que des mesures d’atténuation étaient en place pour les actifs technologiques pour lesquels les correctifs n’étaient pas encore disponibles », souligne M. Goldstein.

L’organisme américain a déployé lors des premières heures de la découverte de la vulnérabilité catalogue publique qui permettrait de recevoir des soumissions qui détaillent l’ensemble des produits étant susceptibles d’être touchés par la vulnérabilité. À ce jour la plate-forme a enregistré près de 2800 soumissions.

« En passant par un service partagé, une plate-forme de divulgation des vulnérabilités gérée par la société de divulgation Bugcrowd, les chercheurs en sécurité ont trouvé 17 produits jusque-là non identifiés, qui étaient vulnérables à Log4Shell. Tous ont été corrigés avant une potentielle intrusion », note M. Goldstein.

Si à l’origine, la CISA et une agence qui est habilité à gérer la cybersécurité du gouvernement fédéral, dans ce cas de figure l’organisme américain a essayé tant bien que mal bd les entreprises privées à « comprendre et de hiérarchiser la prévalence des bibliothèques et des composants vulnérables dans leurs environnements grâce à une nomenclature des logiciels (SBOM), sorte de liste d’ingrédients » des bibliothèques, explique Eric Goldstein.

Les SBOM dont il est question ici ont « une valeur inestimable car ils peuvent aider une entreprise à comprendre automatiquement si elle est exposée à une vulnérabilité donnée, et à passer rapidement à la remédiation », souligne ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Faille de sécurité : après Log4Shell, une vulnérabilité critique encore découverte

Récemment, des spécialistes de la sécurité informatique de JFrog ont découvert une faille de sécurité présente dans le programme open source du système de gestion de base de données relationnelles « H2 ».

Selon ces professionnels, cette vulnérabilité sur est similaire à la faille Log4Shell.

Pour ce qu’il en est de la vulnérabilité, un correctif de sécurité serait déjà disponible si les utilisateurs basculent vers la version 2.0. 206. Il est donc recommandé à l’ensemble des utilisateurs de ce programme informatique de déployer la mise à jour le plus tôt possible.

Cet article va aussi vous intéresser : Log4J : la super faille de sécurité d’Internet serait utilisée dans une compagne d’espionnage

Ces derniers temps, les failles de sécurité sont découvertes couramment. Encore une fois, c’est dans une bibliothèque open source que la vulnérabilité est présente.

Le SGBD open source H2 est dans une situation où il pourrait être la cible des hackers. Grâce à la vulnérabilité qui est découverte depuis le début de cette semaine, il sera possible grâce à l’exécution de code malveillant à distance, de prendre d’assaut les plateformes et les systèmes informatiques impliqués directement dans le déploiement de ce logiciel open source.

SGBD open source H2 est un programme Open Source qui est utilisé le plus couramment pour les applications Java. Le plus souvent il est présent dans les plateformes l’Internet des objets ou encore des espaces web tel que Spring Noot et ThingWorks. Il est populaire grâce à son empreinte mémoire particulièrement faible.

La faille de sécurité qui a été dénommé CVE-2021-42392 à été révélé par des chercheurs en cybersécurité de chez JFrog dans le courant de la semaine dernière. Précisément le 6 janvier 2022 dans un billet de blog. La vulnérabilité semble avoir certaines similarités avec la faille de sécurité découverte dans une autre bibliothèque combien de célèbre Log4j.

« La vulnérabilité ouvre plusieurs chemins d’accès pour injecter à distance du code malveillant dans le Framework de base de données H2 en utilisant des URL non filtrées », note JFrog.

Selon les chercheurs, le risque majeur est que ce vecteur d’attaque soit exploité et présente dans la console de gestion H2. De ce fait, à cause de la disponibilité du correctif de sécurité et recommande vivement une mise à jour expresse et sans délai. « Si vous exécutez une console H2 exposée à votre LAN (ou pire au WAN), ce problème est extrêmement critique (exécution de code à distance non authentifié) et vous devez immédiatement mettre à jour votre base de données H2 vers la version 2.0.206 », note JFrog.

Il est à prévoir d’autres exploits issu de la même faille de sécurité.

« Bien que cette vulnérabilité utilise également le chargement de classe JNDI à distance, elle nécessite un accès qui n’est pas disponible avec la configuration par défaut de la base de données H2 », a souligné Matthew Warner, co-fondateur et directeur de la technologie de Blumira, la société de détection et de réponse automatisées aux menaces Blumira.

« Log4j était unique en ce sens qu’un nombre quelconque de chaînes manipulées par des attaques, des en-têtes aux chemins d’URL, pouvait entraîner l’exploitation de la victime en fonction de la configuration de l’application pour utiliser la journalisation avec Log4j. Dans ce cas, la console de base de données H2 doit être délibérément exposée à Internet en modifiant la configuration et ne pas seulement en sniffant le localhost. », ajoute ce dernier.

Selon plusieurs spécialistes, il faut s’attendre à ce que les failles de sécurité similaire à Log4Shell apparaissent de plus en plus. « Le module de chargement de classe à distance JNDI (Java Naming and Directory Interface) se retrouve en effet dans de très nombreux programmes Java et Framework ce qui accroit potentiellement le risque d’exploit. « À notre connaissance, la CVE-2021-42392 est la première vulnérabilité RCE non authentifiée liée à JNDI à être publiée depuis Log4Shell, mais nous pensons que ce ne sera pas la dernière », note JFrog.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Est-il prudent de divulguer des vulnérabilités 0 day ?

Depuis l’histoire de Log4Shell, cette faille de sécurité qui est branle la sécurité d’internet de manière fondamentale, l’on se pose une question très pertinente qui longtemps n’a pas été répondue quand bien même que cela a germé dans la tête de plusieurs spécialistes.

Il s’agit de savoir s’il est raisonnable de divulguer une généralité de type 0 day ?

Cet article va aussi vous intéresser : Vulnérabilités et menaces informatiques : principaux secteurs à risque

Récemment, un professionnel de la cybersécurité de chez Helpnet Security, Alex Haynes, s’est penché sur la question.

Le contexte se plante depuis le mois de décembre lorsque la faille de sécurité nommée Log4Shell à été dévoilé publiquement. C’est une vulnérabilité présente dans un logiciel open source Log4j, utilisé par énormément d’entreprises et d’éditeurs de solutions informatiques. Si la vulnérabilité a été d’abord découverte par un chercheur en sécurité informatique d’Ali-Baba Cloud et un correctif de sécurité déployé depuis lors, il existe aujourd’hui sur le net plusieurs concepts permettant d’exploiter cette faille. Cela a été lancé notamment depuis quand chercheur a jugé qu’il fallait publier cette faille de sécurité au travers de son compte Twitter, et cela avant même que le patch de sécurité n’a été mis à disposition de l’ensemble des utilisateurs. Ce qui a créé une crise sans précédent et une inquiétude qui continue de persister, car nous ne pouvons pas de manière pratique et certainement évaluer l’étendue du risque qui impose à cette vulnérabilité aujourd’hui.

Il faut les signifier, la divulgation des exploits Zero Day fait débat depuis très longtemps. Surtout depuis 2016 lors de la divulgation d’une faille de sécurité 0 day qui étaient présente dans des outils fournis par Microsoft, seulement quelques jours après avoir prévenu le géant américain de la vulnérabilité. À cette époque, Microsoft n’avait pas eu le temps de fournir un correctif de sécurité avant la divulgation de Google. L’argument avancé par la société de Mountain View était que c’était une faille de sécurité qui était déjà exploitée, situation qui a des plus fortement à Microsoft.

Pourtant, la divulgation de faille de sécurité peut profiter à la cybermalveillance. Et cela a été démontré par une étude publiée par Kenna Security. Selon cette étude, le fait de publier une faille de sécurité avant la disponibilité du correctif permettrait aux pirates informatiques d’avoir une avance de 98 jours sur les professionnels de la cybersécurité. Ce chiffre augmente de 30 fois si c’est un code qui permet une exécution malveillante à distance.

L’argument soutenu par ceux qui divulgue les failles de sécurité est de pousser les entreprises responsables à fournir plus rapidement les correctifs de sécurité. C’est pour moi les études à prouver que cela n’est pas justifié dans la majorité des cas. De plus, les divulgations sont motivées par plusieurs raisons et certaines sont personnelles.

« Ces derniers mois par exemple, plusieurs professionnels ont décidé de dévoiler publiquement des vulnérabilités non patchée dans les produits Apple, pour protester contre la politique de l’entreprise sur les bugs bounties et le correctif de vulnérabilités. Certains dénonçaient des paiements bas, d’autres rapportaient être totalement ignorés par l’entreprise ou considéraient que leur découverte n’était pas assez prise au sérieux et tentaient de cette manière de forcer la main de la société pour l’obliger à sortir un patch. Il y a aussi des cas d’entreprises hostiles aux chercheurs qui les approchent et ces derniers peuvent donc décider de rendre leurs découvertes publiques pour les obliger à réagir tout en sachant qu’aucun dialogue n’est possible. », explique Alex Haynes.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Pegasus : l’iPhone plus vulnérable que jamais

Il y a presque 5 mois de cela, un scandale éclatait.

Il concernait particulièrement utilisation d’un logiciel destiné à espionner des personnes peu importe le type de smartphone qu’il utilise. Ce célèbre logiciel a connu sous la dénomination de Pegasus. Le plus célèbre logiciel espion au monde aujourd’hui.

Cet article va aussi vous intéresser : Affaire « Pegasus » : Apple décide de porter plainte contre NSO Group

À la base c’est un programme informatique développé par une société israélienne connue sous la dénomination de NSO Group. Ce programme était censé être mis seulement à la disposition de certains États et organismes de forces de l’ordre dans le but de lutter contre la grande criminalité et le terrorisme dans le monde. Cependant, dans des révélations publiées par un consortium de médias internationaux en association avec Amnesty International (une organisation qui lutte à l’échelle mondiale pour des droits humains), The Forbidden Stories, il a été prouvé que ce programme informatique était utilisé pour espionner des hommes politiques à travers le monde, des défenseurs des droits humains et surtout des journalistes. Il a même été mis en évidence que le programme avait été mis à disposition de certains État de nature autoritaire. L’une des révélations de Forbidden stories était que le logiciel espion Pegasus était capable d’espionner les iPhones même ceux, même ceux fonctionnant sous le dernier système d’exploitation de Apple, c’est-à-dire IOS 14. Cette information a été un choc pour la société américaine de Cupertino, qui n’a pas tarder à porter plainte contre la société israélienne éditrice de Pegasus. 

Ce que nous savons de Pegasus, c’est qu’il utilise des vulnérabilités de type 0 day pour permettre à ses opérateurs de pouvoir suivre de manière précise les cibles. De la sorte, il est possible de pouvoir collecter certaines données tels que :

– les appels téléphoniques ;

– les messages texte ou vidéo ;

– les photos ;

– etc.

Sur les iPhones la vulnérabilité 0 day utilisée par Pegasus est appelée Forcedentry. C’est une faille de sécurité découverte depuis longtemps mais qui n’a pas pu être comblée jusqu’à présent profitant ainsi aux opérateurs de Pegasus.

Le laboratoire interdisciplinaire de la Munk School à l’Université de Toronto (Canada) connu sous le nom de Citizen Lab, publiait en septembre 2021, le résultat de plusieurs recherches qui ont porté sur le logiciel espion Pegasus. Ce programme aurait servi à espionner le téléphone portable de plusieurs opposants politiques à travers le monde. Le laboratoire fait état de milliers de téléphone. Et ce n’est pas tout, le résultat des recherches étaient décrits dans le rapport comme suit : « En analysant le téléphone d’un opposant saoudien infecté par le logiciel espion Pegasus de NSO Group, nous avons découvert un exploit zero-day zero-click contre iMessage. L’exploit, que nous appelons Forcedentry, cible la bibliothèque de rendu d’images d’Apple et était efficace contre les terminaux sous iOS, MacOS et WatchOS » expliquent les chercheurs. Ces derniers ont démontré que Pegasus aura servi NSO group à effectuer des plusieurs terminaux Apple. Et cela depuis février 2021.

Une fois découverte, les chercheurs de Citizen Lab informé immédiatement Apple de la vulnérabilité. La firme de Cupertino lui attribue ainsi le numéro de CVE-2021-30860 en expliquant ainsi : « le traitement d’un PDF malveillant peut conduire à une exécution de code arbitraire ».

Le 14 septembre dernier, le jeu américain déclaré avoir fourni les correctifs nécessaires pour colmater la vulnérabilité 0 day sur tous les iPhones et toutes les versions de iOS, ainsi que tous les ordinateurs et tablettes jusqu’au montre connectée. Pourtant le mois dernier, le géant de Cupertino déclaré porter plainte contre NSO group.

Du côté de Google, spécialiste en recherche de bugs, le Project Zero déclarait Pegasus était : « l’un des outils les plus sophistiqués sur le plan technique que nous n’ayons jamais vu ». À propos de la faille de sécurité, Ian Beer et Samuel Groß dans un article du blog déclare : « ForcedEntry tire parti des faiblesses dans la façon dont iMessage accepte et interprète les fichiers comme les GIF animés pour inciter l’application iMessage à ouvrir un PDF malveillant sans qu’une victime ne fasse quoi que ce soit. L’attaque a exploité une faille dans un ancien d’outil de compression utilisé pour traiter le texte dans les images à partir d’un scanner physique, permettant aux clients du groupe NSO de prendre complètement possession d’un iPhone ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage