Archives par mot-clé : microsoft

Microsoft décide d’investir dans une meilleure cybersécurité

Il y a 2 semaines de cela, Microsoft alertait des milliers d’entreprises faisant partie de sa clientèle d’une faille de sécurité importante qui avait été découverte dans son service cloud.

Cette faille de sécurité rendait alors vulnérables la sécurité de leurs données.

Cet article va aussi vous intéresser : Les conséquences qu’il faut attendre des failles de sécurité de Microsoft Exchange

Cette situation intervient au moment où la société avait annoncé qu’elle aller faire un investissement à hauteur de 20 milliards de dollars américain sur 5 ans dans le but de développer une cybersécurité par défaut.

« Imaginez notre surprise quand nous avons réussi à avoir complètement accès aux comptes et bases de données de plusieurs milliers de clients de Microsoft Azure, y compris des grandes entreprises », expliquer alors les ingénieurs de Wiz, une autre société spécialisée dans la sécurité informatique par ailleurs l’auteur de la découverte des failles de sécurité dans le service cloud de Microsoft.

« Nous avons immédiatement réparé le système pour garantir la sécurité et la protection de nos clients » a alors signifié Microsoft. L’entreprise américaine a aussi confirmé qu’elle avait prévenu les organisations qui potentiellement aurait pu être affecté par ladite faille de sécurité. Selon les experts de Microsoft, la faille de sécurité n’a pas été exploitée à aucun moment par des pirates informatiques.

Une déclaration qui est plausible car selon la société qui a découverte cette faille, la société de Redmond à rapidement procéder à la désactivation du système vulnérable et « informé plus de 30% des clients de Cosmos DB le cloud concerné, qu’ils devaient changer leurs clefs d’accès. ».

Cependant, d’une certaine manière les clients qui sont concernés par cette faille de sécurité sont toujours en danger, malgré le fait qu’ils ont été averti.  Car cette faille de sécurité peut exploitée pendant plusieurs mois encore, dans certaines mesures plusieurs années comme l’a signifié plusieurs experts de la cybersécurité.

« La faille a été exploitable pendant au moins plusieurs mois, voire des années », avait déclaré les ingénieurs de Wiz

Dans le monde Microsoft se positionne comme le deuxième plus grand prestataire de service cloud derrière Amazon. Etant secteur en forte croissance, il a connu un boum grâce à certaines dérivées de la pandémie à coronavirus, notamment l’explosion du télétravail et le besoin croissant d’utilisation de service numérique dans plusieurs domaines tel que le divertissement ou la consommation en ligne.

Il faut noter que des grandes sociétés tel que Coca-Cola et Exxon-Mobil « utilisent Cosmos DB pour gérer des volumes de données massifs dans le monde en temps réel » a mentionné les ingénieurs de la société de cybersécurité.

Comme on le sait, le Cloud sert généralement à stocker des données numériques. Il permet aussi de faire des traitements et des analyses de données, à exécuter des commandes lors des transactions entre consommateur et fournisseur.

La découverte d’une nouvelle faille de sécurité n’arrange pas les affaires de Microsoft. On rappelle que vers la fin de l’année 2020, plusieurs serveurs de boîtes mail ont été affectés ce qui a conduit à une gigantesque attaque informatique aux États-Unis et ailleurs dans le monde. Le géant du numérique lors de la rencontre organisée par le président Joe Biden avait promis de faire un investissement à hauteur de 20 milliards de dollars sur 5 années, une réunion à laquelle a participé plusieurs grands patrons de géant du numérique tel que Apple et Google.

Dans une circonstance où les attaques informatiques se multiplient de plus en plus, où les entreprises et les organisations qu’elles soient privées ou publiques sont de plus en plus exposées, la firme de Redmond veux à sa manière accélérer les efforts en matière de développement de cybersécurité par défaut, et concept qui depuis longtemps est prôné par les spécialistes en la matière. Elle signifie tout simplement offrir à l’utilisateur lambda sans que ce dernier n’ait besoin de procéder à un quelconque paramétrage de la meilleure expérience possible dans un environnement le plus sécuritaire possible.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

PrintNightmare : Microsoft exhorte les utilisateurs de Windows à réaliser les mises à jour nécessaires

Lors du fameux patch Tuesday du mois de juin, le géant américain de Redmond avait tenté de corriger une faille de sécurité qui affectait des outils d’impression qui était fourni par son système d’exploitation Windows.

Les chercheurs de la société américaine n’ont pas tardé à se rendre compte que la famille était plus difficile à corriger que prévue.

Cet article va aussi vous intéresser : Microsoft veut se débarrasser des mises à jour de Windows 10 qui perturbent son système d’exploitation

Malheureusement pour Microsoft, les choses ont pris une autre tournure. En effet l’ensemble de correctif de sécurité qui était embarqué dans les femmes et patch Tuesday n’a pas été efficace à 100 %. Le soupleur d’impression des différents systèmes d’exploitation Windows, en d’autres termes en l’ensemble des utilitaires qui gère les questions d’impression était touché par une vulnérabilité assez importante identifiée sous les termes : CVE-2021-1675.

Si à la base Microsoft ne qualifiait pas cette faille de sécurité de critique, il n’empêche qu’il a tout de même corriger la vulnérabilité. Du moins il aurait tenté. Selon les explications de la société américaine, la distance de sécurité ne pouvait permettre que d’élever simplement le privilège pour le pirate informatique de pouvoir accéder de façon locale à l’appareil touché par la vulnérable.

C’est d’ailleurs pour cela que cette faille de sécurité a eu un score de type CVSS de 7,8. Constituer de la sorte en une faille de sécurité modérée en terme de gravité.

Cependant, le mardi dernier, les chercheurs de Microsoft publiaient sur la plate-forme GitHub un exposé qui montrait à quel point la faille de sécurité devait inquiéter plus que cela en avait l’air. En effet selon cette analyse, un pirate informatique pouvait exécuter un exploit par la faille de sécurité même à distance. Cette vulnérabilité pouvait aussi permettre « une exécution de code à distance entraînant une élévation de privilèges avec les droits SYSTEM » comme le précise le CERT-Fr dans son avertissement.

Dans ce contexte, la faille de sécurité devient beaucoup plus grave et prise beaucoup plus de sérieux. Comme le précise l’organisme français, le spouleur Windows « est activé sur les contrôles de domaine Active Directory. Un attaquant ayant préalablement compromis un poste utilisateur pourra in fine obtenir les droits et privilèges de l’administrateur de domaine Active Directory ».

Si la preuve du concept tel développé par les chercheurs sur GitHub a disparu, plusieurs ont réussi à le récupérer pour ensuite le partager.

Ce qui signifie seulement que le patch distribué par Microsoft durant le mois de juin n’a pas suffi pour combler la faille car des spécialistes de la sécurité informatique ont démontré qu’avec un système même à jour, il est impossible de réaliser l’exploit.

« Un hacker qui réussit à profiter de la faille pourrait exécuter des codes arbitraires grâce à un accès privilégié au système », a expliqué la société de Redmond. Il pourrait « ensuite installer des programmes ; voir, modifier ou effacer des données ; ou créer des nouveaux comptes avec tous les droits de l’utilisateur », souligne Microsoft.

Dans l’urgence, Microsoft n’a pas hésité à déployer une nouvelle mise à jour dont la référence KB5004945. Et le meilleur dans tout ça, plusieurs versions de Windows en profiteront. Ce sont notamment :

– Windows 10 21H1,

– Windows 10 20H1,

– Windows 10 2004,

– Windows 10 1909,

– Windows 10 1809,

– Windows 10 1803,

– Windows 10.

Et ce n’est pas tout, la société américaine propose un correctif même pour ses versions Windows 8 et Windows 7 SP1, des versions qui sont officiellement abandonnées par la société américaine. Pour les versions entreprises, le correctif est applicable à :

– Windows Server 2019,

– Windows Server 2012,

– Windows Server 2008 R2 SP1

– Windows Server 2008 SP2

La société précise de la mise à jour selon les détails suivants et par version de système. Cela donne entre autres :

– Windows 10 21H1, 20H2 ou 2004 pour KB5004945 ;

– Windows 10 1909 pour KB5004946

– Windows 10 1809 et Windows Server 2019 pour KB5004947 ;

– Windows 10 1803 pour KB5004949 ;

– Windows 10 1507 pour KB5004950 ;

– Windows 8.1 et Windows Server 2012 pour Mensuelle KB5004954 ou « Security only » KB5004958 ;

– Windows 7 SP1 et Windows Server 2008 R2 SP1 pour Mensuelle KB5004953 ou « Security only » KB5004951 :

– Windows Server 2008 SP2 pour Mensuelle KB5004955 ou « Security only » KB5004959

En attendant la réalisation des mises à jour disponibles, le CERT-Fr a recommandé à l’ensemble des responsables de sécurité de système d’information et aux responsables et administrateurs de système informatique de procéder à la désactivation complète des spouleurs d’impression de leur contrôleur de domaine.

« Ainsi que sur toute autre machine sur lequel ce service n’est pas nécessaire, particulièrement pour des machines hébergeant des services privilégiés sur l’Active Directory », indique l’organisme en public. Il recommande par ailleurs d’être attentif et de suivre les communautés des cherche en sécurité informatique pour apprendre sur l’évolution des méthodes d’exploitation de cette faille de sécurité connu sous la dénomination de PrintNightmare.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Pourquoi Microsoft veut en finir avec le mot de passe ?

Aujourd’hui, on peut le dire avec simplicité que les mots de passe ne facilitent pas vraiment la vie aux utilisateurs.

Si de façon pratique ils sont important voire nécessaire dans certains aspects, on ne peut pas nier qu’ils sont peu fiables aujourd’hui.

Cet article va aussi vous intéresser : Un mot de passe compromis serait la porte d’entrée de pirates informatiques dans le réseau de Colonial Pipeline

Dans la stratégie de Microsoft à long terme, tout sera mis en œuvre pour s’en passer définitivement. Du moins c’est ce qu’ils espèrent.

Au sein de Microsoft, le géant américain des technologies, la politique des mots de passe est très strict. En effet chaque 71 jour, tous les mots de passe doivent être changés sans exception. Et cela est une politique initiée par Bret Arsenault, le responsable de sécurité informatique de la société de Redmond. C’est un employé de la société américaine depuis maintenant 31 ans.

« C’est la première fois que j’ai été applaudi en tant que responsable de la sécurité et dirigeant », affirme ce dernier. « Nous avons dit que nous désactivions la rotation des mots de passe au sein de Microsoft. ».

Du haut de son poste, Bret Arsenault à de lourdes responsabilités. Il doit veiller à la fois à la sécurité informatique des réseaux informatiques internes de la société en même temps des produits fournis par le géant de Redmond. Il faut d’ailleurs à rappeler que le réseau interne de Microsoft est utilisé par près de 160 000 employés. Si on doit ajouter à ce nombre les fournisseurs, cela monte à près de 240 000 comptes à gérer tous les jours de l’année. Face à tout ce travail à abattre, l’objectif majeur de ce spécialiste est de supprimer les mots de passe pour le remplacer par d’autres méthodes d’identification multifactorielles.

Cette lutte pour l’amélioration de sa sécurité prend un tournant décisif en janvier 2019 chez Microsoft. Avec le processus de l’expiration d’un mot de passe en sur une durée de 1 ans. De plus plusieurs autres changements ont dû intervenir et les recommandations envers ses clients et c’est partenaires vise à revoir leurs méthodes d’identification.

Pour Bret Arsenault, il faudrait procéder à l’élimination des mots de passe et cela sans tarder.

« Si j’élimine les mots de passe et que j’utilise la biométrie, c’est beaucoup plus rapide, et l’expérience est meilleure »

« Parce que personne n’aime les mots de passe. Vous les détestez, les utilisateurs les détestent, les services informatiques les détestent. Les seules personnes qui aiment les mots de passe sont les criminels – ils les adorent », note le RSSI.

« Je me souviens que nous avions pour devise de généraliser l’AMF ; rétrospectivement, c’était le bon objectif de sécurité, mais la mauvaise approche. Il faut se concentrer sur le résultat pour l’utilisateur et passer à « nous voulons éliminer les mots de passe ». Mais les mots que vous utilisez sont importants. Il s’est avéré que ce simple changement de langage a changé la culture et la vision. Plus important encore, cela a changé notre conception et ce que nous avons construit, comme Windows Hello pour les entreprises », note ce dernier.

« 99,9 % de nos utilisateurs ne saisissent pas de mots de passe dans leur environnement » déclare ce dernier.

Sur les ordinateurs fournis sous Windows 10, l’expérience de la sécurité sans mot de passe passant par la biométrie est gérée par Windows Hello. Pour les applications de Microsoft tournant sous Android et iOS, les accès sont le plus souvent par Microsoft authentificator.  Un système qui géré du mieux possible les connexions à ses applications de Microsoft Office. Car il peut exploiter les données biométriques qui sont déjà disponibles sur les mobiles Android ou les smartphones sur iOS.

« Aujourd’hui, 99,9 % de nos utilisateurs ne saisissent pas de mots de passe dans leur environnement. Cela dit – le progrès l’emporte sur la perfection – il existe encore des applications anciennes qui demanderont toujours [un mot de passe] », souligne ce dernier.

À regarder de près, le combat semble être rude et l’objectif une gageure. En effet, seulement 18 % des clients du géant de Redmond, activer L’authentification à multiples facteurs. Un chiffre qui est de manière absurde très bas. Surtout lorsqu’on sait que l’activation de l’AMF est gratuite pour l’ensemble des clients Microsoft, particulièrement dans un contexte où une attaque au rançongiciel peut coûter des millions de dollars à cause d’un seul compte qui est mal protégé.

Si d’une manière certaine, l’utilisation de l’authentification multifactorielle ne stoppe pas définitivement les cyberattaques, celle-ci peut quand même les ralentir et rendre difficile leur tâche beaucoup plus que cela n’est aujourd’hui. Elle permettra aussi de combler certaines faiblesses qui sont inhérentes même à l’utilisation des méthodes de connexion habituelles, dont un simple hameçonnage peut les rendre totalement vulnérable. Les mots de passe sont inconvenants. L’attaque informatique subie par SolarWinds et les conséquences à l’échelle mondiale explique comment il faudrait s’en méfier.

« Tout le monde a des applications anciennes qui ne peuvent pas prendre en charge l’authentification moderne, comme la biométrie, et je pense donc que ce que beaucoup de gens devraient et doivent faire, c’est adopter une approche basée sur le risque : il faut d’abord mettre en place l’AMF pour les groupes à haut risque/de valeur comme les administrateurs, les RH, le groupe juridique et ainsi de suite, puis passer à tous les utilisateurs. Il peut s’agir d’un projet de plusieurs années, selon la rapidité avec laquelle vous voulez faire quelque chose », Explique Bret Arsenault.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Sécurité informatique : le géant américain Microsoft continue de subir les revers de l’attaque de SolarWinds

La société de Redmond n’a pas fini d’en pâtir depuis que SolarWinds a été touché de plein fouet par une attaque fourbe mais efficace.

En effet selon les récentes informations qui circulent sur le sujet, Microsoft continue d’être toujours ciblé par le groupe Nobelium, l’équipe de cybercriminels derrière la le célèbre piratage informatique de la société Texane. Comme nous le savons en plus de Microsoft, des milliers d’organisation à travers le monde ont été aussi de touchées de plein fouet. Parmi ces organisations on compte 9 agences fédérales américaines.

Cet article va aussi vous intéresser : Attaque informatique contre SolarWinds : un stagiaire pointé du doigt pour fuite de mot de passe

Récemment, Microsoft indiqué dans une déclaration publique qu’il avait découvert dans son système informatique un « logiciel malveillant voleur d’informations » sur un appareil informatique utilisé par l’un ses agents d’assistances. Selon la déclaration de Microsoft, cet agent d’assistance avait accès « informations de base sur les comptes d’un petit nombre de nos clients ».

 « L’attaquant a utilisé ces informations, dans certains cas, pour lancer des attaques très ciblées dans le cadre d’une campagne plus large. Nous avons réagi rapidement, supprimé l’accès et sécurisé l’appareil », explique l’entreprise américaine.

« L’enquête est en cours, mais nous pouvons confirmer que nos agents d’assistance sont configurés avec l’ensemble minimal de permissions requises, dans le cadre de notre approche Zero Trust, aux informations des clients. Nous notifions tous les clients impactés et nous les soutenons pour que leurs comptes restent sécurisés. », ajoute elle dans sa déclaration.

La société de Redmond recommande alors l’utilisation du mode d’authentification à multiples facteurs ainsi que de l’établissement des architectures de type Zero Trust pour une meilleure protection des infrastructures informatiques.

Par ailleurs Microsoft avait informé sur le fait que le groupe de pirate informatique avait initié une compagne de phishing en usurpant l’identité de l’organisation USAID.  Cette campagne de piratage informatique réussissait car ces derniers avait pris le contrôle du compte de l’organisation, sur une plate-forme de marketing par courrier électronique Constant Contact. Cette campagne de phishing ciblait principalement près de 3 000 comptes qui sont tous liés à des agences du gouvernement américains ou européennes, à des think tank, à des organisations non gouvernementales et à des consultants privés. La firme de Redmond a précisé qu’elle continue d’observer des « attaques de type password spraying et par force brute ».

« Cette activité récente a été infructueuse dans la plupart des cas, et la majorité des cibles n’ont pas été compromises avec succès – nous avons connaissance de trois entités compromises à ce jour », précise le géant américain. « Tous les clients été compromis ou ciblés sont contactés par le biais de notre processus de notification des attaques par un groupe soutenu par un gouvernement. ».

Dans un second article publié par Microsoft ce vendredi, la société américaine reconnaissait qu’un logiciel malveillant, précisément un pilote avait réussi à contourner les protections qui ont été déployés par cette dernière de sorte à ce que ces programmes le reconnaissent.

« L’activité de l’attaquant se limite au secteur des jeux, en particulier en Chine, et ne semble pas viser les environnements d’entreprise. Nous ne l’attribuons pas à un groupe soutenu par un gouvernement pour le moment », déclare la firme de Redmond. « Son objectif est d’utiliser le pilote pour usurper la géolocalisation, afin de tromper le système et jouer de n’importe où. Le malware permet d’obtenir un avantage dans les jeux et éventuellement d’exploiter d’autres joueurs, en compromettant leurs comptes grâce à des outils courants comme les enregistreurs de frappe. », ajoute-elle.

Après l’observation de cet incident, Microsoft a pris l’engagement d’affiner au mieux ces politiques et ses processus de validation ainsi que de signatures. Il affirme avec force que ces applications malveillantes seront bel et bien bloquées par ses applications de défense.

Si Microsoft a surnommé le programme malveillant de « pilote », celui qui l’a découvert, à savoir Karsten Hahn de la firme G Data, lui le qualifie plutôt de Netfilter, en quelque sorte un « rootkit ». « Au moment où nous écrivons ces lignes, nous ne savons toujours pas comment le pilote a pu passer le processus de signature », note ce dernier.

Selon le chercheur, c’est grâce à une enquête réalisée dans Virustotal qu’il a été possible de trouver des échantillons de signature qui remontait depuis le mois de mars. Selon lui le programme informatique dont il est question ici dispose d’un mécanisme lui permettant de faire des mises à jour, après qu’il ait pu être en contact avec une adresse IP particulière. Alors il est en mesure d’installer un certificat racine et déployer des mises à jour.

Microsoft de son côté a signifié que pour que une attaque informatique puisse fonctionner grâce à ce programme malveillant, il faudra nécessairement que les cybercriminels puissent disposer de privilège d’administrateur. Ce n’est qu’ainsi, qu’il peut alors mettre à jour l’ensemble des clés de registre et installer les pilotes nécessaires.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Attaques informatiques : une riposte contre l’attaque de Microsoft serait en cours

L’attaque informatique qui a touché le service de messagerie fourni par le géant américain Microsoft, juste quelques mois après l’attaque de l’entreprise Texanne SolarWinds, il est dit que des milliers de systèmes informatiques et d’ordinateurs seraient compromis.

Surtout, des réseaux informatiques appartenant au gouvernement américain, en plus haut du secteur privé.

Selon une déclaration émanant d’un responsable du gouvernement américain, l’administration du nouveau président Joe Biden était sur le point de lancer une riposte à ses différentes attaques informatiques. Si ce dernier c’est-à-dire le responsable l’a pas souhaité être identifié, il est confirmé selon plusieurs sources qu’il affirme de manière claire et nette que la Maison Blanche, en collaboration avec certaines entreprises du secteur privé, essaie de mettre en place les meilleures Défenses possible contre la cybermalveillance.

Cet article va aussi vous intéresser : Piratage d’Exchange : les experts de la sécurité inquiets par la présence d’un rançongiciel

Si de manière concrète, aucun lien a été établi entre les récentes attaques informatiques qui ont visé Microsoft Exchange et celle du logiciel Orion de SolarWinds, il n’empêche que, l’hypothèse ensemble crédible. Pour ce qui concerne cette dernière cyberattaque, il avait été envisagé par les autorités américaines que l’attaque informatique auraient peut-être le fait des autorités russes, cachées derrière des cybercriminels. Accusation démentie par ces dernières. Cela expliquera sans doutes les rumeurs concernant riposte éventuelle des Américains.

« Vous pouvez vous attendre à de prochaines annonces sur ce sujet dans quelques semaines, et non quelques mois », a déclaré le haut responsable américain, lors d’une rencontre avec la presse sur les deux attaques informatiques (SolarWinds et Microsoft Exchange).

Les autorités américaines ont déclaré que des agences fédérales sont intervenues avec succès pour repars et les systèmes informatiques des 9 agences qui avaient été impactées par la cyberattaque de l’entreprise Texane. Du côté de la cyberattaque de Microsoft Exchange, une action fédérale d’urgence sur un aussi en cours. Car, il faut l’avouer, les cybercriminels ont activé plusieurs failles de sécurité qui peuvent avoir des conséquences dommageables.

Le haut responsable a déclaré que pour trouver des solutions au problème actuel : « pour la première fois nous avons invité des entreprises du secteur privé à participer dans des réunions majeures de sécurité nationale au sujet des attaques ». Ce dernier précise que la réponse « est encore en train d’évoluer ». « Nous avons vraiment une courte fenêtre de temps pour réparer les serveurs vulnérables », « c’est une question d’heures et non de jours », ajoute-il.

À titre de rappel, il faut signifier que nouveau type de programme de rançon exploite une faille de sécurité qui a été créé lors d’une attaque informatique contre les serveurs de Microsoft Exchange. Par rapport à ce que mentionnent les experts, une attaque massive peut causer beaucoup de dégâts si cela n’est pas anticipé.

« Nous avons détecté et nous bloquons une nouvelle famille de logiciels de rançon utilisés après une attaque initiale sur des serveurs locaux d’Exchange non mis à jour », a souligné le département sécurité de à société de Redmond sur Twitter.

Le logiciel indexé ces jours-ci sur est d’origine chinoise. Il est baptisé « DearCry ». Il aurait été utilisé par un groupe de pirates informatiques connus sous la dénomination de « Hafnium ». Un groupe de pirate Informatiques semble-t-il, qui serait soutenu par le gouvernement chinois de Pékin. Près de 30 000 organisations composées de ville de collectivités locales américaines et d’entreprises en privées aurait été touché par ce dernier programme malveillant.

Face à la situation qui se présente, Brent Callow, de Emsisoft, Une société de cybersécurité déclare : « Il sera facile de faire des mises à jour pour empêcher des intrusions futures, mais pas d’apporter des correctifs sur les systèmes qui ont été attaqués ». Il ajoute part ailleurs : « Il est absolument essentiel que les gouvernements mettent au point rapidement une stratégie pour aider les entreprises à sécuriser leurs serveurs Exchange et corriger les failles avant que la situation, qui est déjà grave, n’empire ».

Pour le moment, la stratégie que compte adopter le gouvernement américain pour initier sa contre-attaque n’a pas été dévoilée. Aucun détail non plus du côté de Microsoft ou d’autres entreprises telle que FireEyes ou SolarWinds, qui pourraient être impliquées d’une certaine manière à cette réponse.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage