Archives par mot-clé : solarwinds

SolarWinds : Encore une faille de sécurité

Récemment la société américaine Microsoft a fait la découverte d’une faille de sécurité qui est actuellement exploitable par plusieurs pirates informatiques provenant de certains produits de SolarWinds, la société Texane impliquée dans la plus grande cyberattaque de tous les temps.

Les produits concernés sont notamment Serv-U Managed File Transfer Server et Secured FTP. Les correctifs de sécurité sont déjà disponibles et les personnes concernées sont vivement exhorté à l’appliquer d’urgence.

« Serv-U Managed File Transfer Server et Serv-U Secured FTP doivent impérativement être mis à jour logicielle vers Serv-U 15.2.3 HF2 dès que possible. », souligne la société Texane.

Cet article va aussi vous intéresser : Sécurité informatique : le géant américain Microsoft continue de subir les revers de l’attaque de SolarWinds

D’une manière ou d’une autre, les entreprises n’ont malheureusement pas de répit en matière de cyberattaque. Chaque mois on observe clairement une intensification des attaques informatiques. Et ces derniers mois, ils ont été plus que actifs. On a aperçu à travers la faille de sécurité de Microsoft exchange est l’attaque subie par Kaseya et les entreprises clientes. Les conséquences sont les même mais beaucoup plus important. Les demandes de rançons foisonnement. En fin d’année 2020, la faille de sécurité impliquant sur la route a été un choc pour l’univers de la cyber sécurité. Les implications de cette attaque informatique étaient sur le plan mondial une catastrophe sans exagéré.

Aujourd’hui, l’éditeur américain est au cœur d’une autre question de faille de sécurité. Cette fois-ci c’est Microsoft en qui prend le devant en découvrant la vulnérabilité.

« SolarWinds a récemment été informé par Microsoft d’une vulnérabilité de sécurité liée à Serv-U Managed File Transfer Server et Serv-U Secured FTP et a développé un correctif pour résoudre cette faille », a souligné le fournisseur américain. « Même si les recherches de Microsoft indiquent que cet exploit implique un ensemble limité et ciblé de clients et un seul groupe de cybercriminels, nos équipes conjointes se sont mobilisées pour y remédier rapidement ».

À titre de rappel il faut préciser que Serv-U Managed File Transfer Server et Secured FTP sont des outils de des transferts de fichiers de gestion et de FTP sécurisés.

« La vulnérabilité existe dans la dernière version de Serv-U 15.2.3 HF1 publiée le 5 mai 2021 et dans toutes les versions antérieures », a déclaré SolarWinds. « Un acteur malveillant qui a réussi à exploiter cette faille pourrait exécuter du code arbitraire avec des privilèges. Un attaquant pourrait alors installer des programmes et les exécuter ; afficher, modifier ou supprimer des données », ajoute la société américaine.

Pour appliquer le correctif de sécurité disponible pour Serv-U 15.2.3 HF2, les utilisateurs doivent aller sur le portail client qui est dédié à cet effet. Pour le moment il est impossible de déterminer combien de clients qui ont pu être potentiellement exposé à cette faille de sécurité. Cependant selon Microsoft qui a découvert la faille de sécurité et le procédé pour pouvoir l’exploiter, il est possible que la vulnérabilité ne concerne que des utilisateurs de faible nombre. « SolarWinds n’a pas actuellement d’estimation du nombre de clients pouvant être directement affectés par la vulnérabilité. Nous n’avons pas connaissance de l’identité des clients potentiellement concernés », a indiqué la société américaine.

Pour savoir si son environnement informatique est touché par cette vulnérabilité, la société américaine préconise de suivre trois étapes importantes dont s’assurer que la connexion SSH est bel et bien activée. Si c’est le cas à l’heure la file n’est pas exploitable.

« Des exceptions peuvent être levées pour d’autres raisons, veuillez donc collecter les journaux de log pour vous aider à déterminer votre situation », précise cependant SolarWinds.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Sécurité informatique : le géant américain Microsoft continue de subir les revers de l’attaque de SolarWinds

La société de Redmond n’a pas fini d’en pâtir depuis que SolarWinds a été touché de plein fouet par une attaque fourbe mais efficace.

En effet selon les récentes informations qui circulent sur le sujet, Microsoft continue d’être toujours ciblé par le groupe Nobelium, l’équipe de cybercriminels derrière la le célèbre piratage informatique de la société Texane. Comme nous le savons en plus de Microsoft, des milliers d’organisation à travers le monde ont été aussi de touchées de plein fouet. Parmi ces organisations on compte 9 agences fédérales américaines.

Cet article va aussi vous intéresser : Attaque informatique contre SolarWinds : un stagiaire pointé du doigt pour fuite de mot de passe

Récemment, Microsoft indiqué dans une déclaration publique qu’il avait découvert dans son système informatique un « logiciel malveillant voleur d’informations » sur un appareil informatique utilisé par l’un ses agents d’assistances. Selon la déclaration de Microsoft, cet agent d’assistance avait accès « informations de base sur les comptes d’un petit nombre de nos clients ».

 « L’attaquant a utilisé ces informations, dans certains cas, pour lancer des attaques très ciblées dans le cadre d’une campagne plus large. Nous avons réagi rapidement, supprimé l’accès et sécurisé l’appareil », explique l’entreprise américaine.

« L’enquête est en cours, mais nous pouvons confirmer que nos agents d’assistance sont configurés avec l’ensemble minimal de permissions requises, dans le cadre de notre approche Zero Trust, aux informations des clients. Nous notifions tous les clients impactés et nous les soutenons pour que leurs comptes restent sécurisés. », ajoute elle dans sa déclaration.

La société de Redmond recommande alors l’utilisation du mode d’authentification à multiples facteurs ainsi que de l’établissement des architectures de type Zero Trust pour une meilleure protection des infrastructures informatiques.

Par ailleurs Microsoft avait informé sur le fait que le groupe de pirate informatique avait initié une compagne de phishing en usurpant l’identité de l’organisation USAID.  Cette campagne de piratage informatique réussissait car ces derniers avait pris le contrôle du compte de l’organisation, sur une plate-forme de marketing par courrier électronique Constant Contact. Cette campagne de phishing ciblait principalement près de 3 000 comptes qui sont tous liés à des agences du gouvernement américains ou européennes, à des think tank, à des organisations non gouvernementales et à des consultants privés. La firme de Redmond a précisé qu’elle continue d’observer des « attaques de type password spraying et par force brute ».

« Cette activité récente a été infructueuse dans la plupart des cas, et la majorité des cibles n’ont pas été compromises avec succès – nous avons connaissance de trois entités compromises à ce jour », précise le géant américain. « Tous les clients été compromis ou ciblés sont contactés par le biais de notre processus de notification des attaques par un groupe soutenu par un gouvernement. ».

Dans un second article publié par Microsoft ce vendredi, la société américaine reconnaissait qu’un logiciel malveillant, précisément un pilote avait réussi à contourner les protections qui ont été déployés par cette dernière de sorte à ce que ces programmes le reconnaissent.

« L’activité de l’attaquant se limite au secteur des jeux, en particulier en Chine, et ne semble pas viser les environnements d’entreprise. Nous ne l’attribuons pas à un groupe soutenu par un gouvernement pour le moment », déclare la firme de Redmond. « Son objectif est d’utiliser le pilote pour usurper la géolocalisation, afin de tromper le système et jouer de n’importe où. Le malware permet d’obtenir un avantage dans les jeux et éventuellement d’exploiter d’autres joueurs, en compromettant leurs comptes grâce à des outils courants comme les enregistreurs de frappe. », ajoute-elle.

Après l’observation de cet incident, Microsoft a pris l’engagement d’affiner au mieux ces politiques et ses processus de validation ainsi que de signatures. Il affirme avec force que ces applications malveillantes seront bel et bien bloquées par ses applications de défense.

Si Microsoft a surnommé le programme malveillant de « pilote », celui qui l’a découvert, à savoir Karsten Hahn de la firme G Data, lui le qualifie plutôt de Netfilter, en quelque sorte un « rootkit ». « Au moment où nous écrivons ces lignes, nous ne savons toujours pas comment le pilote a pu passer le processus de signature », note ce dernier.

Selon le chercheur, c’est grâce à une enquête réalisée dans Virustotal qu’il a été possible de trouver des échantillons de signature qui remontait depuis le mois de mars. Selon lui le programme informatique dont il est question ici dispose d’un mécanisme lui permettant de faire des mises à jour, après qu’il ait pu être en contact avec une adresse IP particulière. Alors il est en mesure d’installer un certificat racine et déployer des mises à jour.

Microsoft de son côté a signifié que pour que une attaque informatique puisse fonctionner grâce à ce programme malveillant, il faudra nécessairement que les cybercriminels puissent disposer de privilège d’administrateur. Ce n’est qu’ainsi, qu’il peut alors mettre à jour l’ensemble des clés de registre et installer les pilotes nécessaires.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les piratages informatiques qui ont marqué ces 10 dernières années

Selon les chiffres fournis par l’Agence Nationale de sécurité des systèmes d’information, les attaques informatiques se sont littéralement multipliées par 4 ces dernières années.

Bien évidemment cela se comprend vu le contexte dans lequel le monde a été plongé à cause de la pandémie à coronavirus. Pourtant, toutes les attaques qui ont été observées depuis le début de l’année 2020 n’ont pas eu les mêmes portées. Par exemple le 10 mai dernier, l’actualité était au fait de la cyberattaque qui avait secoué le géant américain du réseau pétrolier, Colonial Pipeline. Cela nous a donné l’idée par exemple de faire un point sur les attaques informatiques qui ont marqué d’une manière ou d’une autre la cybersécurité ces 10 dernières années.

1- La cyberattaque contre Yahoo

hacker yahoo

En 2013, la société Yahoo est frappée de plein fouet par une attaque informatique qui est considérée comme étant la plus importante de l’histoire que la cybersécurité. C’est près de 3 milliards de comptes d’utilisateurs qui ont été touchés directement par cet incident de sécurité. En guise de réponse le gendarme américain de la bourse en alors la société qui gère la plate-forme à savoir Altaba une amende de 35 millions de dollars. La raison de cette fonction est la dissimulation de l’attaque informatique.

2- L’attaque contre Sony

Le studio de cinéma américain Sony, est touché en 2014 par une attaque informatique qui aura une conséquence assez dramatique. L’incident de sécurité n’est pas une attaque mais plutôt une vague de cyberattaques. L’attaque a été tellement dommageable que le studio n’a pas pu faire sortir ce qui était appelée à l’époque « l’interview qui tue ». Une interview qui était censée porter sur un complot fictif de la CIA pour l’assassinat du dirigeant De la Corée du Nord, Kim Jong-Un. Selon le gouvernement américain, président est imputable à ce dernier pays. En dépit de tout, cette attaque informatique s’impose en comme étant l’une des plus spectaculaires jamais vu dans le domaine de la cybercriminalité.

3- WannaCry: le rançongiciel de niveau mondial

WannaCry est de loin, l’une des histoires qui aura le plus marqué le monde de l’informatique à tout jamais. En effet, ce programme malveillant aura fait beaucoup plus de dégâts que cela n’était prévu auparavant selon certaines espèces. L’attaque survient exactement en mai 2017, et on comptabilise près de 300 000 ordinateurs infectés à travers le monde reparti dans 150 pays exactement. C’est le début de l’épanouissement des rançongiciels. Ces programmes malveillants qui prennent en otage les systèmes informatiques grâce auquel les pirates informatiques peuvent exiger le paiement de rançon en d’essence des clés de déchiffrement. Il faudrait ajouter par ailleurs que ce programme de rançonnage, aussi célèbre soit-il s’est propagé à travers une faille de sécurité présente dans le système d’exploitation Windows, une faille de sécurité qui avait déjà été corrigée et dans le correctif était déjà disponible.

4- SolarWinds

Vers la fin de l’année 2020, il survient une attaque informatique qui est considérée comme étant la plus grave et là plus impactant de l’histoire de la cybercriminalité. Les pirates informatiques ont profité d’une faille de sécurité présente dans le logiciel Orion, fournie par la société Texane, SolarWinds. La faille de sécurité a été créée par les pirates informatiques en profiter d’une mise à jour pour les distribuer aux clients de la société américaine. Grâce à cela, les cybers malveillants réussissent à Infecter près de 18 000 organisations à travers le monde ce qui inclut plusieurs organisations gouvernementales américaines.

Le pirate informatique a réussi grâce à ce coup à exfiltrer d’innombrables données sensibles venant des grandes entreprises à quelques Microsoft.

Le gouvernement américain de son côté, en avril 2021 accuse le gouvernement russe d’être derrière cette initiative. Dans cette optique, elle annonce plusieurs sanctions financières contre Moscou

En avril 2021, Washington annonce des sanctions financières contre Moscou, à qui elle impute la responsabilité de l’attaque.

5- Microsoft exchange

Cette fois-ci, nous sommes en 2021, précisément durant le mois de mars, le géant américain Microsoft est frappé d’attaque qui touche ses serveurs exchange. Conséquences, les pirates informatiques on peut accéder à des données confidentielles de prêt de 30 000 organisations Américaines incluant des institutions gouvernementales, des structures communales sans oublier les entreprises privées.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Attaque informatique contre SolarWinds : un stagiaire pointé du doigt pour fuite de mot de passe

Récemment, le PDG de la société texane SolarWinds a pointé du doigt un stagiaire, car celui-ci aurait favorisé de la fuite de mot de passe.

Même si d’une certaine manière aucun rapprochement n’a été fait entre cette fuite et l’attaque subie par la société américaine.

Cet article va aussi vous intéresser : SolarWinds renforce sa cybersécurité

À titre de rappel, notons que la cyberattaque qui a touché Orion, un logiciel fourni par la société SolarWinds, Piratage par lequel des cybercriminels ont réussi à avoir accès à des systèmes d’information de plusieurs entreprises, cliente de la société Texane. Le piratage, il faut le préciser a été qualifié de l’un des plus grave jamais connu de la décennie. Plusieurs grandes entreprises ont été touché de plein fouet à savoir, Microsoft ou encore l’éditeur de solution informatique FireEyes. Sans oublier des organismes de gouvernement des États-Unis dans l’agence du nucléaire.

Récemment il a été découvert quelque chose d’assez étonnant. Un mot de passe affilié à un des serveurs « solarwinds123 ».

La popularité de SolarWinds à été dû à un fait malencontreux. Pour ce qui concerne le mot de passe, l’erreur a été imputé un stagiaire.

 « J’ai un mot de passe plus fort que « solarwinds123 » pour empêcher mes enfants de trop regarder YouTube sur leur iPad », a signifié la représentante américaines Katie Porter. « Vous et votre entreprise étiez censés empêcher les Russes de lire les e-mails du ministère de la Défense ! »,

Dans un communiqué de presse de la commission parlementaire portant sur le contrôle et la réforme, l’ancien PDG de SolarWinds, Kevin Thompson déclare : « Ils ont violé notre politique en matière de mot de passe et ont publié ce mot de passe sur un compte interne, sur leur propre compte GitHub privé ».

Selon les informations fournies par la société, le problème avec ce mot de passe remonterait depuis 2018 voir encore plus loin. Selon le chercheur qui a découvert cette fuite de données, le mot de passe était déjà disponible depuis juin 2018 sur internet. Pourtant le problème a été résolu qu’en 2019. Selon les déclarations du PDG actuel de la société Texanne, cette faille de sécurité remonte à 2017. « Je crois que c’est un mot de passe qu’un stagiaire a utilisé sur un de ses serveurs GitHub en 2017, qui a été signalé à notre équipe de sécurité et a été immédiatement supprimé », a déclaré Sudhakar Ramakrishna, l’actuel PDG de SolarWinds.

L’enquête du gouvernement américain continue toujours pour apporter plus de lumière à cette affaire. Cependant, cette affaire pourrait prendre plusieurs mois. De son côté le PDG de l’entreprise a des sécurité FireEye, Kevin Mandia affirme qu’il ne sera jamais possible de déterminer l’ampleur de cette attaque informatique.

« Le résultat final : nous ne connaîtrons peut-être jamais l’étendue et l’ampleur des dégâts, et nous ne saurons peut-être jamais dans quelle mesure les informations volées profitent à un adversaire », a signifié Mandia. Cependant avec tout ce qui se passe, il est probable qu’on puisse accuser un simple stagiaire d’avoir été la cause de de celui-ci.

Pourtant, cette éventualité n’est pas vu par tout le monde de la même manière. En effet selon un chercheur Thaddeus E. Grugq, il n’est pas nécessaire pour des services de renseignement d’avoir franchement accès au mot de passe faible d’une victime pour accéder un système informatique. « Si c’est ce qu’ils utilisent, alors c’est ce qu’ils utilisent, mais ce n’est pas le facteur décisif pour l’opération ». Explique le chercheur. « La porte dérobée SolarWinds a été profondément intégrée dans le code, elle a été injectée pendant leur processus de construction, et il n’est pas possible que le serveur ayant un mot de passe faible ait été le facteur déterminant. Comme si les services secrets russes allaient abandonner s’il y avait un mot de passe fort à la place ! (…) Il n’y a pratiquement aucune chance que le mot de passe du serveur ait eu un quelconque rapport avec le piratage dans son ensemble ». Ajoute ce dernier.

En rapportant une citation présente dans le livre intitulé « Network Attacks and Exploitation: A Framework », Thaddeus E. Grugqde déclare : « L’infraction est régulièrement sous-estimée. Lorsque des entreprises sont piratées, elles réagissent comme si elles n’avaient fait qu’une seule chose ou évité une seule erreur, tout aurait été correct. L’adversaire est traité comme s’il avait juste eu de la chance ».

L’exemple du mot de passe ici ne fait que mettre en évidence que malgré les sensibilisations, les gens continuent d’avoir de mauvaises pratiques en matière de définition de mot de passe ainsi que dans le secteur de la sécurité en général. « Je suis tout à fait d’accord avec le « c’est un exemple de mauvaise pratique en matière de sécurité », mais… ce n’est pas ce qui a été dit. Ils ont littéralement dit que le mot de passe faible signifie que l’attaquant peut être n’importe qui. N’importe qui peut le faire. C’est la suggestion la plus absurde (….) Je suis parfaitement disposé à croire que leurs serveurs de compilation utilisaient « admin:admin » et que c’est comme ça que les Russes ont eu accès à leur code… mais, c’était une opération clandestine de renseignement. Ils n’ont pas réussi simplement parce que SolarWind avait une mauvaise hygiène des mots de passe ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

SolarWinds renforce sa cybersécurité

En décembre 2020, d’importantes organisations gouvernementales et entreprises privées étaient victimes d’une attaque informatique.

Le point commun, elles utilisent toutes un logiciel de gestion fourni par une entreprise Texanne : « SolarWinds ». Cela qui a été considéré par les spécialistes comme la pire attaque informatique de ces 10 dernières années. Fort de cela, SolarWinds cherche à redorer son blason. Pour cela, la société américaine renforce sa cybersécurité. Elle prend contact alors avec KSG, une société de sécurité informatique récemment créée par deux experts en la matière. D’une part, Chris Krebs, l’ancien directeur général de la CISA, l’organisme public chargé de veiller à la sécurité informatique aux États-Unis, et d’autre part, Alex Stamos, ancien responsable de sécurité des systèmes d’information à Facebook.

Cet article va aussi vous intéresser : Focus sur l’attaque de SolarWinds

Ce penchant vers un renforcement de la cybersécurité de l’entreprise Texanne s’explique par le fait qu’elle soit aujourd’hui dans le collimateur des autorités américaines.

« Nous avons engagé plusieurs experts de premier plan en cybersécurité pour nous aider dans ce voyage et je m’engage à être transparent avec nos clients, nos partenaires gouvernementaux et le grand public à court et à long terme concernant nos améliorations de sécurité afin de garantir que nous maintenons ce le plus important pour nous – votre confiance », explique dans un billet de blog, Sudhakar Ramakrishna, le premier responsable de SolarWinds.

Par ailleurs le porte parole de la société américaine déclare aussi en ces termes : « Nous avons fait appel à l’expertise de Chris Krebs et d’Alex Stamos pour nous aider dans cet examen et fournir les meilleurs conseils pour évoluer vers une société de développement de logiciels sécurisés leader du secteur ».

Il n’y a pas à douter de la compétence de l’entreprise engagé ici par SolarWinds. Les de patrons sont des experts de la cybersécurité. Mais il est clair que la tâche ne sera pas assez facile. Surtout face à une attaque informatique dont l’impact jusqu’à présent n’as pas pu être mesuré avec précisément. Les hypothèses penchent toujours pour une attaque informatique soutenue par un État-nation. « Nous nous sommes déjà engagés à aider à comprendre et à nous remettre de ce qui semble être l’une des campagnes d’intrusion étrangère les plus graves de l’histoire, et nous aiderons d’autres à tirer des leçons de cette attaque », a publié sur son compte Twitter Alex Stamos.  « Cela a été un effort de plusieurs années de la part de l’une des meilleures opérations de renseignement les plus sophistiquées au monde. Ce n’était qu’une petite partie d’un plan beaucoup plus vaste et très sophistiqué, donc je m’attendrais à ce que davantage d’entreprises aient été compromises, sans compter des techniques que nous n’avons pas encore trouvées […] Je pense qu’il y a tellement plus à écrire dans ce chapitre des opérations de cyber-renseignement russe », ajoute Chris Krebs.

Les dés sont donc jetés. Espérant que ce nouveau partenariat puisse à nouveau rehausser son image, l’entreprise américaine essaie tant mieux que mal de limiter les dégâts. On verra le résultat d’ici les prochains mois.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage