Lors de la Black Hat de Las Vegas, un événement dédié à la cybersécurité, des chercheurs en sécurité sont parvenus à identifier une vulnérabilité importante dans un framework utilisé par de nombreuses applications telles que Microsoft Teams, Discord ou encore Spotify.

Pour optimiser les temps de développement et pour éviter de redévelopper ce qui existe déjà, les développeurs s'appuient sur des frameworks. Il en existe énormément, et les applications Teams, Discord et Spotify ont un point : elles utilisent le framework Electron, développé par GitHub. Ce framework est utile pour faciliter le développement d'applications multiplates-formes en s'appuyant sur des technologies Web. D'ailleurs, ce framework en lui-même s'appuie sur Chromium, le projet libre à l'origine de Google Chrome et sur lequel s'appuient d'autres navigateurs comme Microsoft Edge, Brave, etc.

Grâce à ce framework, les développeurs peuvent intégrer une WebApp dans un container universel qu'il sera possible d'intégrer à des applications à destination des différents systèmes d'exploitation. C'est très pratique, car cela évite aux développeurs d'avoir une version complète par système, développée de zéro. Le framework permet de gagner du temps. Le problème, c'est que le framework Electron contient une faille de sécurité critique, et que cela impacte directement les applications qui l'utilisent !

Fort heureusement, cette faille de sécurité n'est pas sortie dans la nature... Les chercheurs en sécurité ont donné quelques exemples d'utilisation de cette faille, notamment la manière de l'exploiter selon l'application. Par exemple, sur Discord il suffit d'envoyer un lien malveillant vers une vidéo : si la personne ciblée clique sur le lien, l'attaquant peut prendre le contrôle de sa machine. En ce qui concerne Microsoft Teams, le résultat est le même, mais pour y parvenir, l'attaquant doit envoyer un lien spécifique pour inviter les personnes à rejoindre une réunion.

Les chercheurs en sécurité recommandent d'utiliser les WebApp à partir du navigateur plutôt que de passer par ces applications basées sur Electron. Depuis, la vulnérabilité a été corrigée dans Electron et les chercheurs ont pu recevoir une belle récompense : 10 000 dollars. Pour être protégé, il faut avoir les applications à jour (Teams, Discord, Spotify, etc...) afin d'avoir une version basée sur une version patchée d'Electron.

Source

The post Une faille de sécurité dans Teams, Discord et Spotify à cause d’un framework first appeared on IT-Connect.

L'agence américaine CISA vient d'ajouter 7 nouvelles failles de sécurité à sa liste des vulnérabilités activement exploitées. Une information à prendre en compte et qui donne la tendance quant à certaines cyberattaques actuellement en cours. Faisons le point.

La CISA effectue un suivi intéressant des vulnérabilités et il n'y a pas que des vulnérabilités récentes qui sont ajoutées à cette liste : parfois, de vieux démons remontent à la surface, et cela se confirme cette fois-ci. Tout d'abord, il y a une vulnérabilité dans SAP (CVE-2022-22536) qui est ajoutée, mais l'agence a ajouté de nouvelles failles qui viennent d'être divulguées par Apple notamment dans le navigateur Safari (CVE-2022-32893, et CVE-2022-32894) et Google (CVE-2022-2856), ainsi que des bugs liés à des produits Microsoft (CVE-2022-21971 et CVE-2022-26923) et une vulnérabilité de type "exécution de code à distance" présente dans le système PAN-OS de Palo Alto Networks (CVE-2017-15944 avec un score CVSS : 9,8) qui a été divulguée en 2017.

SAP : une vulnérabilité avec un score de 10 sur 10

La faille de sécurité CVE-2022-22536 est associée à un score CVSS de 10 sur 10 et l'éditeur l'a corrigée en février dernier. Cette vulnérabilité s'appuie sur les requêtes HTTP et elle affecte les versions suivantes de produits SAP :

• SAP Web Dispatcher (Versions - 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87)
• SAP Content Server (Version - 7.53)
• SAP NetWeaver et ABAP Platform (Versions - KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49)

La CISA précise : "Un attaquant non authentifié peut ajouter des données arbitraires à la requête d'une victime, ce qui permet d'exécuter des fonctions en usurpant l'identité de la victime ou en empoisonnant les caches intermédiaires.".

Les vulnérabilités Microsoft

Voici des informations plus précises sur les deux vulnérabilités qui affectent les produits Microsoft et que la CISA vient d'ajouter à son catalogue :

• CVE-2022-21971

Vulnérabilité dans Windows Runtime corrigée par Microsoft en février 2022. Elle affecte Windows 10, Windows 11, ainsi que Windows Server 2019 et Windows Server 2022.

• CVE-2022-26923

Vulnérabilité dans l'Active Directory, associée à un score CVSS de 8,8 sur 10, corrigée par Microsoft en mai 2022 et qui permet d'effectuer une élévation de privilèges. Sur son site, Microsoft apporte des détails supplémentaires au sujet de cette vulnérabilité : "Un utilisateur authentifié pourrait manipuler les attributs des comptes d'ordinateur qu'il possède ou gère, et acquérir un certificat auprès des services de certification d'Active Directory qui permettrait l'élévation des privilèges au niveau du système."

Si vous maintenez à jour vos systèmes, vous êtes déjà protégés contre ces différentes vulnérabilités !

Source

The post La CISA ajoute 7 vulnérabilités à son catalogue des failles exploitées, dont une faille Active Directory first appeared on IT-Connect.

Apple a publié une nouvelle version de son navigateur Safari pour protéger ses utilisateurs d'une faille de sécurité zero-day exploitée dans le cadre de cyberattaques. Safari 15.6.1 est disponible sur macOS Big Sur et Catalina.

Cette faille de sécurité est associée à la référence CVE-2022-32893 et elle est située dans le composant WebKit du navigateur. En exploitant cette vulnérabilité, un attaquant peut exécuter du code à distance sur un appareil vulnérable. Dans son bulletin de sécurité associé à cette vulnérabilité, Apple précise : "Le traitement de contenu web malicieux peut conduire à l'exécution de code arbitraire. Apple a connaissance d'un rapport indiquant que ce problème pourrait avoir été activement exploité." - Sans fournir réellement de détails sur les attaques identifiées, et sur le contexte de ces attaques.

Cette vulnérabilité, remontée à Apple par un chercheur en sécurité qui souhaite rester anonyme, permet une corruption de la mémoire, ce qui peut mener à un crash de l'application, à la corruption de données, mais aussi, comme dans le cas présent, à une exécution de code à distance.

Ces derniers jours, Apple a mis en ligne plusieurs correctifs de sécurité, et cette vulnérabilité de type zero-day est la même que celle qui a été corrigée il y a quelques jours pour macOS Monterey, les iPhone et les iPad. Cette fois-ci, il s'agit d'une mise à jour pour macOS Big Sur et macOS Catalina comme indiqué dans le bulletin de sécurité.

Source

The post Safari 15.6.1 : Apple a corrigé une faille zero-day utilisée dans des attaques first appeared on IT-Connect.

Prenez un vieil ordinateur et tentez de lire la chanson "Rhythm Nation" de Janet Jackson : cela va le faire planter, comme une véritable vulnérabilité de type déni de service. Surprenant.

Sur le site de Microsoft, Raymond Chen, affirme "Un de mes collègues m'a fait part d'une anecdote provenant du support produit de Windows XP. Un grand fabricant d'ordinateurs a découvert que la lecture du clip vidéo de la chanson "Rhythm Nation" de Janet Jackson faisait planter certains modèles d'ordinateurs portables. Je n'aurais pas voulu me trouver dans le laboratoire qu'ils ont dû mettre en place pour étudier ce problème."

Sortie en 1989, ce tube de Janet Jackson est capable de faire planter l'ordinateur sur lequel il est joué, mais également les ordinateurs voisins ! Comment est-ce possible ? D'après le récit de Raymond Chen, il s'avère que cette musique contient l'une des « fréquences de résonance naturelle » des disques durs à 5400 tr/min intégrés à certains PC portables. Si vous avez un disque SSD, vous pouvez être rassuré !

Ce bug n'est pas nouveau puisque cette anecdote date du début des années 2000.... Par contre, la nouveauté c'est que l'organisation MITRE vient d'attribuer à cette vulnérabilité un identifiant CVE : CVE-2022-38392, puisqu'il s'agit d'une faille de sécurité pouvant provoquer un déni de service ! Sur le site du MITRE, c'est précisé : "Un certain disque dur OEM à 5400 tours/minute, tel qu'il a été livré avec les PC portables vers 2005, permet à des attaquants physiquement proches de provoquer un déni de service (dysfonctionnement du dispositif et arrêt du système) via une attaque par fréquence de résonance avec le signal audio de la vidéo musicale Rhythm Nation."

À cause des vibrations générées par le son, la lecture du clip vidéo aurait également un impact négatif sur les performances du disque dur ! L'article de Raymond Chen évoque également, avec un certain humour, les vibrations générées par le cri d'une personne qui provoquerait une latence importante sur un disque dur. Le fabricant de PC en question a pris la décision d'inclure un filtre personnalisé dans le pipeline audio pour détecter et supprimer les fréquences à problèmes !

C'était l'histoire étrange, mais réelle du vendredi après-midi... Je vous laisse avec Janet Jackson !

Source

The post Quand un tube de Janet Jackson fait planter les vieux ordinateurs… first appeared on IT-Connect.

Nouveau record ! Un client de Google Cloud Armor a subi une cyberattaque DDoS HTTPS qui a atteint 46 millions de requêtes par seconde, ce qui en fait l'attaque DDoS HTTPS la plus importante jamais enregistrée ! Faisons le point.

Souvenez-vous, en juin dernier, le géant Cloudflare avait annoncé que son système de protection était parvenu à atténuer une attaque DDoS HTTPS avec un pic à 26 millions de requêtes par seconde ! C'était un record à l'époque. Désormais, c'est Google Cloud Armor qui a fait mieux avec cette attaque DDoS HTTPS et son pic à 46 millions de requêtes par seconde. Presque le double, on va dire.

Lors de cette nouvelle attaque record, en à peine deux minutes, le nombre de requêtes par seconde est passé de 100 000 à 46 millions. Cette attaque s'est déroulée le 1er juin 2022. À titre de comparaison, et pour vous donner une idée de l'ampleur de l'attaque au moment du pic, Google affirme qu'il s'agissait de l'équivalent de toutes les requêtes quotidiennes sur Wikipédia en seulement 10 secondes. Google Cloud Armor étant correctement configuré sur l'environnement du client, l'attaque a pu être maîtrisée et elle s'est terminée 69 minutes après avoir commencé.

Le logiciel malveillant à l'origine de l'attaque n'a pas encore été déterminé précisément, mais en tenant compte de la répartition géographique des nœuds à l'origine de l'attaque, Google pense qu'il s'agit de Meris, un botnet bien connu et à l'origine de nombreuses attaques DDoS.

Toujours d'après Google, le trafic de l'attaque provenait de 5 256 adresses IP réparties dans 132 pays. Puisqu'il s'agit de trafic HTTPS, avec du chiffrement donc, il s'agit sûrement de machines avec de bonnes ressources. Une autre caractéristique de l'attaque, c'est l'utilisation de nœuds de sortie Tor pour acheminer le trafic. En fait, cela représente 22% des sources émettrices de l'attaque, soit 1 169, correspond au final à seulement 3% du trafic de l'attaque.

Le rapport de Google Cloud est disponible ici.

Source

The post Google bloque une attaque DDoS HTTPS avec un pic à 46 millions de requêtes par seconde ! first appeared on IT-Connect.