Dans le cadre de ses activités malveillantes, le célèbre groupe Lazarus a exploité une faille de sécurité présente dans le pilote AppLocker de Windows. Grâce à cette vulnérabilité, les hackers ont pu obtenir un accès au niveau du noyau et désactiver les outils de sécurité présents sur la machine. Faisons le point.

CVE-2024-21338, c'est la référence CVE associée à la faille de sécurité exploitée par le groupe de hackers nord-coréen Lazarus. Microsoft l'a patché le 13 février dernier, à l'occasion de son Patch Tuesday de février 2024.

Les experts d'Avast ont mis en ligne un nouveau rapport pour évoquer ces cyberattaques. Il permet d'apprendre que le groupe Lazarus a exploité cette vulnérabilité par l'intermédiaire d'une nouvelle version de son rootkit FudModule. Ce dernier est désormais plus furtif et plus difficile à détecter, en plus d'être capable de désactiver les solutions de sécurité présentes sur la machine Windows, notamment Microsoft Defender et CrowdStrike Falcon.

Avast explique également que le groupe Lazarus a exploité cette faille de sécurité en tant que zero-day, ce qui signifie qu'il n'existait pas encore de patch de sécurité. Avast a détecté cette vulnérabilité et l'a signalée à Microsoft. "L'exploitation de la vulnérabilité zero-day constitue une autre étape importante, alors que Lazarus utilisait auparavant des techniques BYOVD (Bring Your Own Vulnerable Driver) beaucoup plus bruyantes pour franchir la frontière entre l'administrateur et le noyau.", peut-on lire.

Quelles sont les versions de Windows affectées ? Quels sont les risques ?

Si l'on se réfère au site de Microsoft, nous pouvons voir que cette vulnérabilité affecte Windows 10 version 1809 et supérieur, Windows 11, ainsi que Windows Server 2019 et Windows Server 2022. "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM.", précise Microsoft.

Dans le cas présent, c'est le logiciel malveillant déployé sur la machine qui va directement exploiter cette vulnérabilité présente dans le pilote "appid.sys" utilisé par AppLocker afin d'obtenir une liste blanche d'applications. Ainsi, ils ont accès au noyau de l'OS et peuvent en prendre le contrôle.

Pour vous protéger, vous n'avez qu'une seule option : installer les dernières mises à jour sur vos machines Windows et Windows Server.

Source

The post Windows : le groupe Lazarus a exploité cette faille de sécurité zero-day dans AppLocker ! first appeared on IT-Connect.

Dans le domaine de la sécurité offensive, la certification professionnelle OSCP est mondialement reconnue et elle a une véritable valeur sur le marché de l'emploi. Toutefois, l'obtenir n'est pas une chose aisée. Une bonne manière de s'y préparer est de passer une autre certification : l'eCPPT. Dans cet article, nous allons vous expliquer pourquoi en comparant ces deux certifications.

La certification OSCP

Créée par la société américaine OffSec, à l'origine de la distribution Kali Linux, la certification professionnelle OSCP (Offensive Security Certified Professional) est conçue dans un but précis : vous permettre de prouver vos compétences pratiques en matière de pentest (ou tests d'intrusion, en français). Autrement dit, ce n'est pas une certification que l'on obtient par hasard.

Cette certification implique d'avoir de réelles compétences et son examen est particulièrement éprouvant sur 2 jours. En effet, lors de l'épreuve pratique, vous devez hacker plusieurs machines en un temps imparti : 23 heures et 45 minutes ! Ce n'est pas tout, puisque vous devez rendre des comptes en produisant un rapport d'audit qui doit être envoyé dans les 24 heures à l'OffSec.

Si vous souhaitez en savoir plus sur la certification OSCP, vous pouvez consulter ce précédent article :

• Comment se préparer pour obtenir la certification OSCP ?

La certification eCPPT

La certification eCPPT (Certified Professional Penetration Tester) est proposée par l'INE Security, aux côtés d'autres certifications orientées cybersécurité. À l'instar de la certification OSCP, l'examen final vise à évaluer vos compétences en pentest par la pratique : analyse et collecte d'informations sur une cible, compromission de plusieurs machines sous Windows et Linux, utilisation avancée de Metasploit, exploitation de vulnérabilités au niveau du réseau et des applications web, etc... Les sujets sont variés, et une fois cette première étape franchie, vous devez rédiger un rapport d'audit.

Différences entre OSCP et eCPPT

Ces deux certifications ont un objectif commun : vous permettre de prouver vos compétences en pentesting et hacking éthique. Alors, quelles sont les différences ? L'OSCP et l'eCPPT sont toutes les deux reconnues mondialement, même si l'OSCP a une réputation tout de même supérieure, probablement car son examen pratique demande beaucoup de rigueur et une certaine expérience en test d'intrusion.

Même si les examens visent à évaluer vos compétences en hacking et en rédaction de rapport, ils se déroulent de façon différente ! En effet, l'examen de la certification eCPPT dure 14 jours, ce qui est assurément moins stressant que dans le cas de l'OSCP où vous disposez seulement de 48 heures.

Ceci nous amène à évoquer une autre différence : le niveau de difficulté. Contrairement à l’OSCP où vous êtes livré à vous-même pour trouver les réponses, l’eCCPT a une courbe d’apprentissage moins abrupte avec un accompagnement plus structuré. Pour la plupart des candidats, la certification eCPPT est moins décourageante à obtenir que la certification OSCP. L’obtention d’eCPPT est donc un très bon moyen de se préparer à la certification reine qu’est l’OSCP.

Peu importe ce que vous choisissez, il y a un travail important à fournir afin d'être à la hauteur : un investissement personnel et du temps doit être réservé. Si vous voulez aller au bout, l’équipe d’Ambient IT ne plaisante qu’à moitié en vous disant : “Pas de Netflix, Pas de Copine, Pas d’enfant”. N'allez pas croire que l'obtention d’une certification en cybersécurité sera une formalité. Au final, si vous réussissez, vous obtenez une certification valide sans limites de temps dans un cas comme dans l'autre.

Se former pour préparer l'eCPPT ou l'OSCP

Que ce soit pour préparer l'eCPPT et/ou l'OSCP, sachez que vous pouvez être accompagné par l'organisme de formation Ambient IT. Si nous prenons l'exemple de la certification eCPPT, la formation proposée correspond à 4 jours de préparation à l'examen (soit 28 heures).

La formation de votre choix est dispensée en français par un formateur certifié qui pourra vous conseiller et vous coacher, en plus de vous aiguiser techniquement. Ceci vous permettra d'avoir une réelle stratégie pour réussir l'examen final et obtenir la certification. Un passage à l'examen officiel est également inclus dans le coût de la formation ainsi qu’un accès aux labs.

Avant d'envisager une inscription, sachez qu'il y a plusieurs prérequis techniques. En effet, il est attendu une expérience en administration Linux (Shell) et Windows, des connaissances basiques en programmation, en réseau et une maîtrise de l’anglais technique.

Pour le financement, vous pouvez utiliser votre CPF (Compte personnel de formation), comme l'indique cette page. Sachez que pour les salariés du secteur informatique (convention Syntec), l’OPCO Atlas abonde jusqu'à 4 000€ le solde CPF. Il est important de préciser que le gouvernement envisage un reste à charge de 10% pour les bénéficiaires du CPF courant 2024.

Il y a deux prochaines sessions de formation prévues : l’une au format bootcamp plus adapté pour l’OSCP et l’autre sur 4 journées en continue pour l’eCPPT. Pour vous inscrire, vous pouvez utiliser les liens suivants :

• S'inscrire à l’eCPPT du 22 au 25 avril
• S'inscrire à l’OSCP : prochain démarrage du bootcamp le 25 mars

Prêt à relever le défi et à décrocher votre première certification pentest en 2024 ?

Article sponsorisé.

The post Certifications en Cybersécurité : OSCP vs eCPPT first appeared on IT-Connect.

Une faille de sécurité critique a été découverte et corrigée dans l'extension WordPress nommée LiteSpeed Cache. Il s'agit d'une extension populaire : on parle de 5 millions d'installations actives. Faisons le point.

LiteSpeed Cache est une extension pour WordPress dont l'objectif est d'améliorer la vitesse de votre site web grâce à diverses optimisations autour de la mise en cache, du chargement différé de ressources, ou encore de la minification de fichiers JavaScript et CSS. À ce jour, on compte plus de 5 millions d'installations actives de cette extension.

La faille de sécurité critique qui a fait l'objet d'un rapport détaillé sur le blog de Patchstack est associée à la référence CVE-2023-40000. Même si elle est mise en lumière seulement maintenant, elle n'est pas récente puisqu'elle a été corrigée en octobre 2023 au sein de la version 5.7.0.1 de l'extension LiteSpeed Cache. En fait, elle a été découverte le 17 octobre 2023 par Patchstack, qui l'a ensuite remonté au développeur de l'extension, qui a mis en ligne un correctif le 25 octobre 2023.

Il s'agit d'une vulnérabilité de type XSS qui est exploitable à distance, sans être authentifié. Un attaquant peut élever ses privilèges grâce à cette faille de sécurité. Le chercheur en sécurité Rafie Muhammad précise : "[Elle] pourrait permettre à n'importe quel utilisateur non authentifié de voler des informations sensibles et, dans ce cas, d'escalader les privilèges sur le site WordPress en effectuant une seule requête HTTP.

Comment se protéger ?

Depuis tout ce temps, d'autres versions de LiteSpeed Cache ont été publiées. Aujourd'hui, la dernière version est la 6.1 et elle a été publiée le 5 février 2024. Si vous effectuez un suivi régulier de vos mises à jour, vous êtes probablement déjà protégés.

Au minimum, pour vous protéger, vous devez passer sur la version 5.7.0.1 ou supérieure dès que possible.

À en croire les statistiques relatives aux versions actives, il y a encore 39,8% des installations actives qui tournent sur une version inférieure à la version 5.7 de l'extension. Sans compter 10.8% d'installations actives sur la version 5.7. Cependant, les chiffres ne sont pas assez précis pour savoir s'il s'agit de la version 5.7.0.1 ou non.

Source

The post WordPress : cette vulnérabilité dans LiteSpeed expose des millions de sites ! first appeared on IT-Connect.

L'Offensive Security a mis en ligne une nouvelle version de sa distribution phare : Kali Linux ! Il est l'heure de faire le point sur Kali Linux 2024.1, qui comme son nom l'indique, est la première version de l'année 2024.

Amélioration de l'interface graphique

Cette nouvelle année est marquée par un rafraichissement du thème graphique de Kali Linux. C'est une habitude pour l'équipe de Kali de procéder à ce type de changement en début d'année, pour marquer le coup.

"Avec des mises à jour significatives du menu de démarrage, de l'affichage de la connexion et d'un ensemble de fonds d'écran captivants, à la fois pour nos éditions Kali normale et Kali Purple", précise l'équipe de Kali Linux. Une série de fonds d'écran a été dévoilée et elle est accessible via le paquet "kali-community-wallpapers".

Voici un aperçu du bureau de Kali Linux 2024.1 :

Au-delà des changements visuels, cette version apporte plusieurs nouveautés pour les utilisateurs des environnements de bureau Xfce et Gnome.

Avec Xfce, vous pouvez maintenant facilement copier votre adresse IP "VPN" dans le presse-papiers, d'un seul clic. Pour que cette fonctionnalité soit accessible, vous devez installer le paquet "xclip" sur la machine. "Grâce à cette amélioration, la gestion de vos connexions VPN sur Kali Linux devient encore plus transparente et intuitive.", peut-on lire.

Avec Gnome, Kali poursuit sa transition vers des applications basées sur GTK4 par le remplacement de la visionneuse d'images eye-of-gnome (eog) par Loupe. Par ailleurs, la dernière version du gestionnaire de fichiers Nautilus a été intégrée, ce qui permet une amélioration significative de la vitesse de recherche des fichiers.

Quatre nouveaux outils

Comme à chaque nouvelle version, de nouveaux outils sont ajoutés à Kali Linux. La version 2024.1 ajoute 4 nouveaux outils :

• blue-hydra - BlueHydra est un service de découverte de périphériques Bluetooth construit sur la base de la bibliothèque bluez.
• OpenTAXII - Implémentation du serveur TAXII d'EclecticIQ (version Python).
• readpe - Outils en ligne de commande pour manipuler les fichiers Windows PE
• snort - Célèbre système de détection et de prévention d'intrusion

Pour en savoir plus sur cette version, veuillez vous référer au site officiel de Kali Linux, via ce lien.

The post Kali Linux 2024.1 est disponible ! Quelles sont les nouveautés ? first appeared on IT-Connect.

Le piratage de Viamedis et Almerys est lourd de conséquences : moins d'un mois après ces deux incidents de sécurité, il y a déjà plus de 217 000 cas d'usurpations d'identité recensés ! Une donnée effrayante.

Rappel des faits

Le 1er février 2024, l'organisme de tiers-payant de santé Viamedis a subi une cyberattaque lors de laquelle les pirates sont parvenus à voler des documents et des informations au sujet des clients. Puis, quelques jours plus tard, c'est Almerys qui a subi le même sort.

En effet, le lundi 5 février 2024, un second organisme de tiers-payant de santé a subi une cyberattaque : Almerys. Les cybercriminels ont pu accéder au portail Almerys dédié aux professionnels de santé grâce à des identifiants et mots de passe de certains comptes de professionnels de santé clients d'Almerys.

Résultats, 33 millions de citoyens français sont plus ou moins impactés par ces incidents de sécurité, notamment, car parmi les clients de Viamedis et Almerys, il y a des mutuelles populaires.

• Les cyberattaques de Viamedis et Almerys exposent les données personnelles de millions de Français

Une vague d'usurpations d'identité

Les escrocs et les pirates sont bien décidés à tirer profit de ces incidents de sécurité. Pour eux, c'est une aubaine car il y a 33 millions de cibles potentielles... D'après l'outil de surveillance FranceVerif, ils sont déjà passés à l'action parce que dès le 16 février, il y avait déjà 96 000 usurpations d'identités recensées. Jour après jour, ce chiffre ne cesse d'augmenter. En date du 26 février 2024, FranceVerif recensait 217 000 usurpations.

En principe, ce chiffre devrait énormément augmenter dans les semaines et mois à venir puisque les enchères sont toujours en cours sur le Dark Web. Autrement dit, il reste toujours des données à vendredi. À ce sujet, FranceVerif précise : « Et nous ne sommes que sur la vente des données d’environ 300 000 personnes... il reste encore 32,7 millions de personnes dont les données n’ont pas encore été vendues. »

Dans le cas présent, l'usurpation d'identité est envisageable car les pirates disposent de presque toutes les informations nécessaires pour le faire : nom, prénom(s), date de naissance, rang de naissance, numéro de Sécurité sociale, nom de l'assureur santé et numéro de contrat de l'assureur. Tout dépend des contrôles effectués par l'opérateur que vous avez au bout du fil, car il peut manquer l'adresse e-mail et le numéro de téléphone...

D'ailleurs, le numéro de Sécurité sociale est une mine d'or car il révèle des informations sur le titulaire : sexe, année de naissance ou encore le département de naissance. En complément, n'oublions pas que les cybercriminels ont toujours la possibilité de croiser les informations entre plusieurs fuites de données, afin d'obtenir les pièces manquantes du puzzle.

Source

The post Piratage de Viamedis et Almerys : déjà 217 000 usurpations d’identité recensées ! first appeared on IT-Connect.