Les serveurs Linux exposés sur Internet sont la nouvelle cible d'un groupe de cybercriminels inconnu : ils effectuent des attaques par brute force sur l'accès SSH pour infecter les serveurs avec différentes souches malveillantes, notamment le botnet Tsunami.

S'attaquer à l'accès SSH de serveurs exposés sur Internet, c'est un grand classique. On est en 2023, et cela fonctionne toujours : de quoi motiver les cybercriminels à continuer ces attaques massives en utilisant la méthode du brute force. Cette méthode est efficace si le serveur n'est pas suffisamment sécurisé : une attaque par brute force est facilement détectable, avec un outil comme CrowdSec ou fail2ban, par exemple. Le centre d'intervention d'urgence d'AhnLab Security a fait la découverte d'une nouvelle campagne de ce type.

Les cybercriminels scannent Internet à la recherche de machines Linux avec un service SSH accessible publiquement, afin de déclencher une attaque brute force où différents couples d'identifiants seront testés. Bien souvent, l'identifiant "root" est utilisé, avec différents mots de passe. Voici une liste d'identifiants testés par les pirates dans le cadre de cette campagne :

Une fois qu'une machine Linux est compromise, que se passe-t-il ?

Un script Bash est exécuté dans le but de télécharger et d'exécuter un véritable arsenal de malwares et d'outils ! Parmi ces malwares, il y a le botnet Tsunami qui permettra d'utiliser la machine dans le cadre d'attaques DDoS mais aussi de permettre le contrôle à distance, la collecte d'informations sur le système, etc.... Un autre botnet nommé ShellBot est déployé et ce dernier ajoute la possibilité de pouvoir déployer un reverse shell. Par ailleurs, on retrouve aussi XMRig pour miner de la cryptomonnaie Monero

À cela s'ajoutent les outils  MIG Logcleaner v2.0 et Shadow Log Cleaner, deux outils pour nettoyer le serveur compromis afin de ne pas laisser de trace des actions malveillantes effectuées (suppressions de logs, par exemple). On rentre en force sur le serveur, et ensuite, on nettoie.

Par ailleurs, les pirates profitent de l'accès au serveur pour générer une paire de clés SSH (une clé publique et une clé privée), autorisée ensuite au sein du serveur. Ainsi, même si le mot de passe du serveur est changé par l'administrateur, les pirates ont toujours un accès grâce à l'authentification par clé.

Ne négligez pas l'accès SSH de votre serveur : changer le port par défaut, désactiver l'authentification du compte root et passer sur de l'authentification par clés, et cela va améliorer le niveau de sécurité de l'accès SSH de votre serveur.

Source

The post L’accès SSH ciblé pour pirater des serveurs Linux et déployer plusieurs malwares ! first appeared on IT-Connect.

Sur Amazon.fr, il y a une vente flash sur plusieurs packs de caméras eufy Security ! L'occasion de s'équiper avec des caméras sans-fil ! eufy Security est une solution qui n'a pas besoin d'un abonnement mensuel pour fonctionner !

Kit n°1 : 2 caméras eufyCam 2C et une HomeBase 2 pour 139,99 euros

Habituellement proposé à 199,99 euros, ce kit très intéressant est en vente flash sur Amazon.fr : -30% ce qui fait tomber le prix à 139,99 euros ! À ce prix, vous avez le droit à un système complet et autonome : une HomeBase 2 qui sert à stocker les enregistrements vidéos et qui sert de passerelle pour communiquer avec les caméras, ainsi que deux caméras eufyCam 2C. Ce modèle disponible depuis plusieurs années intègre un capteur Full HD, fonctionne en Wi-Fi et intègre une batterie qui promet jusqu'à 180 jours d'autonomie, soit 6 mois.

Ce système est évolutif, car une même HomeBase peut gérer une dizaine de caméras. Vous avez la possibilité d'ajouter d'autres caméras eufyCam 2C à votre installation, ou de partir sur un modèle plus récent. En effet, la HomeBase est compatible avec différents modèles de caméras. D'ailleurs, il y a un test de ce kit disponible sur IT-Connect.

Autour du modèle eufyCam 2C, il y a plusieurs offres pour vous permettre de mettre en place une installation intéressante.

Kit avec une HomeBase 2 et deux caméras eufyCam 2C : 139,99 euros au lieu de 199,99 euros

• Voir l'offre sur Amazon

Kit avec une HomeBase 2 et trois caméras eufyCam 2C : 199,99 euros au lieu de 279,99 euros

• Voir l'offre sur Amazon

Caméra eufyCam 2C additionnelle : 69,99 euros sur Amazon.fr, au lieu de 99,99 euros.

• Voir l'offre sur Amazon

Kit n°2 : 2 caméras eufyCam 2C Pro et une HomeBase 2 pour 179,99 euros

Habituellement proposé à 269,00 euros, ce kit est disponible sur Amazon.fr à 179,99 euros ! En fait, c'est la même chose que le kit évoqué ci-dessus, sauf que le modèle de caméras est différent : on est sur une caméra eufyCam 2C Pro au lieu d'une caméra eufyCam 2C. La principale différence ? La résolution de l'optique de la caméra ! Sur cette version, c'est une résolution 2K donc on a une meilleure qualité d'image. L'autonomie reste de 180 jours.

Kit avec une HomeBase 2 et deux caméras eufyCam 2C Pro : 179,99 euros au lieu de 269,00 euros

• Voir l'offre sur Amazon

Caméra eufyCam 2C Pro additionnelle : 89,99 euros sur Amazon.fr, au lieu de 129,99 euros.

• Voir l'offre sur Amazon

Caméra eufyCam 2 Pro additionnelle (résolution 2K et autonomie 365 jours) : 109,99 euros sur Amazon.fr, au lieu de 159,99 euros.

• Voir l'offre sur Amazon

Kit n°3 : 2 caméras eufyCam 3C et une HomeBase 3 pour 329,99 euros

Habituellement proposé à 459,99 euros, le kit eufyCam 3C avec deux caméras et une HomeBase 3 voit son prix chuter de 30% ! Résultat, le kit est proposé à 329,99 euros ! Il s'agit de la dernière génération de caméras eufy Security, avec la nouvelle HomeBase v3. Elle intègre des fonctions en plus comme la reconnaissance des visages (personnes connues et inconnues), des animaux, des voitures, et elle peut aussi accueillir un disque interne pour étendre le stockage local.

Avec ce modèle de caméras eufyCam 3C, on bénéficie d'une autonomie de 180 jours et l'optique de la caméra est en 4K.

Kit avec une HomeBase 3 et deux caméras eufyCam 3C : 329,99 euros au lieu de 459,99 euros

• Voir l'offre sur Amazon

Il est à noter que la HomeBase 2 est compatible avec les caméras eufyCam 2C, eufyCam 2C Pro, eufyCam 2 Pro, etc.... Donc il est possible de partir sur un kit de base et d'acheter d'autres modèles de caméras additionnelles. Pour la compatibilité entre les modèles, regardez cette page.

Une question sur les caméras ? La HomeBase ? L'application ? Vous pouvez poster un commentaire.

The post Vente flash sur les packs eufy Security : une base et deux caméras sans-fil pour 139,99 euros ! first appeared on IT-Connect.

Microsoft a corrigé une faille de sécurité importante dans son service Azure Active Directory alias Azure AD, et plus précisément dans les applications OAuth ! Elle permettait à un attaquant d'effectuer une élévation de privilèges et prendre le contrôle du compte de sa cible simplement en connaissant son adresse e-mail.

L'équipe de sécurité de Descope a fait la découverte de cette faille de sécurité dans Azure AD ! Surnommée nOAuth, elle relève d'une mauvaise configuration et est exploitable avec les applications OAuth configurées pour utiliser l'email comme référence pour les autorisations (et la création du jeton d'accès). D'après Descope, ceci est problématique, car "dans Microsoft Azure AD, la déclaration d'email est à la fois mutable et non vérifiée, elle ne doit donc jamais être utilisée comme identifiant."

En exploitant la faille de sécurité nOAuth, il est possible de prendre le contrôle d'un compte cible en quelques étapes :

• L'attaquant accède à son tenant avec un compte administrateur Azure AD
• L'attaquant change l'e-mail de ce compte pour le remplacer avec l'adresse e-mail de sa victime
• L'attaquant utilise l'option "Se connecter avec Microsoft" sur un site ou une application vulnérable (authentification OAuth)
• L'attaquant a accès au compte de la victime, sans avoir à connaître son mot de passe.

D'ailleurs, même si la victime n'a pas de comptes Microsoft, l'attaque peut fonctionner selon la configuration de l'application : "Si l'application fusionne les comptes d'utilisateurs sans validation, l'attaquant a désormais le contrôle total du compte de la victime, même si cette dernière n'a pas de compte Microsoft." - Une fois que le compte est compromis, c'est la porte ouverte à d'autres actions : persistance, vol de données, mouvements latéraux, etc...

Une vidéo de démonstration a été publiée par Descope :

Toujours d'après Descope, il y a de nombreuses entreprises vulnérables à ce type d'attaques ! Par exemple, il y a une application de conception qui compte des millions d'utilisateurs mensuels.

Désormais, Microsoft a mis en ligne un rapport à ce sujet et les équipes internes ont fait le nécessaire pour protéger les utilisateurs de la vulnérabilité nOAuth : "Pour protéger les clients et les applications susceptibles d'être vulnérables à l'escalade des privilèges, Microsoft a déployé des mesures d'atténuation afin d'omettre les demandes de jetons émanant de propriétaires de domaines non vérifiés pour la plupart des applications." - Les entreprises concernées vont recevoir une notification par e-mail de la part de Microsoft.

Source

The post Azure AD et OAuth : Microsoft a corrigé une faille de sécurité qui permettait de prendre le contrôle d’un compte first appeared on IT-Connect.

Les malwares voleurs de données sont particulièrement intéressé par les comptes ChatGPT : au cours de l'année passée, on parle de plus de 101 000 comptes ChatGPT volés et mis en vente sur le Dark Web.

Les malwares de type infostealer aiment dérober des données sur une machine infectée en piochant dans les données du navigateur web ou d'une application. Ainsi, les cybercriminels parviennent à voler des identifiants, des numéros de cartes bancaires, ou encore l'accès à un portefeuille de cryptomonnaies. Désormais, les comptes ChatGPT ont aussi de l'importance et de la valeur pour les pirates, comme le révèle cette étude de l'entreprise Group-IB.

Cette société a analysé plus de 100 000 fichiers journaux de malwares info-stealer récupérés sur plusieurs marketplaces du Dark Web : entre juin 2022 et mai 2023, on parle de 101 000 comptes ChatGPT dérobés, avec un pic en mai 2023 avec 26 800 nouveaux comptes volés. Depuis décembre 2022, il y a eu une forte augmentation du vol de comptes ChatGPT, ce qui n'est pas étonnant, car c'est là qu'il a commencé à être utilisé par le grand public.

D'après cette étude, la zone Asie-Pacifique est la plus impactée, car le vol d'identifiants ChatGPT entre juin 2022 et mai 2023 :

• Asie-Pacifique : 40 999 comptes
• Moyen-Orient et Afrique : 24 925 comptes
• Europe : 16 951 comptes
• Amérique Latine : 12 314 comptes
• Amérique du Nord : 4 700 comptes
• Communauté des États indépendants (Russie, etc.) : 754 comptes
• Inconnu : 454

En ce qui concerne le Top 3 des malwares qui sont à l'origine de ces vols de comptes, on retrouve des noms bien connus : Racoon, Vidar et Redline.

Pourquoi les comptes ChatGPT sont-ils intéressants ?

Quand un utilisateur discute avec ChatGPT, il est susceptible de lui révéler des informations confidentielles : un bout de code avec des identifiants, des données financières ou encore des détails sur une stratégie commerciale. Les exemples sont nombreux, en fonction du secteur d'activité et de la profession de l'utilisateur.

De ce fait, voler un compte ChatGPT permet d'accéder à l'historique des conversations via l'interface du compte, et donc, d'accéder à ces données échangées avec le chatbot.

Les déclarations de l'entreprise Group-IB vont dans ce sens : "Les employés saisissent des correspondances classifiées ou utilisent le robot pour optimiser du code propriétaire. Étant donné que la configuration standard de ChatGPT conserve toutes les conversations, cela pourrait offrir par inadvertance un trésor de renseignements sensibles aux cybercriminels s'ils obtiennent l'identifiant et le mot de passe du compte." - Cela n'est pas sans rappeler les problèmes de confidentialité identifiés par Samsung.

Si vous utilisez ChatGPT, il est recommandé de ne pas lui communiquer d'informations sensibles et confidentielles. Toutefois, si vous le faites, alors il est préférable de supprimer l'historique ou de le désactiver dans les paramètres de votre compte.

The post Dark Web : plus de 101 000 comptes ChatGPT volés par des malwares infostealers ! first appeared on IT-Connect.

Microsoft a mis en ligne une nouvelle version de Windows Subsystem for Android, ou le sous-système Windows pour Android si vous préférez ! Cette mise à jour apporte une fonctionnalité importante : le partage de fichiers !

Grosse nouveauté dans la version 2305.40000.4.0 pour Windows Subsystem for Android (WSA) à destination des membres du programme Windows Insider : le partage de fichiers ! Une fonctionnalité attendue depuis longtemps par les utilisateurs d'applications Android sur Windows 11 pour faciliter la manipulation de fichiers à partir d'applications Android.

Une application Android est en mesure d'accéder aux données contenues dans certains dossiers de votre système d'exploitation Windows. Sur son blog, Microsoft précise : "Nous avons le plaisir d'annoncer que Windows Subsystem pour Android peut désormais partager vos dossiers utilisateur Windows, tels que Documents et Images, avec le Subsystem, de sorte que des scénarios tels que le téléchargement d'une photo sur une application de réseau social ou l'édition d'une vidéo dans une application créative fonctionnent de manière transparente." - Cette fonctionnalité sera activée par défaut, bien qu'elle puisse être désactivée.

Lorsque l'on partage un répertoire de Windows, par exemple "C:\Users\John Doe", au travers de WSA, il devient accessible dans l'application comme s'il s'agissait d'une carte SD puisque le chemin d'accès sera "/sdcard/Windows".

Microsoft précise qu'il n'est pas possible de partager un répertoire système, un répertoire de Program Files, ni même un périphérique de stockage externe. De la même manière, les exécutables sont exclus du partage, tout comme les répertoires et les fichiers cachés comme le dossier AppData.

Au-delà du partage de fichiers, il est aussi possible de transférer des fichiers de Windows 11 vers une application Android grâce à un simple copier-coller ou un glisser-déposer.

Par ailleurs, Microsoft a intégré les derniers correctifs de sécurité d'Android 13 et les développeurs ont aussi corrigé certains bugs dans Windows Subsystem for Android. A cela s'ajoute une meilleure prise en charge de certaines caméras connectées à l'ordinateur.

L'annonce officielle de Microsoft est disponible sur cette page.

The post Windows 11 prend en charge le partage de fichiers avec les apps Android ! first appeared on IT-Connect.