Microsoft a publié son Patch Tuesday pour ce mois d'avril 2020, l'occasion de corriger 113 failles de sécurité, avec un niveau de criticité plus ou moins important puisqu'il y en a 17 classées critiques.

Quatre vulnérabilités sont déjà connues publiquement dont deux qui seraient déjà exploitée par des pirates, d'après The Hacker News. Elles correspondent aux CVE suivantes : CVE-2020-1020 et CVE-2020-0938. Il est donc important d'installer ce patch rapidement, pour corriger ces vulnérabilités au sein de la librairie "Adobe Type Manager" dont je vous parlais en mars. Toutes les éditions de Windows et Windows Server sont concernées à partir de Windows 7 et Windows Server 2008.

📌 CVE-2020-1020

📌 CVE-2020-0938

Par ailleurs, derrière la CVE-2020-0935 se cache une vulnérabilité critique relevée au sein du client OneDrive de Windows. Si elle parvient à être exploitée, elle offre une élévation de privilèges sur la machine locale.

📌 CVE-2020-0935

Quant à Hyper-V, il est directement ciblé par la CVE-2020-0910 qui fait référence à une vulnérabilité critique. Si elle est exploitée au sein d'une VM, elle permet à l'attaquant de prendre le contrôle de l'hôte physique ou d'une autre VM située sur le même hôte.

📌 CVE-2020-0910

Enfin, 5 vulnérabilités critiques touchent directement Microsoft Office SharePoint. D'autres produits et composants sont concernés par ce Patch Tuesday : Microsoft Edge dans sa version basée sur EdgeHTML mais aussi la version basée sur Chromium, ChakraCore, Internet Explorer, Windows Defender, Visual Studion, Microsoft Dynamics, ainsi que les applications Microsoft disponibles sur Android et Mac.

📌 Note officielle Microsoft

Beaucoup d'entreprises se tournent vers Zoom depuis le début du confinement et nous parlons très souvent de cet outil ces dernières semaines. Parfois en bien, parfois en mal. Cette fois-ci, c'est plutôt une mauvaise nouvelle : plus de 500 000 comptes Zoom sont en vente sur le Dark Web.

L'éditeur Cyble est à l'origine de cette trouvaille et les comptes seraient à vendre à partir de 0,0020 centimes par compte, ce qui est très peu... Dans certains cas, le compte serait même offert gratuitement... Cyble a acquis 530 000 comptes et a obtenu à chaque fois, plusieurs informations :

- L'adresse e-mail du compte
- Le mot de passe
- La clé d'hébergement Zoom
- L'URL de la réunion personnelle

Concernant les comptes ciblés, il s'agit d'adresses universitaires mais également des comptes d'entreprises (JPMorgan Chase Bank ou Citigroup).

Il n'y a pas eu de vol de données directement, mais il s'agit plutôt d'une attaque de type "credential stuffing" : ces comptes sont issus de piratages réalisés précédemment, et qui ne sont pas forcément liés à Zoom. Certains utilisateurs utilisent la même adresse e-mail et le même mot de passe sur plusieurs services, ce qui rend possible ce type d'attaque lorsqu'il y a des fuites de données.

Un rapide article pour partager avec vous les deals d'Anker sur Amazon. Trois de ses produits les plus populaires sont disponibles à prix réduits. Voici les offres en cours :

Soundcore Liberty 2 Pro

Anker propose plusieurs modèles d'écouteurs true-wireless, avec notamment le modèle Liberty Air 2 que j'ai pu tester récemment, mais aussi le modèle Liberty 2 Pro qui est concerné par cette offre. Ce modèle a un format plus compact, une qualité audio supérieure et une meilleure autonomie.

- Prix normal : 149.99 €
- Prix en promo : 99.99 €
- Validité : 25/04/2020
- Code à appliquer : 47QSCAPW

📌 Voir l'offre :  https://amzn.to/3ey6SjM

eufyCam 2C

Je travaille actuellement sur un test de ce kit qui est proposé en promotion, et il s'avère que c'est une excellente solution. L'ensemble est de très bonne qualité, s'installe facilement et l'application Eufy Security est complète et intuitive. La base incluse à ce kit peut gérer jusqu'à 16 caméras. Pour les plus curieux, vous pouvez commencer à découvrir ce kit sur notre compte Instagram.

- Prix normal : 249.99 €
- Prix en promo : 199.99 €
- Validité : 19/04/2020
- Code à appliquer : SMHIRDX2

📌 Voir l'offre : https://amzn.to/2K8KOhG

Nebula Mars II Pro

Ce vidéoprojecteur portable se décline en deux versions : l'une avec une lampe 300 lumens ANSI et l'autre avec 500 lumens ANSI. Ici, il s'agit de la version avec 500 lumens ANSI qui est concernée par cette promotion. Cet appareil est autonome car il fonctionne sur batterie et embarque un système basé sur Android, avec la possibilité d'installer des applications. Nativement, des applications sont intégrées : Netflix ou encore YouTube.

- Prix normal : 659.99 €
- Prix en promo : 509.99 €
- Validité : 02/05/2020
- Code à appliquer : IWY69USO

📌 Voir l'offre : https://amzn.to/2RDWEEE

Un nouvel outil de sécurité vient compléter l'offre de Dell, il s'agit de Dell SafeBIOS Events & Indicators of Attack et il a pour objectif de vous alerter sur les attaques BIOS de vos machines. Il intervient en complément de la solution Endpoint installée sur votre parc informatique.

En fait, le logiciel va détecter les changements dans la configuration du BIOS d'un ordinateur et vous alerter lorsqu'un changement est réalisé. Cette alerte va remonter dans la console centralisée Dell de votre entreprise.

Pour tous les clients entreprises de Dell, cet outil est disponible gratuitement. C'est déjà le cas pour ceux qui bénéficient de la solution Dell Trusted Device puisque l'outil peut être téléchargé dès à présent.

Avec la quantité de personnes qui continuent leur activité en télétravail depuis le début de la pandémie, ce type d'outil est apprécié pour améliorer la sécurité et la surveillance à distance des appareils. Récemment, Dell a d'ailleurs offert à ses clients plusieurs solutions de sécurité pour les aider dans cette période difficile. Par exemple, Dell a fournit gratuitement des licences pour le chiffrement des ordinateurs, avec une validité au 15 mai 2020.

Source

La situation sanitaire actuelle a poussé les entreprises à pratiquer le télétravail. C’est une opportunité en or pour les pirates informatiques. A chaque fois qu’un employé se connecte au réseau d’entreprise, cela crée un point d’accès supplémentaire potentiellement exploitable.

Active Directory (AD) est la plateforme d’identité et d’accès la plus utilisée par les organisations du monde entier. Afin d’améliorer la sécurité de votre réseau, vous devez protéger l’utilisation à distance des identifiants AD.

Phishing pour les plus vulnérables

Le coronavirus a apporté avec lui un grand nombre d’e-mails de phishing. Tout comme la maladie elle-même, les hackers visent les plus vulnérables, vos nouveaux employés travaillant de la maison. Les attaquants attirent leurs victimes grâce à des URL ou des téléchargements de documents promettant des informations de sécurité ou des cartes d'infection. Ils profitent de l’incertitude, de la peur et de l’isolement des employés. L'envie de cliquer n'a jamais été aussi forte!

Le principal objectif des attaquants est de mettre la main sur les identifiants d’un employé pour pouvoir ensuite se déplacer latéralement au sein du réseau à la recherche de systèmes, applications et données précieuses qu’ils pourront exploiter. Le pire c’est que, comme avec le coronavirus, vous ne saurez peut-être même pas que vous avez été infecté. Selon le Ponemon Institute, le temps moyen pour découvrir une violation de données est de 191 jours.

Une surface de menace plus large

En règle générale, mais surtout pendant une période comme nous vivons actuellement, une faible protection des connexions Active Directory peut représenter un risque cyber important pour les organisations. Une grande majorité des organisations n’ont d’autre choix que de se tourner vers le travail à distance, la surface de menace grandit donc rapidement.

De plus, nous avons tous été forcé à migrer vers le télétravail sans aucune préparation préalable, ce qui rend le risque encore plus important. Beaucoup d’entreprises se sont précipitées pour autoriser l'accès au bureau à distance (RDP) de Microsoft.

Ce protocole permet aux utilisateurs distants d'accéder aux ressources de bureau dont ils ont besoin, sans devoir être physiquement au bureau. C’est utile car cela évite les problèmes venant du travail à distance, comme le manque de puissance de calcul informatique ou le manque d’accès aux fichiers/applications nécessaires pour travailler.

Les entreprises ont priorisé la poursuite des opérations, accordant peu d’attention à la cybersécurité.

Comment protéger les identifiants de connexion AD à distance?

L'accès au bureau à distance n'est pas complètement sécurisé. Dans la plupart des cas, il n'est protégé que par un mot de passe. Voici trois recommandations clés pour sécuriser ces connexions AD distantes :

• Renforcer les mots de passe
• Utiliser un réseau privé virtuel (VPN) sécurisé pour tous les accès au bureau à distance
• Activer l'authentification à deux facteurs (2FA) sur ces connexions de bureau à distance

Voici une liste complète de recommandations d'experts qui vous permettront de minimiser pleinement le risque:

1. Politique d'équipement des employés à distance: Quand vous le pouvez, vous devez privilégier l’utilisation des appareils disponibles, sécurisés et contrôlés par votre entreprise. Lorsque ceci n'est pas possible, vous devez alors donner des instructions claires d'utilisation et de sécurité aux utilisateurs.

2. Sécurisation de l’accès externe: Vous devez utiliser un "VPN" (Virtual Private Network) pour sécuriser vos connexions au réseau. Si vous le pouvez, il est bien de limiter cet accès VPN aux machines autorisées par l’entreprise. Les tentatives de connexion provenant d'une autre machine doivent être refusées.

3. Renforcement des mots de passe: Les mots de passe doivent être assez longs, complexes et uniques. Pour pallier aux vulnérabilités des mots de passe, l'authentification à deux facteurs sur les connexions à distance est un excellent contrôle, en particulier pour les connexions au réseau lui-même.

4. Politique stricte pour les mises à jour de sécurité: Dès qu'elles sont disponibles, vous devez les déployer sur tous les équipements de votre système d'information. Les hackers exploitent souvent ces vulnérabilités.

5. Sauvegardes des données et activités: Suite à une attaque, elles constitueront parfois le seul moyen de récupérer ses données. Il faut les effectuer et les tester régulièrement pour s'assurer qu'elles fonctionnent bien.

6. Utilisation de solutions antivirales professionnelles: Elles servent à protéger les entreprises contre une grande partie des attaques virales connues, mais parfois également contre le phishing ou contre certaines attaques de ransomwares.

7. Journalisation de l'activité et des accès: Il faut mettre en place une journalisation de tous les accès et les activités de vos équipements d'infrastructure et de vos postes de travail. Cet audit vous permettra de comprendre comment une cyber-attaque a pu se passer, l'étendue de celle-ci et comment y remédier.

8. Supervision de l'activité des accès externes: Il est important de surveiller les connexions RDP et les accès aux fichiers et dossiers pour  détecter un accès suspect et se protéger contre les cyberattaques. Qu’il s’agisse d’une connexion suspecte d'un utilisateur inconnu, ou d'un utilisateur connu en dehors de ses heures habituelles, cela peut être un signe qu’une attaque est en train de se passer. Si vous le pouvez, vous devriez mettre en place des alertes en temps réel et une réaction immédiate afin d'agir avant que tout dommage ne soit causé.

9. Sensibilisation et soutien réactif pour les employés: Les télétravailleurs doivent recevoir des instructions précises sur ce qu'ils peuvent et ne peuvent pas faire. Il faut les sensibiliser aux risques liés au télétravail. Les employés peuvent être une barrière pour éviter ou détecter une cyberattaque.

10. Préparation aux cyberattaques: Toutes les entreprises, peu importe la taille, peuvent être victimes d’une cyber-attaque. Vous pouvez anticiper les mesures à prendre pour vous en protéger en évaluant les scénarios d'attaque possibles.

11. Implication des managers: Il est essentiel que les managers soient impliqués et engagés dans les mesures de sécurité. Leur attitude doit être exemplaire pour assurer l'adhésion des utilisateurs.

Article invité rédigé et proposé par la société IS Decisions