Les vulnérabilités associées à l'attaque Terrapin, dévoilée quelques jours avant Noël 2023, affectent les accès SSH de près de 11 millions de serveurs ! Faisons le point sur la situation !

Pour rappel, l'attaque technique d'attaque Terrapin a été mise au point et dévoilée par les chercheurs en sécurité de l'Université de la Ruhr à Bochum (Allemagne). Elle permet d'altérer l'intégrité des connexions SSH en exploitant plusieurs faiblesses présentes dans OpenSSH et associées à trois références CVE : CVE-2023-48795, CVE-2023-46445 et CVE-2023-46446.

Au-delà d'utiliser une version vulnérable d'OpenSSH (c'est-à-dire toutes les versions d'OpenSSH antérieures à la version 9.6), l'attaquant doit se trouver en position de man-in-the-middle (MiTM) par rapport à sa cible, pour que l'attaque puisse être effectuée. Autre condition pour que l'attaque soit possible : la connexion doit être sécurisée avec ChaCha20-Poly1305 ou CBC avec "Encrypt-then-MAC". Si toutes ces conditions sont réunies, l'attaque Terrapin peut permettre d'exécuter du code à distance.

• L'attaque Terrapin exploite plusieurs vulnérabilités dans SSH ! Un correctif est disponible !

Près de 11 millions de serveurs SSH vulnérables...

Un nouveau post mis en ligne par The Shadowserver Foundation fait état de près de 11 millions de serveurs SSH exposés sur Internet et vulnérables à l'attaque Terrapin ! Chaque serveur correspond à une adresse IP unique. C'est conséquent et cela représente environ 52 % de toutes les adresses IPv4 et IPv6 analysées par le système de monitoring de The Shadowserver Foundation.

Pour répondre à la question "Où se situent les serveurs SSH vulnérables ?", il suffit de regarder de plus près la carte publiée. Voici quelques chiffres clés :

• États-Unis : 3.3 millions
• Chine : 1.3 million
• Allemagne : 1 million
• Russie : 704 000
• Singapour : 392 000
• Japan : 383 000
• France : 379 000

Même si ces serveurs ne sont pas directement exploitables compte tenu des prérequis de l'attaque Terrapin, cela laisse quand même beaucoup de possibilités aux cybercriminels...

En complément de leur rapport, les chercheurs en sécurité ont mis en ligne un outil à disposition des utilisateurs de Linux, Windows et macOS afin d'analyser leur système et vérifier si leur système est vulnérable à l'attaque Terrapin. L'outil est accessible sur ce dépôt GitHub.

Source

The post Attaque Terrapin : près de 11 millions de serveurs SSH vulnérables ! first appeared on IT-Connect.

Une campagne malveillante lancée en 2023 a permis aux cybercriminels de voler les identifiants de connexion bancaires de 50 000 utilisateurs répertoriés dans plus de 40 banques différentes. Redoutable, ce malware s'appuie sur un script JavaScript pour dérober également les codes à usage unique des utilisateurs ! Faisons le point !

Les chercheurs en sécurité d'IBM Security Trusteer ont découvert une campagne malveillante redoutable lancée en mars 2023 et qui serait toujours en cours. Le nombre de victimes est important puisque 50 000 clients de plus de 40 banques ont fait les frais de cette technique redoutable. Ceci touche des utilisateurs du monde entier puisque l'on dénombre des victimes en Amérique du Nord, en Amérique du Sud, en Europe et au Japon. Bien que ce ne soit pas confirmé, cette campagne malveillante pourrait être liée au malware DanaBot.

Bien qu'elle a été lancée début 2023, cette campagne malveillante était en préparation depuis 2022 : "Nos données montrent que les acteurs de la menace ont acheté des domaines malveillants en décembre 2022 et ont commencé à exécuter leurs campagnes peu de temps après. Depuis le début de l'année 2023, nous avons observé plusieurs sessions de communication avec ces domaines, qui restent actifs au moment de la publication de ce blog.", peut-on lire dans le rapport mis en ligne le 19 décembre 2023.

Un code JavaScript pour voler les identifiants

Tout commence par l'infection de la machine de l'utilisateur, que ce soit via un e-mail malveillant (phishing) ou une autre méthode. Une fois la machine infectée, il ne reste plus qu'à attendre que l'utilisateur se connecte au site web de sa banque. Quand ce sera le cas, le malware va faire en sorte d'injecter du code JavaScript malveillant sur la page de connexion au site bancaire.

Ce code n'est pas "compatible" avec toutes les banques, car cela dépend du processus de connexion et de la structure de la page. Toutefois, il est redoutable car il est capable de modifier la structure de la page et de l'adapter de manière à guider et piéger l'utilisateur.

Ce fameux code malveillant injecté directement dans la page web est difficile à détecter et il intercepte les informations d'identification de la victime en temps réel, au fur et à mesure qu'elles sont saisies ! Il est également capable de voler les codes de connexion à usage unique utilisés dans le cadre de l'authentification multifacteurs. L'objectif étant de permettre aux cybercriminels de pouvoir se connecter rapidement aux comptes bancaires de l'utilisateur pour lui voler de l'argent !

Ce malware communique avec un serveur C2 distant pour envoyer les données collectées et il est capable de s'auto-supprimer de la page de connexion une fois qu'il a fait son travail. Cela ne s'arrête pas là, car pour dissuader l'utilisateur de tenter de se connecter à son compte bancaire, la page web est modifiée de manière à indiquer que les services bancaires sont indisponibles pendant 12 heures. "Cette tactique vise à décourager la victime de tenter d'accéder à son compte, ce qui permet à l'acteur malveillant de mener des actions ininterrompues.", précise Tal Langus dans son rapport.

Comme le montre le nombre de victimes, cette attaque de type "man-in-the-browser" est particulièrement redoutable ! Méfiez-vous des e-mails que vous recevez et de ce que vous téléchargez sur Internet...

Source

The post Ce code JavaScript malveillant a permis de voler les identifiants bancaires de 50 000 utilisateurs ! first appeared on IT-Connect.

Une grande partie des entreprises ont besoin d’un espace de réunion. Que l’on aménage une salle de réunion dans ses propres locaux ou que l’on utilise une salle de réunion dans un espace de coworking, l’aménagement et l’équipement d’un tel espace répond à certains impératifs que nous allons évoquer dans cet article. 

L’importance du mobilier 

Le choix du mobilier doit être en adéquation avec la surface et la capacité d’accueil de la salle, mais aussi avec l’image de l’entreprise. Par exemple, le fait de faire le choix d’une table ronde ou ovale pour ne jamais laisser un collaborateur dans un coin, ou le fait de faire le choix d’une table rectangulaire très design pour mettre en avant la rigueur et la précision du travail dans certains secteurs d’activité. Dans les secteurs d’activité où l’on veut mettre en avant la performance et la modernité, on optera pour du mobilier très design alors que l’on se permettra davantage d’originalité dans les milieux créatifs. La décoration va aussi avoir une influence, notamment au niveau du choix des couleurs qui peuvent véhiculer une image de confiance pour le bleu, de créativité et de dynamisme pour l’orange et le jaune, d’écoresponsabilité pour le vert. Souvent, la décoration de la salle de la réunion doit être le reflet de l’image de l’entreprise en s’accordant notamment à la charte graphique.

Optez pour des équipements high tech

Le choix des équipements high tech doit permettre de rendre les présentations plus intéressantes lors des réunions. Les grandes salles de réunion doivent par exemple être dotées de micros pour faciliter la compréhension et la présentation. Aujourd’hui, pour animer une réunion ou une formation dans un espace collectif, on ne peut plus se contenter d’un simple paperboard, ni même d’un écran classique sur lequel on envoie des supports de présentation. Aujourd’hui, les fabricants d’équipements de bureau high tech proposent des écrans LED tactiles qui permettent d’alterner les présentations en image, en vidéo, de jongler avec le contenu en touchant l’écran et surtout d’avoir la possibilité de se servir d’une fonction de tableau blanc tactile et interactif. Ces écrans permettent aussi d’assurer des réunions en visio et de partager les notes du tableau blanc avec ses interlocuteurs et surtout de partager le tableau blanc. Vous trouverez des modèles d’écrans tactiles interactifs si vous cliquez ici. Bien plus pratiques qu’un vidéoprojecteur, ces écrans sont beaucoup plus faciles à installer et à connecter puisqu’ils sont aussi connectés en WiFi et en Bluetooth. 

Optez pour un espace modulable

Aujourd’hui, pour des raisons d’économies et d’écologie, il est indispensable de travailler sur des espaces plus réduits. Cela permet d’une part de moins gaspiller de l’énergie, de réduire le montant de son loyer (quand on loue un espace professionnel) et de faire des économies sur ses factures d’énergie. Les plus créatifs conçoivent des espaces modulables, c’est-à-dire des espaces où l’on peut passer d’un atelier à un showroom, d’un espace de bureaux individuels à une salle de réunion. De plus en plus de fabricants de mobilier surfent sur la tendance pour concevoir du mobilier modulable, encastrable et escamotable à l’usage des professionnels qui disposent d’une petite surface de travail. 

Article sponsorisé.

The post Comment organiser et équiper une salle de réunion ? first appeared on IT-Connect.

Depuis le 5 décembre 2023, Veeam Backup & Replication v12.1 est disponible ! Bien qu'il ne s'agisse pas d'une version majeure, cette mouture apporte tout de même des nouveautés très intéressantes en matière de sécurité. Faisons le point !

Au premier trimestre 2023, l'éditeur Veeam avait dévoilé sa nouvelle version majeure de sa solution Backup & Replication en sortant la v12. Une version au sein de laquelle il y a beaucoup de nouveautés, notamment en ce qui concerne la protection contre les cybermenaces. Par exemple, Veeam Backup & Replication v12 permet de se passer de l'authentification NTLM au profit de Kerberos, d'utiliser des comptes de services de type "gMSA" ou encore d'activer l'authentification MFA sur la console de gestion des sauvegardes.

Avec Veeam Backup & Replication v12.1 disponible depuis début décembre 2023, l'éditeur veut aller encore plus loin pour améliorer la cyber résilience des entreprises face aux menaces, notamment les ransomwares. C'est une bonne chose, car les sauvegardes sont très fréquemment ciblées lors des cyberattaques.

L'API Incident de Veeam

Veeam Backup & Replication v12.1 est capable d'envoyer ses journaux (logs) vers un serveur Syslog mais il est également capable d'interagir avec lui à partir d'une application tierce grâce à ce qui est appelé l'API Incident.

Autrement dit, Veeam s'ouvre aux solutions SIEM et c'est une très bonne nouvelle pour l'analyse et la détection des événements malveillants.

Scans pour détecter les malwares

Grâce à la fonctionnalité Inline Scan, Veeam Backup & Replication est capable d'analyser les blocs de données pendant le processus de sauvegarde (au niveau du proxy), dans le but de détecter la présence éventuelle d'un malware.

En tant qu'administrateur, vous pouvez ajuster le niveau de sensibilité de cette fonctionnalité qui s'appuie sur du machine learning. Il convient aussi de surveiller l'activité CPU du proxy Veeam car cette analyse nécessite des ressources supplémentaires.

Par ailleurs, Veeam peut analyser vos sauvegardes à la demande, c'est-à-dire que c'est l'administrateur qui déclenche une analyse. La solution est capable d'effectuer une analyse dans le but de vous indiquer quel est le premier point de sauvegarde clean (le plus récent) pour un serveur spécifique. L'avantage, c'est que cette fonction d'analyse intègre un moteur capable d'interpréter des règles YARA (ce qui est utile pour repérer un malware ou certains fichiers).

Manipulation des backups : four-eyes authorization

Au sein de la solution Veeam Backup & Replication, un administrateur a les droits pour supprimer les sauvegardes : suite à une mauvaise manipulation, des sauvegardes peuvent partir en fumée. Même si certaines sauvegardes sont protégées, notamment lorsqu'elles sont immuables (j'en avais parlé dans cet article), la version 12.1 de la solution Veeam veut aller plus loin avec l'intégration de ce que l'on appelle le "four-eyes authorization". Cela signifie qu'il faut l'approbation de deux administrateurs pour initier la suppression d'une sauvegarde.

Ceci s'applique également pour d'autres opérations sensibles effectuées au sein de la console Veeam (modification sur les rôles ou utilisateurs, suppression d'un repository, etc.).

Mais aussi...

Par ailleurs, sachez qu'une fonction baptisée Threat Center contiendra des indicateurs sur l'état de santé et la résilience de l'infrastructure de sauvegarde. Veeam a également ajouté des points de vérification supplémentaires à son outil d'analyse de la conformité des machines.

Pour en savoir plus sur toutes les nouveautés de cette version, vous pouvez consulter ce document PDF.

Ajouter des fonctionnalités pour mieux protéger les sauvegardes et détecter les comportements suspects, c'est clairement la tendance actuelle sur le marché des solutions de sauvegarde. Sans surprise, Veeam "suit le mouvement" en améliorant sa solution Backup & Replication.

The post Plus de sécurité dans Veeam Backup & Replication v12.1, pour lutter contre les cyberattaques ! first appeared on IT-Connect.

Des chercheurs en sécurité ont mis en lumière une nouvelle variante de la technique "DLL hijacking" sous Windows 10 et Windows 11. Grâce à cette méthode, il est possible d'exécuter du code malveillant sur la machine tout en outrepassant les mécanismes de sécurité. Voici ce qu'il faut savoir.

Sous Windows, lorsqu'un processus est exécuté et qu'il doit charger une bibliothèque "DLL", il va effectuer la recherche du fichier dont il a besoin dans un ordre bien spécifique. Ceci ouvre la porte à des attaques potentielles via une technique appelée "DLL hijacking". En effet, pour localiser la ressource en question, le processus va d'abord regarder dans le répertoire à partir duquel il est exécuté, puis dans le dossier "C:\Windows\System32", puis dans "C:\Windows\System", et ensuite dans "C:\Windows", avant de s'intéresser éventuellement au répertoire de travail actuel si la ressource n'a pas encore été trouvée.

Les chercheurs en sécurité de Security Joes ont publié un rapport qui évoque une nouvelle variante d'exploitation de cette technique. Dans le cas présent, les fichiers situés dans le dossier "C:\Windows\WinSxS" sont pris pour cible. Le répertoire WinSxS (Windows Component Store) est intégré au système d'exploitation Windows (c'est donc un emplacement de confiance) et il est utilisé pour stocker des données lors de certaines opérations de maintenance (notamment pour les mises à jour).

L'idée des chercheurs en sécurité est la suivante : utiliser un binaire présent dans le dossier WinSxS (et qui a pour habitude de rechercher une DLL bien précise) afin de l'exécuter à partir d'un répertoire contrôlé par l'attaquant. Si ce répertoire contrôlé par l'attaquant contient la DLL recherchée par le binaire, alors il chargera cette version conformément à l'ordre de recherche d'une DLL. Si elle est malveillante, ceci permettra à l'attaquant d'exécuter du code arbitraire sur la machine sans même disposer des privilèges d'administration !

"Nous avons réussi à injecter notre DLL personnalisée en la renommant "mscorsvc.dll" et en exécutant la ligne de commande mentionnée ci-dessus depuis notre répertoire actuel, en ciblant spécifiquement le processus "ngentask.exe".", peut-on lire dans le rapport de Security Joes. Ici, il s'agit d'un exemple avec le binaire "ngentask.exe", mais d'autres binaires pourraient être vulnérables à cette technique.

"Surveillez de près toutes les activités effectuées par les binaires résidant dans le dossier WinSxS, en vous concentrant à la fois sur les communications réseau et les opérations sur les fichiers.", recommandent les chercheurs de Security Joes.

Pour finir, voici une vidéo de démonstration :

Source

The post Exécution de code malveillant : Windows 10 et Windows 11 trompés par cette technique de DLL hijacking ! first appeared on IT-Connect.