background preloader

Failles

Facebook Twitter

Un malware détourne la technologie AMT d'Intel pour masquer ses communications. Le groupe de pirates Platinum sait utiliser l’AMT d’Intel pour la retourner contre les entreprises qui s’en servent.

Un malware détourne la technologie AMT d'Intel pour masquer ses communications

Contrairement aux soucis précédents avec cette technologie, il ne s’agit pas cette fois de failles de sécurité, mais d’un véritable détournement de ses fonctions. Début mai, Intel corrigeait une importante faille de sécurité dans sa technologie AMT. L’Active Management Technology est une pile de traitement prenant appui sur le Management Engine, lui-même présent dans les processeurs Intel depuis environ dix ans. AMT fournit aux ordinateurs, lorsqu’elle est active, des fonctionnalités de gestion distante pour faire gagner du temps aux administrateurs.

Elle fait partie de l'ensemble vPro. Comme nous l’expliquions le mois dernier, l’AMT utilise pour communiquer les ports 16992 et 16993. Le prestataire SSO OneLogin victime d'une importante fuite de données. Le prestataire OneLogin, qui fournit une solution de type SSO (Single Sign On), a confirmé avoir été victime d’une brèche dans ses défenses durant la journée du 31 mai.

Le prestataire SSO OneLogin victime d'une importante fuite de données

Les utilisateurs concernés, tous dans la région américaine, ont été avertis que leurs données ont pu être dérobées. OneLogin est un service commercial permettant aux clients de disposer d’une solution complète de SSO et de gestion d’identité. Citizen, Condé Nast, Yelp, Zendesk, Dell, Pandora ou encore Pinterest y font appel. Les principales technologies utilisées sont le SAML (Security Assertion Markup Language), WS-Federation et OpenID. Utilisé par plusieurs centaines d’entreprises, OneLogin est donc au carrefour de bien des services. Tous les utilisateurs aux États-Unis. Linux : importante faille dans sudo, la plupart des distributions mises à jour.

Une importante faille de sécurité a été détectée dans sudo, un programme Linux bien connu permettant de réaliser des actions avec des droits administrateur.

Linux : importante faille dans sudo, la plupart des distributions mises à jour

La faille a été révélée hier et est déjà corrigée, les utilisateurs étant invités à mettre à jour leurs machines aussi rapidement que possible. Sudo, pour « superuser do », est un outil Linux/Unix qu’un grand nombre d’utilisateurs connaissent bien. On le trouve notamment dans Debian et de nombreuses distributions qui en découlent, notamment Ubuntu. Un keylogger détecté sur les ordinateurs HP. Dans la série "l'enfer est pavé de bonnes intentions", je vais vous parler aujourd'hui des ordinateurs HP qui pour certains contiennent un keylogger (logiciel d'enregistrement de touches).

Un keylogger détecté sur les ordinateurs HP

Rien de mafieux là-dedans, plutôt une grosse négligence de la part de Conexant, la société qui fabrique la puce audio de l'ordinateur. Les pilotes de cette puce fonctionnent avec les touches spéciales du clavier pour faire Lecture/Pause, Volume +, Volume - ...etc. et comme ça a été développé avec les pieds, ce pilote ne se contente pas d'intercepter ces touches spéciales, mais l'intégralité des touches du clavier sur lesquelles appuie l'utilisateur ET les stocke dans un fichier texte. C'est magique ! Si vous avez un ordinateur HP avec les drivers de Conexant, vous aurez le plaisir de voir des informations sensibles ou non dans le fichier. Microsoft colmate une importante faille de sécurité dans Windows Defender. AMT : Intel corrige une vieille faille critique dans des processeurs pour entreprises. Intel a publié hier un important bulletin de sécurité au sujet de deux failles présentes dans sa pile AMT (Active Management Technology).

AMT : Intel corrige une vieille faille critique dans des processeurs pour entreprises

Elles sont désormais corrigées par un nouveau firmware, et même si elles ne touchent a priori que le monde de l’entreprise, il est recommandé d’y remédier au plus vite. Il est rare qu’Intel avertisse d’une vulnérabilité dans l’un de ses produits. On en compte cette fois deux, dont une très sérieuse. Elles touchent trois produits, dont AMT, un ensemble de technologies que le fondeur fournit aux entreprises, offrant une longue liste de fonctionnalités de gestion, notamment pour la maintenance et la virtualisation. Qu’est-ce que l’AMT ? Une faille critique dans Edge permet l'exécution de scripts et la récupération d'identifiants.

Il est possible de réaliser diverses actions néfastes dans Edge, en contournant certaines mesures de protection.

Une faille critique dans Edge permet l'exécution de scripts et la récupération d'identifiants

Ce sont les découvertes du chercheur Manuel Caballero, qui détaille sur son blog plusieurs manières d’exploiter ces problèmes. Microsoft est au courant de la situation, mais on ne sait pas encore quand le ou les correctifs seront disponibles. Le chercheur Manuel Caballero s’est fait une spécialité des soucis de sécurité dans les navigateurs Internet Explorer et Edge.

Il indique que Microsoft réagit souvent vite aux problèmes qu’il signale, et il vaudrait mieux que l’éditeur propose rapidement des solutions dans le cas présent, car la faille soulevée peut être exploitée de diverses manières, toutes particulièrement dangereuses. Les récentes découvertes du chercheur concernent la SOP, ou Same Origin Policy. Scripts étrangers et remplissage automatique bavard. Une faille Microsoft IIS 6 rend vulnérable des millions de sites web. Un exploit d'une vulnérabilité dans la version 6.0 du serveur web Microsoft IIS a été publié.

Une faille Microsoft IIS 6 rend vulnérable des millions de sites web

Elle augmente considérablement les risques d'attaques sur des millions de sites web. Une méthode permettant d’exploiter une vulnérabilité non corrigée dans Microsoft Internet Information Services 6.0, une version du serveur web Microsoft qui n'est plus supportée - mais encore largement utilisée -, a été publiée. L'exploit permet aux hackers d'exécuter un code malveillant sur les serveurs Windows sous IIS 6.0 avec les privilèges d'administrateur.

Le support étendu pour cette version d'IIS s'est terminé en juillet 2015 avec le support de son produit parent, Windows Server 2003. Les connexions TLS compromises par des outils d'inspection HTTPS. La division US-Cert dépendante du département de la sécurité intérieure des Etats-Unis a trouvé que plusieurs produits d'inspection de trafic HTTPS ne valident pas tout le temps correctement les certificats de sécurité.

Les connexions TLS compromises par des outils d'inspection HTTPS

Obsolescence des mises à jour des librairies TLS ou mises en oeuvre défaillantes n'arrangent rien. Vault 7 : des switchs Cisco victime d'une faille critique, Telnet doit être désactivé. Cisco a publié ce week-end un important bulletin de sécurité portant sur une faille critique, découverte en analysant les documents Vault 7 fournis par Wikileaks.

Vault 7 : des switchs Cisco victime d'une faille critique, Telnet doit être désactivé

Elle se trouve dans les systèmes IOS et IOS EX dans de très nombreux modèles de commutateurs (switchs). Sans correctif, la seule solution est pour l’instant de couper Telnet. La semaine dernière, Wikileaks a fini par indiquer que les sociétés concernées par les failles découvertes dans les documents Vault 7 seraient contactées directement. L’organisation a été critiquée pour avoir éventé les vulnérabilités sans chercher à prévenir d’abord les entreprises. Des malwares détectés dans 36 smartphones Android utilisés dans deux grandes entreprises. 36 smartphones Android, pour la plupart haut de gamme, sont touchés par un problème de malware.

Des malwares détectés dans 36 smartphones Android utilisés dans deux grandes entreprises

Ils ne les possédaient a priori pas en sortant de l’usine, mais sont passés entre les mains de deux entreprises non nommées. Elles auraient alors injecté ces menaces, dont le célèbre Loki. Le problème a été détecté par la société de sécurité Check Point, au cours d’une vérification portant sur un lot de smartphones appartenant à deux grandes sociétés (dont une de télécoms). Il est ressorti que 36 exemplaires étaient infectés. Or, les malwares n’avaient pas été installés par l’utilisateur : ils étaient présents dès leur livraison. Apache corrige une faille déjà exploitée dans Struts 2. Une importante faille de sécurité a été découverte dans un composant d’Apache Struts 2. Elle est déjà exploitée et peut permettre une exécution de code à distance. Il est recommandé d’appliquer au plus vite le correctif, disponible dans une mise à jour.

Au moment de sa découverte, la faille était déjà exploitée. Apache a fini par communiquer dessus lundi, confirmant dans sa dangerosité et son caractère critique, puisqu’elle peut être exploitée à distance. Elle a été découverte par les chercheurs en sécurité de Talos, la branche dédiée à ces problèmes chez Cisco. Google révèle les détails d'une nouvelle faille dans Windows, avec prototype d'exploitation. Google vient à nouveau de dévoiler les détails d’une faille de sécurité dans Windows.

Comme les fois précédentes, le Project Zero en détaille le fonctionnement, Microsoft n’ayant pas réagi durant le délai de 90 jours. C’est la troisième fois depuis le début de février. Le Project Zero de Google réunit un certain nombre d’employés de l’entreprise, dont la mission est débusquer et signaler les failles aux éditeurs concernés. Le règlement, bien qu’assoupli il y a quelques mois, reste strict : une entreprise a 90 jours pour réagir à la remontée faite par Google, sans quoi les détails seront publiés, éventuellement accompagnés d’un prototype d’exploitation.

Cloudbleed : importante fuite de données chez Cloudflare, changez vos mots de passe. Victime d'un bug, Cloudflare a laissé fuiter des données personnelles, comprenant notamment des mots de passe. Tous les sites utilisant ce service peuvent être concernés et ils sont nombreux. Comme pour la faille Heartbleed, vous allez devoir changer vos mots de passe. Windows : une faille 0-day révélée dans SMB, le correctif espéré la semaine prochaine.

Une faille 0-day existe dans Windows, plus spécialement dans la manière dont le système gère le trafic SMB. Un prototype d’exploitation est déjà en circulation, le chercheur souhaitant manifestement réveiller Microsoft, qui n’a pas proposé de solution au cours des cinq derniers mois. Le protocole SMB (Server Message Block) est utilisé par Windows depuis longtemps pour lire et écrire des fichiers depuis des serveurs équipés du système de Microsoft. Un protocole très connu et présent, au point que son implémentation libre, Samba, se retrouve dans bon nombre de distributions Linux. WordPress corrige discrètement une faille vraiment critique. Une vulnérabilité particulièrement dangereuse, patchée depuis peu, pourrait permettre à des utilisateurs non authentifiés de modifier n'importe quel article ou n'importe quelle page d'un site WordPress.

La semaine dernière, les développeurs du très populaire système de gestion de contenu (CMS) WordPress ont publié une mise à jour sans préciser que celle-ci corrigeait une très sérieuse vulnérabilité. Lors de sa livraison le 26 janvier, ces derniers ont bien précisé que la version 4.7.2 de WordPress était une mise à jour de sécurité, sauf que dans les notes jointes, ne sont mentionnées que trois vulnérabilités modérées, dont l'une ne concerne même pas le code interne de la plate-forme. Netgear : une trentaine de produits touchés par une nouvelle faille critique. L'extension Chrome WebEx de Cisco victime d'une importante faille critique.

Les smartphones G3, G4 et G5 de LG touchés par deux failles critiques dans SmartShare. PHPMailer victime d'une faille de sécurité critique, un correctif est disponible. Carte bancaire Visa : des informations récupérables par force brute, la société nous répond. Des chercheurs pointent du doigt un problème concernant les cartes bancaires Visa : il est possible de récupérer la date de fin de validité, le cryptogramme visuel (CVV) et le code postal du propriétaire à partir du numéro de la carte.

Interrogé, Visa explique être au courant de cette publication et donne sa version des faits. Pour payer avec sa carte bancaire sur Internet, il faut généralement saisir trois informations (c'est du moins le cas en France) : son numéro, sa date de fin de validité et le code CVV (aussi appelé cryptogramme visuel), composé de trois chiffres au dos de la carte. Dirty Cow - Une faille banalement critique dans le noyau Linux.

Je ne pense pas que ce soit le record de longévité, mais pour une faille, 9 années, c'est pas mal. OMG ! 100% des grandes entreprises françaises ont des failles de sécurité. Ce matin, sur Twitter, on m'a envoyé cet article des Échos en me demandant ce que j'en pensais. Un smartphone Android acheté, une backdoor chinoise offerte. Une importante porte dérobée dans 55 modèles de terminaux Android. Nouvelle semaine, nouveau problème avec un firmware embarqué par certains smartphones Android. La société de sécurité BitSight a découvert en effet un trou béant dans le code, ouvrant la voie à des communications non chiffrées vers deux domaines qui, heureusement, n’étaient pas enregistrés.

Linux : presser longtemps la touche Entrée permettait de contourner un outil de chiffrement. Le verrouillage d'iPad sous iOS 10.1 et 10.1.1 contourné.