Contactez-nous

Demande d'informations

Vous avez une question ? Besoin d'un renseignement ? N'hésitez pas à nous contacter

  • +32(0)800 12 512
  •   info@computerland.be

Espace Clients

Accès à la zone d'information réservée aux clients :

Centre de services

Support pour incidents & demandes de services

  •   +32(0)800/12.712 (Fr)
  •   +32(0)800/12.812 (Nl)
  •   support@computerland.be

Service Clients

Suivi des livraisons


Service Facturation






 

COMPUTERLAND peut vous assister dans la mise à jour des différentes plateformes impactées ici

Pour ce faire, nous vous invitons à contacter votre responsable commercial ou votre responsable contrat (SDM).
« Ces actions préventives urgentes ne rentrent pas dans le service de couverture de votre contrat et seront donc facturées au tarif en vigueur. »
.

Dernières alertes

  • 14 septembre, 2022

    Patch Tuesday de septembre 2022 de Microsoft

    Ce mois-ci, nous avons reçu des correctifs pour 79 vulnérabilités. Parmi ceux-ci, 5 sont critiques, 2 ont déjà été divulgués et 1 est déjà exploité, selon Microsoft.

    La vulnérabilité exploitée est une élévation de privilèges dans Windows Common Log File System Driver (CVE-2022-37969). Selon l'exploit, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM. Le vecteur d'attaque est local et ne nécessite aucune interaction de l'utilisateur. Le CVSS pour cette vulnérabilité est 7.8.

    Parmi les vulnérabilités critiques, il y a une exécution de code à distance (RCE) affectant les extensions de protocole Windows Internet Key Exchange (IKE) (CVE-2022-34721). Un attaquant non authentifié pourrait envoyer un paquet IP spécialement conçu à une machine cible exécutant Windows et sur laquelle IPSec est activé, ce qui pourrait permettre une exploitation de l'exécution de code à distance. Bien que cette vulnérabilité n'affecte que IKEv1, toutes les versions de Windows Servers sont affectées en tant que V1 et les paquets V2 sont acceptés. Le vecteur d'attaque est le « réseau », aucune interaction ni privilège de l'utilisateur n'est requis, et la complexité de l'attaque est faible. Cette vulnérabilité rassemble les caractéristiques d'une vulnérabilité wormable à laquelle vous devez prêter attention et appliquer le correctif dès que possible. Le CVSS pour cette vulnérabilité est 9.80.

    Une autre vulnérabilité critique est un RCE affectant Windows TCP/IP (CVE-2022-34718). Un attaquant non authentifié pourrait envoyer un paquet IPv6 spécialement conçu à un nœud Windows où IPSec est activé, ce qui pourrait permettre une exploitation d'exécution de code à distance sur cette machine. Seuls les systèmes sur lesquels le service IPSec est en cours d'exécution sont vulnérables à cette attaque. Comme la précédente, cette vulnérabilité rassemble les caractéristiques d'une vulnérabilité wormable. Le CVSS pour cette vulnérabilité est également de 9,80.

    Recommandations COMPUTERLAND

    "Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises

    Depuis la publication, nous recommandons de protéger vos systèmes avec ces mises à jour dès que possible pour éviter les violations et cyber attaques.

    Voir le tableau de bord pour une répartition plus détaillée : https://patchtuesdaydashboard.com/
    Ce tableau représente le scoring de vulnérabilité et ses risques pour les « Mises à jour de sécurité de septembre 2022 ».
     

    Microsoft Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 8 septembre, 2022

    AVERTISSEMENT: WATCHGUARD A PUBLIÉ DES MISES À JOUR DE SÉCURITÉ RÉPONDANT À QUATRE VULNÉRABILITÉS AFFECTANT LES APPAREILS FIREBOX/XTM

    Watchguard a publié une mise à jour de sécurité corrigeant quatre vulnérabilités affectant les appliances Firebox/XTM, dont l'une est activement exploitée dans la nature (CVE-2022-31789) et une autre qui est un jour zéro (CVE-2022-31791).
    • CVE-2022-26318 permet à un attaquant distant non authentifié d'exécuter potentiellement du code arbitraire via un accès de gestion exposé.
    • CVE-2022-31789 permet à un attaquant distant non authentifié de déclencher un débordement de tampon et potentiellement d'exécuter du code arbitraire en envoyant une requête malveillante aux ports de gestion exposés.
    • CVE-2022-31790 permet à un attaquant distant non authentifié de récupérer les paramètres sensibles du serveur d'authentification en envoyant une requête malveillante aux terminaux d'authentification exposés.
    • CVE-2022-31791 permet à un attaquant d'exécuter des commandes afin d'élever ses privilèges à l'utilisateur root.


    Recommandations COMPUTERLAND

    Computerland recommande aux administrateurs de vérifier s'ils disposent de versions vulnérables des appareils Watchguard Firebox/XTM. Si tel est le cas, nous vous recommandons fortement d'appliquer les correctifs disponibles dès que possible.
    1. Pour les correctifs CVE-2022-31789, CVE-2022-31790 et CVE-2022-31791 pour Fireware OS 12.8.1, 12.5.10 et 12.1.4.
    2. Pour le correctif CVE-2022-26318 vers Fireware OS 12.8, 12.7.2_U2, 12.5.9_U2, 12.1.3_U8.
    Nous vous conseillons également de ne pas exposer un accès de gestion illimité à Internet.



    Source officiel:

    Officiel Source d'information

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 29 août, 2022

    Spear-phishing et AiTM utilisés pour pirater les comptes MS Office 365

    Une campagne sophistiquée de BEC a été observée utilisant des attaques de spear-phishing avancées avec Adversary-in-the-Middle (AiTM) pour pirater des comptes Microsoft 365 appartenant à des dirigeants d'entreprise.
     
    La campagne BEC
    Les e-mails de phishing indiquent à l'organisation cible que le compte bancaire d'entreprise qu'elle utilise pour envoyer les paiements habituels est gelé en raison d'un audit financier et fournit en outre de nouvelles instructions de paiement.
    Ces nouvelles instructions de paiement suggèrent à la cible de basculer vers un nouveau compte bancaire d'une soi-disant prétendue filiale. Cependant, le nouveau compte bancaire appartient aux attaquants pour avoir volé des paiements.
    Pour tromper les cibles, l'attaquant détourne les fils de discussion et utilise des domaines typo-squattés qui passent rapidement pour authentiques aux représentants légaux connus des victimes, les impliquant dans l'échange.
     
    La chaîne des infections
    L'attaque contre les dirigeants d'entreprise commence par un e-mail de phishing prétendant provenir de DocuSign, la plateforme de gestion des accords électroniques largement utilisée dans les entreprises.
    L'e-mail ne passe pas les contrôles DMARC, cependant, il cible les mauvaises configurations de sécurité courantes souvent utilisées pour limiter les fausses alertes de spam positives de DocuSign, permettant à l'e-mail de pénétrer dans la boîte de réception de la cible.
    Lorsque la cible clique sur le bouton "Revoir le document" pour l'ouvrir, la victime atterrit sur une page de phishing sur un domaine usurpé. À cet endroit, la cible est invitée à se connecter au domaine Windows.
     
    Utilisation des attaques AiTM pour contourner la MFA
    Les attaquants semblent utiliser un framework de phishing, le proxy evilginx2, pour effectuer l'attaque AiTM.
    Lorsqu'une cible entre ses informations d'identification et résout la question MFA, le proxy assis au milieu vole le cookie de session généré par le domaine Windows.
    Les attaquants peuvent désormais charger les cookies de session volés dans leurs propres navigateurs pour se connecter au compte de la victime et contourner automatiquement la MFA, ce qui a été vérifié lors de la connexion précédente.
     
    Dans l'un des cas observés, les attaquants ont ajouté un smartphone comme nouveau dispositif d'authentification pour s'assurer qu'un accès ininterrompu aux comptes compromis leur reste disponible.
    De plus, les attaquants ont utilisé cette brèche furtive pour accéder exclusivement à SharePoint et Exchange. Sur la base des journaux, aucune activité n'a été détectée dans la boîte de réception de la victime, peut-être qu'elle ne lit que les e-mails.
     

    Recommandations COMPUTERLAND

    La récente campagne BEC est très sophistiquée et montre la capacité technique des attaquants derrière elle. Ainsi, les dirigeants d'entreprise doivent rester vigilants.

    En cas de suspicion d'incident, il est suggéré à l'équipe de sécurité de surveiller les modifications MFA sur les comptes d'utilisateurs à l'aide des journaux d'audit Azure AD via Microsoft Sentinel.
     

    Original recherche

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 27 juillet, 2022

    Un bug critique de Samba pourrait permettre à n'importe qui de devenir administrateur de domaine - corrigez-le maintenant !

    Samba est une boîte à outils open source largement utilisée qui permet non seulement aux ordinateurs Linux et Unix de communiquer facilement avec les réseaux Windows, mais aussi d'héberger un domaine Active Directory de type Windows sans aucun serveur Windows.

    Samba vient d'être mis à jour pour corriger un certain nombre de vulnérabilités de sécurité, y compris un bug critique lié à la réinitialisation des mots de passe.

    Comme détaillé dans les dernières notes de version de Samba, six bugs numérotés CVE ont été corrigés, dont ces cinqs: 
    1. CVE-2022-2031 : les utilisateurs de Samba AD peuvent contourner certaines restrictions associées à la modification des mots de passe.
    2. CVE-2022-32745 : les utilisateurs de Samba AD peuvent planter le processus serveur avec une requête d'ajout ou de modification LDAP.
    3. CVE-2022-32746 : les utilisateurs de Samba AD peuvent induire une utilisation après libération dans le processus serveur avec une requête d'ajout ou de modification LDAP.
    4. CVE-2022-32742 : fuite d'informations sur la mémoire du serveur via SMB1.… avec celui-ci, qui est le plus sérieux du lot, comme vous le verrez immédiatement dans la description du bug :
    5. CVE-2022-32744 : les utilisateurs de Samba Active Directory peuvent falsifier les demandes de changement de mot de passe pour n'importe quel utilisateur.
    En théorie, le bug CVE-2022-32744 pourrait être exploité par n'importe quel utilisateur du réseau.

    En gros, les attaquants pourraient déjouer le service de changement de mot de passe de Samba, connu sous le nom de kpasswd, à travers une série de tentatives de changement de mot de passe infructueuses…
    … jusqu'à ce qu'il accepte finalement une demande de changement de mot de passe autorisée par les attaquants eux-mêmes.

    En termes d'argot, c'est ce que vous pourriez appeler une attaque Print Your Own Passport (PYOP), où l'on vous demande de prouver votre identité, mais vous pouvez le faire en présentant un document "officiel" que vous avez créé vous-même.

    Recommandations COMPUTERLAND

    Samba existe en trois versions : actuelle, antérieure et antérieure.

    Les mises à jour que vous souhaitez sont les suivantes :

    Si vous utilisez la version 4.16, mettez à jour la version 4.16.3 ou antérieure vers la 4.16.4.
    Si vous utilisez la version 4.15, mettez à jour la version 4.15.8 ou antérieure en 4.15.9.
    Si vous utilisez la version 4.14, mettez à jour la version 4.14.13 ou antérieure à la 4.14.14.
     

    Samba Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 13 juillet, 2022

    Microsoft Windows zero-day utilisé dans les attaques

    Microsoft a ajouté une vulnérabilité d'escalade de privilèges locale activement exploitée dans le sous-système d'exécution client/serveur Windows (CSRSS) à sa liste de bugs abusés dans la nature.

    Cette faille de sécurité de gravité élevée (suivie en tant que CVE-2022-22047) affecte à la fois les plates-formes Windows serveur et client, y compris les dernières versions de Windows 11 et Windows Server 2022.

    Microsoft l'a corrigé dans le cadre du correctif de juillet 2022 mardi, et l'a classé comme un jour zéro (zero day) car il a été abusé lors d'attaques avant qu'un correctif ne soit disponible.

    Recommandations COMPUTERLAND

    "Ces types de vulnérabilités sont un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour les entreprises

    Depuis la publication, nous recommandons de protéger vos systèmes avec cette mise à jour dès que possible pour éviter les violations et cyber attaques.

    Microsoft Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 12 juillet, 2022

    VMware corrige une faille vCenter Server révélée en novembre

    Pour la petite histoire :
    Huit mois après avoir révélé une faille d'escalade de privilèges très grave dans le mécanisme IWA (Integrated Windows Authentication) de vCenter Server, VMware a enfin publié un correctif pour l'une des versions concernées. Cette vulnérabilité (suivie sous le nom de CVE-2021-22048 et signalée par Yaron Zinar et Sagi Sheinfeld de CrowdStrike) affecte également les déploiements de la plate-forme de cloud hybride VMware Cloud Foundation.
     
    Une exploitation réussie permet aux attaquants disposant d'un accès non administratif aux déploiements vCenter Server non corrigés d'élever les privilèges à un groupe privilégié.
     
    Selon VMware, le bug ne peut être exploité qu'à partir du même réseau physique ou logique sur lequel se trouve le serveur ciblé dans le cadre d'attaques de grande complexité nécessitant de faibles privilèges et aucune interaction de l'utilisateur (cependant, l'entrée CVE-2021-22048 du NIST NVD indique qu'il est exploitable à distance dans des attaques de faible complexité).
     
    Malgré cela, VMware a évalué la gravité de ce bogue comme étant dans la plage de gravité Important, ce qui signifie que "l'exploitation entraîne la compromission complète de la confidentialité et/ou de l'intégrité des données utilisateur et/ou des ressources de traitement via l'assistance utilisateur ou par des attaquants authentifiés".."
     
     

    Recommandations COMPUTERLAND

    Solution de contournement disponible
    Heureusement, bien que des correctifs soient en attente pour les autres versions concernées, VMware a fourni une solution de contournement pour supprimer le vecteur d'attaque depuis la première publication de l'avis de sécurité il y a huit mois, le 10 novembre 2021.
     
    Pour bloquer les tentatives d'attaque, VMware conseille aux administrateurs dans un article séparé de la base de connaissances de passer à Active Directory via l'authentification LDAP OU la fédération de fournisseur d'identité pour AD FS (vSphere 7.0 uniquement) à partir de l'authentification Windows intégrée (IWA) concernée.
     
    "L'authentification Active Directory sur LDAP n'est pas affectée par cette vulnérabilité. Cependant, VMware recommande vivement aux clients de prévoir de passer à une autre méthode d'authentification", a déclaré la société.  "Active Directory sur LDAP ne comprend pas les approbations de domaine, donc les clients qui passent à cette méthode devront configurer une source d'identité unique pour chacun de leurs domaines de confiance. La fédération de fournisseur d'identité pour AD FS n'a pas cette restriction."
     
    VMware fournit des instructions détaillées sur le passage à Active Directory sur LDAP (voir les liens ci-dessous) et sur le passage à la fédération de fournisseur d'identité pour AD FS.
     
    Source sur ce produit et les workaround à faire.

    VMWare Alerte Originale

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 15 juin, 2022

    Multiples vulnérabilités dans VMware ESXi

    De multiples vulnérabilités ont été découvertes dans VMware ESXi. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données.

    SYSTÈMES AFFECTÉS

    • ESXi versions 7.x antérieures à ESXi70U3e-19898904 sans le correctif de sécurité KB88632
    • ESXi versions 6.7.x antérieures à ESXi670-202206101-SG sans le correctif de sécurité KB88632
    • ESXi versions 6.5.x sans le correctif de sécurité KB88632
    • Cloud Foundation (ESXi) 4.x toutes versions
    • Cloud Foundation (ESXi) 3.x sans le correctif de sécurité KB88707


    Recommandations COMPUTERLAND

    COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter les avis de sécurité VMware et d'appliquer la mise à jour afin de ne pas laisser des acteurs malicieux atteindre à la confidentialité des données.
    Référence CVE CVE-2022-21123
     

    VMWare Alerte Originale

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 15 juin, 2022

    Microsoft June 2022 Patch Tuesday

    Aujourd'hui, c'est le mardi du correctif de juin 2022 de Microsoft, qui s'accompagne de correctifs pour 55 vulnérabilités, y compris des correctifs pour la vulnérabilité Windows MSDT "Follina" zero-day et de nouvelles failles Intel.

    Sur les 55 vulnérabilités corrigées dans la mise à jour d'aujourd'hui, trois sont classées comme "critiques" car elles permettent l'exécution de code à distance, les autres étant classées comme importantes. Cela n'inclut pas les 5 mises à jour Microsoft Edge Chromium publiées plus tôt cette semaine.
     

    • 12 Vulnérabilités d'élévation des privilèges
    • 1 Vulnérabilités de contournement des fonctionnalités de sécurité
    • 27 Vulnérabilités d'exécution de code à distance
    • 11 Vulnérabilités de divulgation d'informations
    • 3 Vulnérabilités de déni de service
    • 1 Vulnérabilité d'usurpation d'identité

    Pour plus d'informations sur les mises à jour Windows non liées à la sécurité, vous pouvez lire les mises à jour actuelles de Windows 10 KB5013942 et KB5013945 et la mise à jour Windows 11 KB5014697 .



    Recommandations COMPUTERLAND

    Correction du jour zéro de Follina

    Microsoft a corrigé la  vulnérabilité zero-day Windows Follina MSDT largement exploitée,  identifiée comme  CVE-2022-30190  dans les mises à jour de juin 2022.

    Le mois dernier, une nouvelle vulnérabilité Windows zero-day a été découverte dans des attaques qui exécutaient des commandes PowerShell malveillantes via l'outil de diagnostic Windows Microsoft (MSDT).

    À l'époque, cette vulnérabilité contournait toutes les protections de sécurité, y compris la vue protégée de Microsoft Office, et exécutait les scripts PowerShell simplement en ouvrant un document Word.

    Peu de temps après, les acteurs malicieux ont commencé à l'utiliser dans des attaques de phishing généralisées qui ont  distribué QBot , ciblé  des agences gouvernementales américaines et ciblé  des médias ukrainiens .

    Bien que Microsoft ait publié des atténuations pour la vulnérabilité, ils n'ont pas dit s'ils allaient la corriger.

    Aujourd'hui, Microsoft a publié une mise à jour de sécurité pour la vulnérabilité Windows MSDT, et elle est incluse dans les mises à jour cumulatives de juin 2022 ou dans une mise à jour de sécurité autonome pour Windows Server.



    Microsoft Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 10 juin, 2022

    Protéger votre organisation contre les attaques par pulvérisation de mots de passe

    Messieurs, Mesdames,

     

    A la suite de la crise géopolitique avec la Russie, Computerland aimerait renforcer votre sécurité, par la mise en place de la restriction de géolocalisation via une police de sécurité dans le « conditionnel accès ».

    Une attaque par force brute est une méthode par tâtonnements utilisée pour décoder des données sensibles. Les applications les plus courantes des attaques par force brute sont le craquage des mots de passe et le craquage des clés de chiffrement.



    Recommandations COMPUTERLAND

    Afin de restreindre l’accès à votre tenant aux seuls pays avec lesquels vous travaillez, et bloquer le reste du monde. Ce qui réduira drastiquement toute attaque de type « attaques surface & craquage de mots de passe ».

    Merci de revenir vers nous, si voulez mettre cette protection en place, vos SDM et commerciaux sont à votre disposition.

     

    Note : « Ces actions préventives urgentes ne rentrent pas dans le service de couverture de votre contrat et seront donc facturées au tarif en vigueur. »

     

    Merci de votre aimable compréhension,

    L’équipe sécurité



    COMPUTERLAND Sécurité Originale Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 1 juin, 2022

    Firefox, Thunderbird, reçoivent des correctifs pour des problèmes de sécurité critiques

    ‎Mozilla a publié des mises à jour de sécurité pour corriger les vulnérabilités dans Firefox, Firefox ESR et Thunderbird. Un attaquant pourrait exploiter certaines de ces vulnérabilités pour prendre le contrôle d’un système affecté. ‎

    COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter les avis de sécurité de Mozilla pour ‎‎Firefox 101‎‎, ‎‎Firefox ESR 91.10‎‎ et ‎‎Thunderbird 91.10‎‎ et à appliquer les mises à jour nécessaires.‎



    Recommandations COMPUTERLAND

    Mettez à jour maintenant, si vous ne l'avez pas encore fait.
    La plupart des installations de Thunderbird et de Firefox sont configurées pour se mettre à jour par défaut. Si c'est le cas, les correctifs de sécurité devraient déjà être appliqués et vous n'avez pas à vous inquiéter.

    Ce n'est cependant pas le cas pour toutes les installations. Si Firefox ou Thunderbird ne sont pas configurés pour se mettre à jour automatiquement, le correctif ne sera pas présent. Par conséquent, vous devrez appliquer manuellement la mise à jour.

    Dans Firefox, accédez à Paramètres, puis cliquez sur Général > Mises à jour de Firefox.

    À partir de là, sélectionnez l'option la plus appropriée parmi autorisé Firefox :
    • Installer automatiquement les mises à jour
    • Vérifier les mises à jour et vous laisser choisir de les installer.
    Le processus de mise à jour de Thunderbird est à peu près le même que celui de Firefox. Par défaut, il est configuré pour se mettre à jour manuellement, mais vous pouvez sélectionner des options similaires à celles de Firefox en utilisant l'option Avancé dans l'onglet Mises à jour.

    Une fois ces deux tâches accomplies, vous ne devriez plus être menacé par l'un ou l'autre des CVE.

    Mozilla Firefox Alerte Officielle

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 30 mai, 2022

    Avertissement - Vulnérabilité d'exécution du code à distance de l'outil de diagnostic du support Microsoft Windows (MSDT) CVE-2022-30190 (alias FOLLINA) activement exploitée

    Des chercheurs ont identifié une vulnérabilité zero-day d'exécution du code à distance exploitant l'outil de diagnostic de support Microsoft (MSDT). Cette vulnérabilité est activement exploitée dans la nature.

    Le code arbitraire s'exécute avec les privilèges de l'utilisateur actuel. Un attaquant peut enchaîner d'autres exploits pour obtenir des privilèges plus élevés.

    L'attaque peut réussir sans ouvrir le fichier malveillant. La prévisualisation du fichier est suffisante.

    Recommandations COMPUTERLAND

    Microsoft a publié CVE-2022-30190 pour résoudre une vulnérabilité d'exécution du code à distance.

    Microsoft a noté :

    "Une vulnérabilité d'exécution du code à distance existe lorsque MSDT est appelé à l'aide du protocole URL à partir d'une application appelante telle que Word. Un attaquant qui parviendrait à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l'application appelante. L'attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes dans le cadre autorisé par les droits de l'utilisateur.

    Microsoft a publié des conseils sur la façon de répondre à cette vulnérabilité.

    Autres sources :
    https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e
     



    Microsoft Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 29 mai, 2022

    Le logiciel malveillant EnemyBot exploite des failles critiques de VMware et de F5 BIG-IP.

    Un nouveau rapport d' AT&T Alien Labs  note que les dernières variantes d'EnemyBot intègrent des exploits pour 24 vulnérabilités. La plupart d'entre eux sont critiques, mais il y en a plusieurs qui n'ont même pas de numéro CVE, ce qui rend plus difficile pour les défenseurs de mettre en place des protections.

    En avril, la plupart des failles concernaient les routeurs et les appareils IoT, CVE-2022-27226 (iRZ) et CVE-2022-25075 (TOTOLINK) étant parmi les plus récentes et Log4Shell étant la plus notable.

    Cependant, une nouvelle variante analysée par AT&T Alien Labs incluait des exploits pour les problèmes de sécurité suivants :



    Recommandations COMPUTERLAND

    Les recommandations pour se protéger contre ce type de menace incluent l'application de correctifs aux produits logiciels dès que les mises à jour sont disponibles et la surveillance du trafic réseau, y compris les connexions sortantes.

    En ce moment, l'objectif principal d'EnemyBot est les attaques DDoS mais d'autres possibilités sont également à envisager (par exemple, le cryptomining, l'accès), d'autant plus que le malware cible désormais des appareils plus puissants.



    BleepingComputer Alerte Origniale

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 25 mai, 2022

    Microsoft va forcer de meilleurs paramètres de sécurité par défaut pour tous les tenants Azure AD

    Microsoft a annoncé qu'il activerait automatiquement des paramètres par défaut sécurisés plus stricts appelés « valeurs par défaut de sécurité » sur tous les tenants Azure Active Directory (Azure AD) existants fin juin 2022.
     

    Sécurité par défaut pour sécuriser les comptes d'utilisateurs

    Une fois le déploiement commencé, les administrateurs globaux seront informés et pourront soit activer les paramètres de sécurité par défaut, soit suspendre leur application pendant 14 jours, après quoi ils seront activés automatiquement.

    Une fois activés dans un tenant Azure AD, les utilisateurs devront s'inscrire à MFA dans les 14 jours à l'aide de l'application Microsoft Authenticator, les administrateurs mondiaux étant également invités à fournir un numéro de téléphone.

    Les nouveaux paramètres de sécurité par défaut aideront à protéger les comptes d'utilisateurs d'entreprise contre les attaques par pulvérisation de mot de passe (Password Spray) et par hameçonnage (Phishing) en :

    • Exiger que tous les utilisateurs et administrateurs s'inscrivent à MFA à l'aide de l'application Microsoft Authenticator.
    • Utilisateurs difficiles avec MFA, principalement lorsqu'ils apparaissent sur un nouvel appareil ou une nouvelle application, mais plus souvent pour des rôles et des tâches critiques.
    • Désactivation de l'authentification à partir de clients d'authentification hérités qui ne peuvent pas utiliser MFA.
    • Protéger les administrateurs en exigeant une authentification supplémentaire à chaque fois qu'ils se connectent.


    Recommandations COMPUTERLAND

    Les administrateurs qui ne souhaitent pas activer les paramètres de sécurité par défaut pour leur organisation peuvent les désactiver via les  propriétés Azure Active Directory  ou le  centre d'administration Microsoft 365 .

    Cependant, cela pourrait être une mauvaise idée puisque, selon Weinert, les organisations qui laissent les valeurs par défaut de sécurité activées « connaissent 80 % moins de compromis que la population globale des tenants ».

    De plus, selon  les données de télémétrie de Microsoft , l'authentification MFA empêche plus de 99,9 % des attaques par compromission de compte lorsqu'elle est activée.



    Microsoft Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 20 mai, 2022

    Les mises à jour d'urgence de Microsoft corrigent les problèmes d'authentification de Windows AD

    Microsoft a publié des mises à jour d'urgence hors bande (OOB) pour résoudre les problèmes d'authentification Active Directory (AD) après l'installation sur les contrôleurs de domaine des mises à jour Windows publiées lors du Patch Tuesday du mois de mai 2022.

    L'entreprise travaille depuis le 12 mai sur un correctif pour ce problème connu provoquant des échecs d'authentification pour certains services Windows.

    "Après avoir installé les mises à jour publiées le 10 mai 2022 sur vos contrôleurs de domaine, vous pouvez constater des échecs d'authentification sur le serveur ou le client pour des services tels que Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) et Protected Extensible Authentication Protocol (PEAP)", explique Microsoft.

    "Un problème a été trouvé concernant la façon dont le mappage des certificats aux comptes de machine est géré par le contrôleur de domaine."

    Les mises à jour OOB de Windows publiées aujourd'hui sont disponibles uniquement via le catalogue de mise à jour de Microsoft et ne seront pas proposées via Windows Update.



    Recommandations COMPUTERLAND

    La société a publié les mises à jour cumulatives suivantes, à installer sur les contrôleurs de domaine (aucune action n'est nécessaire du côté client) :

    Windows Server 2022 : KB5015013  (https://support.microsoft.com/help/5015013)
    Windows Server, version 20H2 : KB5015020  (https://support.microsoft.com/help/5015020)
    Windows Server 2019 : KB5015018  (https://support.microsoft.com/help/5015018)
    Windows Server 2016 : KB5015019  (https://support.microsoft.com/help/5015019)

    Microsoft a également publié des mises à jour autonomes : 

    Windows Server 2012 R2 : KB5014986 (https://support.microsoft.com/help/5014986)
    Windows Server 2012 : KB5014991 (https://support.microsoft.com/help/5014991)
    Windows Server 2008 R2 SP1 : KB5014987 (https://support.microsoft.com/help/5014987)
    Windows Server 2008 SP2 : KB5014990 (https://support.microsoft.com/help/5014990)

    Ces mises à jour peuvent être importées manuellement dans Microsoft Endpoint Configuration Manager.

    Vous pouvez trouver les instructions sur le site du catalogue et les instructions de Configuration Manager sur la page Importer des mises à jour depuis le catalogue des mises à jour de Microsoft.

    "Si vous utilisez les mises à jour de sécurité uniquement pour ces versions de Windows Server, vous n'avez besoin d'installer ces mises à jour que pour le mois de mai", ajoute Microsoft.

    "Si vous utilisez les mises à jour des rollups mensuels, vous devrez installer à la fois la mise à jour autonome indiquée ci-dessus et les rollups mensuels publiés le 10 mai 2022." 


    Sources : 
    https://www.catalog.update.microsoft.com/Home.aspx
    https://docs.microsoft.com/en-us/mem/configmgr/sum/get-started/synchronize-software-updates#import-updates-from-the-microsoft-update-catalog 
     

    BleepingComputer Alerte Origniale

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 19 mai, 2022

    QNAP avertit ses clients NAS des nouvelles attaques de ransomware DeadBolt

    Le fabricant taïwanais de systèmes de stockage en réseau (NAS) QNAP a averti jeudi ses clients qu'ils devaient sécuriser leurs appareils contre les attaques par le ransomware DeadBolt.

    La société a demandé aux utilisateurs de mettre à jour leurs périphériques NAS avec la dernière version du logiciel et de s'assurer qu'ils ne sont pas exposés à un accès à distance sur Internet.

    "Selon l'enquête menée par l'équipe QNAP Product Security Incident Response Team (QNAP PSIRT), l'attaque a ciblé les périphériques NAS utilisant QTS 4.3.6 et QTS 4.4.1, et les modèles affectés étaient principalement les séries TS-x51 et TS-x53", a déclaré le fabricant de NAS.

    Le ransomware DeadBolt
    Repéré pour la première fois dans des attaques visant des périphériques NAS QNAP à la fin du mois de janvier, le ransomware DeadBolt détourne la page de connexion du périphérique QNAP pour afficher un écran indiquant "WARNING : Your files have been locked by DeadBolt".

    Recommandations COMPUTERLAND

    Nous conseillons aux clients disposant d'appareils destinés au public de prendre les mesures suivantes pour bloquer les attaques potentielles :
    1. Désactiver la fonction de transfert de port du routeur : Accédez à l'interface de gestion de votre routeur, vérifiez les paramètres de serveur virtuel, de NAT ou de transfert de port, et désactivez le paramètre de transfert de port du port de service de gestion du NAS (port 8080 et 433 par défaut).
    2. Désactivez la fonction UPnP du NAS de QNAP : Allez sur myQNAPcloud dans le menu QTS, cliquez sur "Auto Router Configuration", et désélectionnez "Enable UPnP Port forwarding".
    Le fabricant du NAS fournit également des étapes détaillées sur la façon de désactiver les connexions SSH et Telnet, de changer le numéro de port du système, de modifier les mots de passe des périphériques et d'activer la protection de l'accès aux IP et aux comptes.

    En avril, QNAP a également exhorté les utilisateurs de NAS à désactiver la redirection de port UPnP (Universal Plug and Play) sur leurs routeurs pour éviter de les exposer à des attaques depuis Internet.

    Ceux qui ont besoin d'accéder à des périphériques NAS sans accès direct à Internet sont invités à activer la fonction VPN de leur routeur (si elle est disponible), à utiliser le service myQNAPcloud Link et le serveur VPN sur les périphériques QNAP fourni par l'application QVPN Service ou la solution SD-WAN QuWAN.

    Les appareils QNAP étant également visés par d'autres familles de ransomware telles que Qlocker et eCh0raix, tous les propriétaires devraient immédiatement prendre les mesures ci-dessus pour sécuriser leurs données contre de futures attaques.
     

    QNAP Originale Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 18 mai, 2022

    Microsoft met en garde contre les attaques par force brute visant les serveurs MSSQL

    Microsoft a mis en garde contre des attaques par force brute visant des serveurs de bases de données Microsoft SQL Server (MSSQL) exposés à Internet et mal sécurisés, à l'aide de mots de passe faibles.

    Si ce n'est pas nécessairement la première fois que les serveurs MSSQL sont visés par de telles attaques, Redmond indique que les acteurs de la menace à l'origine de cette campagne récemment observée utilisent l'outil légitime sqlps.exe comme un LOLBin (abréviation de living-off-the-land binary).

    "Les attaquants parviennent à une persistance sans fichier en faisant apparaître l'utilitaire sqlps.exe, un wrapper PowerShell pour l'exécution de cmdlets SQL, afin d'exécuter des commandes de reconnaissance et de changer le mode de démarrage du service SQL en LocalSystem", révèle l'équipe de Microsoft Security Intelligence.
     

    Recommandations COMPUTERLAND

    Pour défendre leurs serveurs MSSQL contre de telles attaques, il est conseillé aux administrateurs de ne pas les exposer à l'Internet, d'utiliser un mot de passe d'administrateur fort qui ne peut être deviné ou forcé par brute, et de placer le serveur derrière un pare-feu.

    Il est conseillé aux administrateurs de ne pas les exposer à l'Internet pour défendre leurs serveurs MSSQL contre de telles attaques.

    Vous devez également :
    1. Utiliser un mot de passe d'administrateur fort qui ne peut pas être deviné ou forcé par brute facilement et placer le serveur derrière un pare-feu.
    2. Activer la journalisation pour surveiller les activités suspectes ou inattendues ou les tentatives de connexion récurrentes.
    3. Appliquer les dernières mises à jour de sécurité pour réduire la surface d'attaque et bloquer les attaques exploitant des exploits qui ciblent des vulnérabilités connues.


    Microsoft Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 18 mai, 2022

    VMware corrige une faille critique de contournement d'authentification dans plusieurs produits

    VMware a averti aujourd'hui ses clients de corriger immédiatement une vulnérabilité critique de contournement d'authentification "affectant les utilisateurs de domaines locaux" dans plusieurs produits, qui peut être exploitée pour obtenir des privilèges d'administrateur.

    La faille (suivie sous le nom de CVE-2022-22972) a été signalée par Bruno López d'Innotec Security, qui a constaté qu'elle avait un impact sur Workspace ONE Access, VMware Identity Manager (vIDM) et vRealize Automation.

    L'exploitation réussie de la plus grave de ces vulnérabilités pourrait entraîner un contournement de l'authentification. Un acteur malveillant pourrait être en mesure d'obtenir un accès administratif. En fonction de l'autorisation associée à l'application qui exécute l'exploit, un attaquant pourrait alors installer des programmes, visualiser, modifier ou supprimer des données, etc.

    Technique basée sur MITRE ATT&CK

    Tactique : Défense Evasion (TA0005) :
    Technique : Modifier le processus d'authentification (T1556) :
    Un acteur malveillant disposant d'un accès réseau à l'interface utilisateur peut être en mesure d'obtenir un accès administratif sans avoir besoin de s'authentifier. (CVE-2022-22972)

    Tactique : Escalade de privilèges (TA0029) :
    Technique : Abus du mécanisme de contrôle d'élévation (T1548) :
    Un acteur malveillant ayant un accès local peut élever ses privilèges jusqu'à 'root'... (CVE-2022-22973)

    Recommandations COMPUTERLAND

    Les administrateurs sont invités à appliquer un correctif immédiatement
    "Cette vulnérabilité critique doit être corrigée ou atténuée immédiatement selon les instructions de VMSA-2022-0014", a prévenu VMware.

    " Les ramifications de cette vulnérabilité sont graves. Compte tenu de la gravité de la vulnérabilité, nous recommandons fortement une action immédiate. "

    La société a également corrigé une deuxième faille de sécurité d'escalade de privilèges locale de haute gravité (CVE-2022-22973) qui peut permettre aux attaquants d'élever les permissions sur les appareils non patchés jusqu'à " root ".

    La liste complète des produits VMware concernés par ces bogues de sécurité comprend :
    • VMware Workspace ONE Access 21.08.0.1, 21.08.0.0, 20.10.0.1, 20.10.0.0
    • VMware Identity Manager 3.3.6, 3.3.5, 3.3.4, 3.3.3
    • VMware vRealize Automation 7.6, 8.x
    • VMware Cloud Foundation 4.3.x, 4.2.x, 4.1, 4.0.x, 3.x
    • vRealize Suite Lifecycle Manager 8.x

    Alors que VMware ajoute généralement une note concernant l'exploitation active à la plupart des avis de sécurité, VMware n'a pas inclus cette information dans l'avis VMSA-2022-0014 d'aujourd'hui.

    VMware fournit des liens de téléchargement de correctifs et des instructions d'installation sur son site Web de base de connaissances.

    Solution de contournement également disponible
    VMware fournit également des solutions de contournement temporaires pour les administrateurs qui ne peuvent pas mettre à jour leurs appliances immédiatement.

    Les étapes détaillées ici nécessitent que les administrateurs désactivent tous les utilisateurs à l'exception d'un administrateur provisionné et se connectent via SSH pour redémarrer le service horizon-workspace.

    Si vous avez besoin d'aide pour l'installation, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et nos SDM sont à votre service.

    VMSA-2022-0014: Questions & Answers | VMware
    HW-156875 - Workaround instructions to address CVE-2022-22972 in Workspace ONE Access Appliance (VMware Identity Manager) (88433)

    VMWare Alerte Originale

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 16 mai, 2022

    De nombreuses failles de sécurité corrigées sur iOS 15.5 et macOS 12.4 .

    Le 16 mai 2022, Apple a publié des bulletins de sécurité visant à corriger des vulnérabilités liées aux produits suivants :

    • iOS and iPadOS – versions antérieures à 15.5;
    • macOS Big Sur – versions antérieures à 11.6.6;
    • macOS Catalina – versions antérieures à 2022-004;
    • macOS Monterey – versions antérieures à 12.4;
    • Safari - versions antérieures à 15.5;
    • tvOS – versions antérieures à 15.5;
    • watchOS – versions antérieures à 8.6;
    • Xcode – versions antérieures à 13.4.

    L’exploitation de ces vulnérabilités pourrait mener à l’exécution de code arbitraire.

    Apple a été avisé que certaines de ces vulnérabilités sont exploitées activement.



    Recommandations COMPUTERLAND

    Computerland recommande aux utilisateurs et aux administrateurs de consulter la page Web ci-dessous et d’appliquer les mises à jour nécessaires.

    Installez immédiatement iOS 15.5 pour protéger vos données personnelles, Apple vient de débuter le déploiement de la mise à jour iOS 15.5. Celle-ci inclut de nombreux correctifs de sécurité. Vous devez l’installer dès que possible afin de sécuriser vos produits Apple.



    Apple Security Updates 

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 12 mai, 2022

    Ransomware-as-a-service : comprendre l'économie de la cybercriminalité et comment vous protéger

    Microsoft Threat Intelligence Center (MSTIC) et l'équipe 365 Defender Threat Intelligence partagent des détails sur plusieurs écosystèmes de ransomwares utilisant le modèle Ransomware-as-a-Service (RaaS), l'importance de la visibilité inter-domaines pour trouver et expulser ces acteurs, et les meilleures pratiques que les organisations peuvent utiliser pour se protéger de ce type d'attaque de plus en plus populaire.

    Dans cette catégorie de menaces, Microsoft a suivi la tendance de l'économie du gig-ransomware-as-a-service (RaaS), appelé ransomware activé par l'homme , qui reste l'une des menaces les plus percutantes pour les organisations . Nous avons inventé le terme industriel de « ransomware exploité par l'homme » pour préciser que ces menaces sont dirigées par des humains qui prennent des décisions à l'étape de leurs attaques en fonction de chaque qu'ils se trouvent dans le réseau de leur cible.

    Recommandations COMPUTERLAND

    Microsoft 365 Defender : visibilité inter domaine approfondie et capacités d'investigation unifiées pour se défendre contre les attaques de ransomwares

    La menace multiforme des rançongiciels nécessite une approche globale de la sécurité. Les étapes que nous avons décrites ci-dessus protègent contre les schémas d'attaque courants et contribueront grandement à prévenir les attaques de ransomwares.Microsoft 365Defender est conçu pour permettre aux organisations d'appliquer facilement bon nombre de ces contrôles de sécurité.

    Microsoft 365Les capacités de visibilité et de détection de pointe de Defender, démontrées dans les récentes évaluations MITRE Engenuity ATT&CK® , arrêtent automatiquement les menaces et les techniques d'attaque les plus courantes. Pour doter les organisations des outils nécessaires pour lutter contre les rançongiciels exploités par l'homme, qui, par nature, empruntent une voie unique pour chaque organisation,Microsoft 365Defender fournit des fonctionnalités d'investigation riches qui permettent aux défenseurs d'inspecter et de corriger en toute transparence les comportements malveillants dans tous les domaines.

    Découvrez comment bloquer les attaques grâce à une sécurité interdomaine automatisée et à une IA intégrée avec Microsoft Defender 365.

    Conformément à l'expansion récemment annoncée dans une nouvelle catégorie de services appelée Microsoft Security Experts , nous introduisons la disponibilité de Microsoft Defender Experts for Hunting pour une préversion publique. Defender Experts for Hunting est destiné aux clients qui disposent d'un centre d'opérations de sécurité robuste mais qui souhaitent que Microsoft les aide à rechercher de manière proactive les menaces dans les données Microsoft Defender, y compris les terminaux,Bureau 365, les applications cloud et l'identité.

    Rejoignez notre équipe de recherche lors de l' événement numérique Microsoft Security Summit le 12 mai pour découvrir les développements que Microsoft constate dans le paysage des menaces, ainsi que la manière dont nous pouvons aider votre entreprise à atténuer ces types d'attaques. Posez vos questions les plus urgentes pendant le chat en direct Q&A. Inscrivez-vous dès aujourd'hui.



    Microsoft Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 10 mai, 2022

    Des chercheurs développent un exploit RCE pour la dernière vulnérabilité de F5 BIG-IP

    Quelques jours après que F5 a publié des correctifs pour une vulnérabilité critique d'exécution de code à distance affectant sa famille de produits BIG-IP, des chercheurs en sécurité signalent qu'ils ont pu créer un exploit pour cette faille.

    Connue sous le nom de CVE-2022-1388 (score CVSS : 9,8), la faille concerne un contournement de l'authentification REST d'iControl qui, s'il est exploité avec succès, peut conduire à une exécution de code à distance, permettant à un attaquant d'obtenir un accès initial et de prendre le contrôle d'un système affecté.

    Cela peut aller du déploiement de mineurs de crypto-monnaies au lancement de shells web pour des attaques de suivi, comme le vol d'informations et les ransomwares.

    La vulnérabilité de sécurité critique a des répercussions sur les versions suivantes des produits BIG-IP

    16.1.0 - 16.1.2
    15.1.0 - 15.1.5
    14.1.0 - 14.1.4
    13.1.0 - 13.1.4
    12.1.0 - 12.1.6
    11.6.1 - 11.6.5

    Recommandations COMPUTERLAND

    COMPUTERLAND recommande aux administrateurs système des dispositifs de réseau F5 BIG-IP de mettre à jour leurs dispositifs dès que possible "Patch ASAP !" Les mise à jour sont disponibles dans les versions 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 et 13.1.5.

    Suivez le guide d'atténuation sur le site Web de F5 uniquement si aucun correctif n'est disponible pour votre appareil actuel car les versions 11.x et 12.x du micrologiciel ne recevront pas de mises à jour de sécurité et les utilisateurs qui dépendent de ces versions doivent envisager de passer à une version plus récente ou d'appliquer les solutions de contournement suivantes :
    • Bloquer l'accès à iControl REST par l'intermédiaire d'un système d'authentification.
    • Bloquer l'accès REST d'iControl via l'adresse IP personnelle.
    • Bloquer l'accès REST d'iControl via l'interface de gestion, et Modifier la configuration de BIG-IP httpd.

    Note : Le chercheur en sécurité Kevin Beaumont a signalé des tentatives d'exploitation actives détectées dans la nature, tout en signalant la disponibilité d'une preuve de concept (PoC)  publique pour la faille d'exécution de code. Ainsi "Nous avons reproduit le frais CVE-2022-1388 dans le BIG-IP de F5", a déclaré la société de cybersécurité Positive Technologies dans un tweet.

    Source: 
    1. https://twitter.com/GossiTheDog/status/1523566937414193153
    2. https://twitter.com/GossiTheDog/status/1523222846474014720
    3. https://twitter.com/ptswarm/status/1522873828896034816
    4. Threat Actors Are Exploiting a Critical F5 BIG-IP Vulnerability (heimdalsecurity.com)
    5. How to Check if Your F5 BIG-IP Device Is Vulnerable (darkreading.com)
    6. https://support.f5.com/csp/article/K55879220 
    Cette vulnérabilité peut permettre à un attaquant non authentifié ayant un accès réseau au système BIG-IP via le port de gestion et/ou des adresses IP autonomes d'exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers, ou de désactiver des services. Il n'y a pas d'exposition au plan de données ; il s'agit uniquement d'un problème de plan de contrôle.

    BIG-IP Original alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 10 mai, 2022

    De multiples failles de QNAP permettent aux attaquants d'accéder à des données sensibles et de les lire.

    Le fabricant de périphériques NAS QNAP a publié vendredi des mises à jour logicielles pour ses produits de stockage en réseau (NAS). Cette mise à jour est axée sur la correction de plusieurs failles de sécurité.

    Toutes ces failles pourraient permettre aux acteurs malicieux d'accéder et de voler des données sensibles.
    Parmi toutes les vulnérabilités détectées, il y en a une qui pourrait permettre aux acteurs de la menace de prendre le contrôle d'un système compromis, et elle est répertoriée sous le nom de "CVE-2022-27588" avec un score CVSS de 9,8.

    Alors que la version 5.1.6 build 20220401 de QVR et les versions ultérieures sont censées avoir corrigé cette vulnérabilité. En cas d'exploitation de cette grave vulnérabilité, un attaquant distant serait en mesure d'exécuter des commandes arbitraires sur un système QVR vulnérable.

    Parmi les solutions de vidéosurveillance proposées par QNAP, QVR est l'une d'entre elles. QVR est un système de vidéosurveillance qui fonctionne sur les appareils QNAP et ne dépend d'aucun logiciel supplémentaire.



    Recommandations COMPUTERLAND

    Pour sécuriser votre appareil, nous vous recommandons vivement de mettre à jour votre système à la dernière version pour bénéficier des corrections de vulnérabilité.

    Source: 
    1. Multiple QNAP Flaws Let attackers to Access and Read Sensitive Data (gbhackers.com) 
    2. https://www.qnap.com/en-in/security-advisory/qsa-22-07 
      

    QNAP Originale Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 10 mai, 2022

    Le mardi des correctifs du mois de mai 2022 de Microsoft

    Ce mois-ci, nous avons reçu des correctifs pour 75 vulnérabilités de la part de Microsoft. Parmi celles-ci, 8 sont critiques, 3 ont été précédemment divulguées, et une est déjà exploitée selon Microsoft.

    La vulnérabilité déjà exploitée est une vulnérabilité d'usurpation d'identité affectant Windows LSA (CVE-2022-26925) avec un score CVSS de 8.1.

    Selon l'avis, "Un attaquant non authentifié pourrait appeler une méthode sur l'interface LSARPC et contraindre le contrôleur de domaine à s'authentifier auprès de l'attaquant en utilisant NTLM. Cette mise à jour de sécurité détecte les tentatives de connexion anonyme dans LSARPC et les interdit."

    De plus, Microsoft indique que d'autres actions, détaillées dans la KB5005413, sont nécessaires pour protéger le système après l'application du correctif. Microsoft conseille également de donner la priorité aux contrôleurs de domaine lors de l'application des correctifs. En ce qui concerne la complexité de l'attaque, l'avis indique qu'elle est "complexe" étant donné que l'attaquant doit s'injecter dans le chemin logique du réseau entre la cible et la ressource demandée par la victime afin de lire ou de modifier les communications réseau (attaque MITM).

    Le score CVSS le plus élevé ce mois-ci (9,8) est associé à une vulnérabilité d'exécution de code à distance (RCE) affectant le système de fichiers réseau de Windows (CVE-2022-26937). La vulnérabilité affecte la version NFSV4.1. Ainsi, à titre d'atténuation temporaire, la désactivation des versions NFSV2 et NFSV3 pourrait être utile. Une vulnérabilité similaire affectant NFS, découverte par les mêmes chercheurs, a été corrigée le mois dernier (CVE-2022-24497).

    Il existe également un RCE CVSS 9.8 affectant Windows LDAP (CVE-2022-22012). Selon l'avis, "cette vulnérabilité n'est exploitable que si la politique LDAP MaxReceiveBuffer est définie à une valeur supérieure à la valeur par défaut. Les systèmes avec la valeur par défaut de cette politique ne seraient pas vulnérables".

    Il convient également de mentionner une vulnérabilité d'élévation de privilèges affectant Active Directory Domain Services (CVE-2022-26923). La vulnérabilité est présente uniquement sur les systèmes Active Directory Certificate Services du domaine. Selon l'avis, "Un utilisateur authentifié pourrait manipuler les attributs des comptes d'ordinateurs qu'il possède ou gère, et acquérir un certificat auprès des services de certification Active Directory qui permettrait une élévation de privilège". Le CVSS de cette vulnérabilité est de 8.8.
     

    Recommandations COMPUTERLAND

    COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter l'avis de sécurité de Microsoft et d'installer les mises à jour concernant ces vulnérabilités désormais activement exploitée, et bloquer les tentatives d'exploitation en cours. Par conséquent, toute organisation doit appliquer les mises à jour de sécurité de Windows dès que possible.

    N.B: Si vous n'avez pas de solution pour le patch management, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et SDM à votre service.

    1. Microsoft May 2022 Patch Tuesday fixes 3 zero-days, 75 flaws (bleepingcomputer.com)
    2. https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/May-2022.html
    3. Microsoft Patch Tuesday by Morphus Labs (patchtuesdaydashboard.com)
    4. https://isc.sans.edu/forums/diary/Microsoft+May+2022+Patch+Tuesday/28632/


    Microsoft Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 9 mai, 2022

    Microsoft publie des correctifs pour la faille Azure permettant des attaques de type RCE

    Microsoft a publié des mises à jour de sécurité pour corriger une faille de sécurité affectant les pipelines Azure Synapse et Azure Data Factory qui pourrait permettre aux attaquants d'exécuter des commandes à distance sur l'infrastructure Integration Runtime.

    L'infrastructure de calcul Integration Runtime (IR) est utilisée par les pipelines Azure Synapse et Azure Data Factory pour fournir des capacités d'intégration de données dans des environnements réseau (par exemple, flux de données, répartition des activités, exécution de paquets SQL Server Integration Services (SSIS)).

    La vulnérabilité (suivie sous le nom de CVE-2022-29972 et baptisée SynLapse par Tzah Pahima d'Orca Security) a été atténuée le 15 avril, sans preuve d'exploitation avant la publication des correctifs.

    Selon les conclusions de Pahima, les attaquants peuvent exploiter ce bug pour accéder aux espaces de travail Synapse d'autres clients et les contrôler, ce qui leur permet de divulguer des données sensibles, notamment les clés de service Azure, les jetons API et les mots de passe d'autres services.



    Recommandations COMPUTERLAND

    Microsoft conseille de mettre à jour leurs RI auto-hébergés vers la dernière version (5.17.8154.2) disponible sur le centre de téléchargement de Microsoft.

    Note:
    "Cela fonctionne sur des machines partagées avec un accès aux clés de service Azure et aux données sensibles d'autres clients. Ces zones du service ne disposent que d'une séparation au niveau des applications et ne disposent pas d'une sandbox ou d'une isolation au niveau de l'hyperviseur. Il s'agit d'une surface d'attaque majeure qui ne correspond pas au niveau de sécurité que les clients du cloud public attendent. "

    Source: 
    1. Microsoft releases fixes for Azure flaw allowing RCE attacks (bleepingcomputer.com)
    2. Vulnerability mitigated in the third-party Data Connector used in Azure Synapse pipelines and Azure Data Factory (CVE-2022-29972) – Microsoft Security Response Center
    3. https://msrc.microsoft.com/update-guide/vulnerability/ADV220001


    Microsoft Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 3 mai, 2022

    VEEAM Backup & Recovery: CVE-2022-26500 & VEEAM Agent for Windows : CVE-2022-26503

    COMPUTERLAND aimerait porter votre attention sur une série de vulnérabilités découvertes récemment portant sur cette plateforme informatique VEEAM, présentes et exploitées chez une majorité de nos clients.

    Bien que la découverte d’une vulnérabilité n’ait désormais plus un caractère exceptionnel, celles qui nous occupent plus particulièrement ici ont cependant un caractère inédit et/ou un degré de criticité particulièrement élevé.

    Nous notons également, à la lumière du contexte international actuel (conflit en Ukraine) ou les opérations d’infiltration et de guerre électronique ont connu une intensification sensible, que ces dernières doivent être abordées avec encore plus d’appréhension. 
     

    Recommandations COMPUTERLAND

    Ces failles de vulnérabilités touchent pour sa part l’éditeur de logiciels VEEAM et ses solutions VEEAM Agent for Windows & VEEAM Backup & Recovery.

    L’éditeur propose dès à présent une série de correctifs, qu’il recommande de déployer sur les installations existantes.

    Pour plus de renseignement à ce sujet, nous vous renvoyons vers le site de l’éditeur ci-dessous :

    VEEAM Agent for Windows :
    CVE-2022-26503 : KB4289: CVE-2022-26503 (veeam.com)
    This vulnerability is fixed in the following Veeam Agent for Microsoft Windows patched releases:
    5 (build 5.0.3.4708)
    4 (build 4.0.2.2208)


    VEEAM Backup & Recovery:
    CVE-2022-26500 | CVE-2022-26501 (score risque de 10.0) : KB4288: CVE-2022-26500 | CVE-2022-26501 (veeam.com)
    Patches are available for the following Veeam Backup & Replication versions:
    11a (build 11.0.1.1261 P20220302)
    10a (build 10.0.1.4854 P20220304)

    Si vous avez besoin d'aide pour l'installation, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et nos SDM sont à votre service.
    Source : 
    https://www.cvedetails.com/cve/CVE-2022-26501/

    VEEAM Originale Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 26 avril, 2022

    Vulnérabilité critique de Jira permettant à un attaquant non authentifié de contourner l'authentification

    Dans un avis publié par Atlassian, la société prévient que des vulnérabilités critiques dans Seraph affectent ses produits Jira et Jira Service Management.

    Seraph est un framework qui sécurise les applications web fournies par l'entreprise. Avec Seraph, toutes les demandes de connexion et de déconnexion pour Jira et Confluence sont traitées par des éléments de base enfichables.

    Vulnérabilité critique
    La vulnérabilité critique a été répertoriée sous le nom de CVE-2022-0540 avec un score de gravité de 9,9 sur 10 dans le système de notation CVSS.

    Les acteurs de la menace peuvent exploiter cette vulnérabilité critique en transmettant un appel HTTP spécialement conçu aux points d'extrémité vulnérables à distance pour contourner l'authentification.

    Produits concernés :
    Ci-dessous nous avons mentionné tous les produits affectés et leurs versions : -

    Jira Core Server, Software Server et Software Data Center avant 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x avant 8.20.6 et 8.21.x.
    Jira Service Management Server et Management Data Center avant 4.13.18, les versions 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x avant 4.20.6, 4.21.x.

    Alors que les versions de Jira Service Management et Jira Cloud ne sont pas vulnérables à cette vulnérabilité. De plus, si les attaquants à distance utilisent une configuration spécifique dans Seraph, ils peuvent compromettre les produits affectés uniquement.

    Applications vulnérables
    Cette vulnérabilité a affecté deux applications groupées pour Jira, et elles sont mentionnées ci-dessous : -.
    • Insight - Gestion des actifs
    • Plugin mobile
    Outre les applications de la place de marché d'Atlassian, les applications tierces, comme celles développées par les clients ou non répertoriées sur la place de marché d'Atlassian, sont également à risque si elles reposent sur des configurations vulnérables.
     

    Recommandations COMPUTERLAND

    Les mises à jour de sécurité sont incluses dans les versions suivantes : -
    Pour Jira Core Server, Software Server, et Software Data Center, les versions corrigées sont :
    8.13.x >= 8.13.18, 8.20.x >= 8.20.6, et toutes les versions à partir de 8.22.0.

    Pour Jira Service Management, les versions corrigées sont : 
    4.13.x >= 4.13.18, 4.20.x >= 4.20.6, et 4.22.0 et suivantes.

    Il est fortement recommandé aux utilisateurs d'effectuer une mise à jour vers l'une des versions ci-dessus dès que possible afin de limiter les risques d'exploitation.

    En fonction de la disponibilité de correctifs immédiats, l'entreprise propose deux options : 
    • La mise à jour des apps affectées vers la dernière version.
    ou 
    • Les désactiver complètement.

    En dehors de cela, il convient de noter qu'une vulnérabilité d'Atlassian Confluence qui a été activement exploitée l'année dernière pour installer des mineurs de cryptocurrency était un bug critique d'exécution de code à distance.

    Jira Atlassian Originale Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 26 avril, 2022

    Le logiciel malveillant Emotet infecte à nouveau les utilisateurs après avoir réparé un programme d'installation défectueux.

    La campagne d'hameçonnage (aussi appelé Phishing) du logiciel malveillant Emotet est à nouveau en cours après que les acteurs malicieux ont corrigé un bug empêchant les personnes d'être infectées lorsqu'elles ouvrent les pièces jointes d'un mail malveillant.

    Emotet est une infection par un logiciel malveillant distribué par des campagnes de spam avec des pièces jointes malveillantes. Si un utilisateur ouvre la pièce jointe, des macros ou des scripts malveillants vont télécharger la DLL Emotet et la charger en mémoire.

    Une fois chargé, le logiciel malveillant recherche et vole des e-mails pour les utiliser dans de futures campagnes de spam et déposer des charges utiles supplémentaires telles que Cobalt Strike ou d'autres logiciels malveillants qui conduisent généralement à des attaques de type ransomware.

    Joseph Roosen, chercheur d'Intel471, a déclaré qu'Emotet a arrêté la nouvelle campagne d'e-mails vers 00h00 UTC vendredi après avoir découvert que le bug empêchait les utilisateurs d'être infectés. Malheureusement, Emotet a corrigé le bug aujourd'hui et, une fois de plus, a commencé à spammer les utilisateurs avec des e-mails malveillants contenant des fichiers zip protégés par mot de passe et des raccourcis en pièces jointes.

    Recommandations COMPUTERLAND

    Si vous recevez un e-mail contenant des pièces jointes similaires protégées par un mot de passe, il est fortement conseillé de ne pas les ouvrir.

    Contactez plutôt votre administrateur réseau ou la sécurité et laissez-le examiner la pièce jointe pour déterminer si elle est malveillante ou non.

    La société de sécurité des e-mails Cofense a déclaré que les noms de pièces jointes utilisés dans les campagnes Emotet d'aujourd'hui sont :
    form.zip
    Form.zip
    Electronic form.zip
    PO 04252022.zip
    Form - Apr 25, 2022.zip
    Payment Status.zip
    BANK TRANSFER COPY.zip
    Transaction.zip
    ACH form.zip
    ACH payment info.zip


    BleepingComputer Alerte Origniale

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 20 avril, 2022

    Les États-Unis et leurs alliés mettent en garde contre la menace que représente le piratage russe pour les infrastructures essentielles.

    Aujourd'hui, les autorités de cybersécurité du Five Eyes ont mis en garde les défenseurs des réseaux d'infrastructures critiques contre le risque accru que des groupes de pirates soutenus par la Russie puissent cibler des organisations à l'intérieur et à l'extérieur des frontières de l'Ukraine.

    L'avertissement émane des agences de cybersécurité des États-Unis, de l'Australie, du Canada, de la Nouvelle-Zélande et du Royaume-Uni, dans un avis conjoint sur la cybersécurité contenant des informations sur les opérations de piratage soutenues par l'État russe et de ses groupes de cybercriminels affiliés à la Russie.

    "Les organisations d'infrastructures critiques doivent maintenir un état d'alerte élevé contre les cybermenaces russes. Restez vigilants et suivez les mesures d'atténuation de notre avis conjoint pour renforcer vos réseaux informatiques dès maintenant", a averti la NSA aujourd'hui.

    Recommandations COMPUTERLAND

    Mesures recommandées pour protéger les réseaux contre les cybermenaces criminelles et parrainées par l'État russe, notamment les ransomwares, les logiciels malveillants destructeurs, les attaques DDoS et le cyberespionnage.

    Il est conseillé de donner immédiatement la priorité:
    1. Aux correctifs des vulnérabilités activement exploitées,
    2. D'appliquer l'authentification multifactorielle (MFA),
    3. De sécuriser et de surveiller le protocole de bureau à distance (RDP),
    4. Et de sensibiliser et former les utilisateurs aux menaces et la cybersécurité.

    Version originale : CISA, FBI, NSA, and International Partners Issue Advisory on Demonstrated Threats and Capabilities of Russian State-Sponsored and Cyber Criminal Actors > National Security Agency/Central Security Service > Article

    CISA Originale Alerte - Geopolitique

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 19 avril, 2022

    Des bugs dans le pilote du micrologiciel UEFI de Lenovo affectent plus de 100 modèles d'ordinateurs portables

    Lenovo a publié un avis de sécurité concernant des vulnérabilités qui ont un impact sur son interface de micrologiciel extensible unifié (UEFI) chargée sur au moins 100 de ses modèles d'ordinateurs portables.

    Trois problèmes de sécurité ont été découverts, deux d'entre eux permettant à un attaquant de désactiver la protection de la puce mémoire flash SPI où est stocké le micrologiciel UEFI et de désactiver la fonction de démarrage sécurisé UEFI, qui garantit que le système ne charge au démarrage que le code approuvé par le fabricant de l'équipement d'origine (OEM).

    L'exploitation réussie d'une troisième, identifiée comme CVE-2021-3970, pourrait permettre à un attaquant local d'exécuter du code arbitraire avec des privilèges élevés.

    Les trois vulnérabilités ont été découvertes par les chercheurs d'ESET et signalées de manière responsable à Lenovo en octobre de l'année dernière. Elles affectent plus de 100 modèles d'ordinateurs portables grand public, notamment IdeaPad 3, Legion 5 Pro-16ACH6 H et Yoga Slim 9-14ITL05, ce qui se traduit probablement par des millions d'utilisateurs disposant d'appareils vulnérables.

    Pilotes ajoutés par erreur
    Les chercheurs d'ESET préviennent que les deux vulnérabilités liées à l'UEFI (CVE-2021-3971 et CVE-2021-3972) peuvent être utilisées par des attaquants pour "déployer et exécuter avec succès des implants SPI flash ou ESP."

    Les deux problèmes de sécurité liés à l'UEFI dans les produits Lenovo résultent de l'introduction en production de deux pilotes de firmware UEFI - judicieusement nommés SecureBackDoor et SecureBackDoorPeim - qui ne sont utilisés que pendant le processus de fabrication.

    Un avis de sécurité de Lenovo décrit les vulnérabilités comme suit :
    CVE-2021-3971 : Une vulnérabilité potentielle d'un pilote utilisé au cours d'anciens processus de fabrication sur certains ordinateurs portables Lenovo grand public, inclus par erreur dans l'image du BIOS, pourrait permettre à un attaquant disposant de privilèges élevés de modifier la région de protection du micrologiciel en modifiant une variable NVRAM.
    CVE-2021-3972 : Une vulnérabilité potentielle d'un pilote utilisé pendant le processus de fabrication de certains ordinateurs portables Lenovo grand public, qui n'a pas été désactivé par erreur, peut permettre à un attaquant disposant de privilèges élevés de modifier le paramètre de démarrage sécurisé en modifiant une variable NVRAM.

    Une liste complète des modèles d'ordinateurs portables Lenovo concernés par chacune des trois vulnérabilités est disponible ici: https://support.lenovo.com/ro/en/product_security/len-73440#Lenovo%20Notebook  .
     

    Recommandations COMPUTERLAND

    Pour se protéger contre les attaques provenant des vulnérabilités ci-dessus, Lenovo recommande aux utilisateurs des appareils concernés de mettre à jour la version du micrologiciel du système avec la dernière version disponible.

    Cela peut être fait en installant la mise à jour manuellement à partir de la page d'assistance de l'appareil ou à l'aide des utilitaires de mise à jour des pilotes système fournis par l'entreprise.
    Voir le site officiel: https://support.lenovo.com/ro/en/solutions/ht504759  

    Lenovo Originale Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 19 avril, 2022

    Les attaquants exploitent maintenant le bug de Windows Print Spooler.

    L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a ajouté trois nouvelles failles de sécurité à sa liste de bogues activement exploités, dont un bug d'élévation locale des privilèges dans le spouleur d'impression de Windows.

    Cette vulnérabilité de haute gravité (suivie sous le nom de CVE-2022-22718) affecte toutes les versions de Windows selon l'avis de Microsoft et a été corrigée lors du Patch Tuesday de février 2022.

    La seule information que Microsoft a partagée au sujet de cette faille de sécurité est que les acteurs de la menace peuvent l'exploiter localement dans des attaques peu complexes sans interaction avec l'utilisateur.

    Redmond a corrigé plusieurs autres bugs de Windows Print Spooler au cours des 12 derniers mois, notamment la vulnérabilité critique d'exécution de code à distance PrintNightmare.

    Après la fuite accidentelle de détails techniques et d'un exploit de type "proof-of-concept" (POC) pour PrintNightmare,  les administrateurs sont priés de désactiver le service Windows Print Spooler sur les contrôleurs de domaine et les systèmes non utilisés pour l'impression afin de bloquer les attaques potentielles.
     

    Recommandations COMPUTERLAND

    COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter l'avis de sécurité de Microsoft et d'installer la mise à jour concernant la vulnérabilité CVE-2022-22718 désormais activement exploitée, et bloquer les tentatives d'exploitation en cours. Par conséquent, toute organisation doit appliquer les mises à jour de sécurité de Windows dès que possible.

    N.B: Si vous n'avez pas de solution pour le patch management, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et SDM à votre service.



    Microsoft Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 18 avril, 2022

    Le nouveau piratage de l'archiveur 7-Zip révèle une vulnérabilité Windows longtemps ignorée

    Les dernières versions de 7-Zip contiennent une vulnérabilité (CVE-2022-29072) qui permet aux pirates d'obtenir des privilèges administratifs sur un système. Mais cette vulnérabilité, qui exploite le fichier d'aide de 7-Zip, devrait alarmer tous les utilisateurs de Windows, car elle met en évidence un problème séculaire sur les systèmes Windows.

    Une vulnérabilité d'élévation de privilèges dans l'outil de compression de fichiers probablement le plus utilisé laisse les portes grandes ouvertes aux acteurs de la menace. Le jour zéro appelé CVE-2022-29072 résulte d'une mauvaise configuration de 7z.dll et d'un débordement de tas. Le défaut de la version 21.07 de Windows accorde aux pirates un accès non autorisé aux systèmes violés lorsqu'un fichier portant l'extension .7z est placé dans la zone Aide > Contenu. La commande génère un processus enfant sous le processus 7zFM.exe.

    La vulnérabilité est exploitée depuis le 12 avril 2022 et, à l'heure actuelle, aucun correctif n'est disponible pour corriger le bug. Le bon côté des choses est qu'il suffit de supprimer le fichier 7-zip.chm dans le répertoire d'installation de 7-Zip pour remédier à ce problème. Après cette simple procédure, les cyber-escrocs ne peuvent plus exploiter la faille CVE-2022-29072.
     

    Recommandations COMPUTERLAND

    Etre prudent avec ce logiciel, utiliser la mitigation mentioné et dès qu'il y a une mise à jour, faite le via leur site officiel : 7-Zip. Il existe d'autres alternative pour ce genre de logiciel d'archivage.

    7-Zip Alert faille CVE-2022-29072 [news]

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 15 avril, 2022

    Une vulnérabilité de Cisco permet aux pirates de créer leurs propres informations d'identification.

    Cisco a publié un avis de sécurité pour avertir d'une vulnérabilité critique (score CVSS v3 : 10.0), repérée sous le nom de CVE-2022-20695, ayant un impact sur le logiciel Wireless LAN Controller (WLC). 

    La faille de sécurité permet à des attaquants distants de se connecter à des périphériques cibles via l'interface de gestion sans utiliser de mot de passe valide.

    Le bug implique l'implémentation incorrecte de l'algorithme de validation du mot de passe, ce qui permet de contourner la procédure d'authentification standard sur les configurations de périphérique non par défaut.

    Cette vulnérabilité affecte les produits Cisco suivants s'ils exécutent le logiciel Cisco WLC version 8.10.151.0 ou 8.10.162.0 et si la compatibilité macfilter radius est configurée comme Autre :

    Contrôleur sans fil 3504
    Contrôleur sans fil 5520
    Contrôleur sans fil 8540
    Mobility Express
    Contrôleur sans fil virtuel (vWLC)
     

    Recommandations COMPUTERLAND

    Cisco a fourni deux solutions de contournement possibles pour ceux qui ne peuvent pas mettre à jour le contrôleur LAN sans fil.
    1. La première option consiste à réinitialiser le mode "macfilter radius compatibility" à la valeur par défaut en lançant la commande suivante : "config macfilter radius-compat cisco".
    2. La deuxième option serait de changer la configuration pour d'autres modes sûrs, tels que "free", en utilisant la commande suivante : "config macfilter radius-compat free".
    Au moment où nous écrivons ces lignes, Cisco n'a pas connaissance d'une exploitation active de la vulnérabilité.

     

    Cisco Originale Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 14 avril, 2022

    La mise à jour d'urgence de Google Chrome corrige le jour zéro utilisé dans les attaques

    Google a publié Chrome 100.0.4896.127 pour Windows, Mac et Linux, afin de corriger une vulnérabilité de type "zero-day" de haute gravité, activement utilisée par les acteurs de la menace dans des attaques.

    "Google est conscient qu'un exploit pour CVE-2022-1364 existe dans la nature", a déclaré Google dans un avis de sécurité publié aujourd'hui.
     

    Recommandations COMPUTERLAND

    Bien que Google indique que cette mise à jour de Chrome sera déployée au cours des prochains jours/semaines, les utilisateurs peuvent la recevoir immédiatement en allant dans le menu Chrome > Aide > À propos de Google Chrome.

    Le navigateur vérifiera également automatiquement la présence de nouvelles mises à jour et les installera la prochaine fois que vous fermerez et relancerez Google Chrome.

    Alerte de Google originale

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 14 avril, 2022

    Mise à jour Critique - Windows RPC - CVE-2022-26809

    Microsoft a corrigé une nouvelle vulnérabilité Windows RPC CVE-2022-26809 de type zéro day exploitable et qui a un score de sécurité de 9.8, cette mise à jour suscite l'inquiétude des chercheurs en sécurité en raison de son potentiel de cyberattaques importantes et étendues une fois qu'un exploit est développé.
    Impact et mitigation.

    Si vous êtes arrivé jusqu'ici, vous avez probablement déjà souscrit à l'idée de fermer les ports 135/139/445 sur votre pare-feu. En général, vous ne devriez autoriser l'ouverture que des ports qui sont utilisés plutôt que de bloquer des ports spécifiques "dangereux".
     
    Mais le blocage du trafic SMB en interne est plus délicat. Les récents exploits SMB (rappelez-vous WannaCry qui a profité de la vulnérabilité EternalBlue) ont montré à quel point ces exploits pouvaient être efficaces pour se déplacer latéralement dans les réseaux. 
     
    Les conseils de Microsoft pour sécuriser le trafic SMB (dont le lien figure dans son avis de sécurité) sont également fortement axés sur les règles de pare-feu.

    Cependant, même si les administrateurs bloquent les ports 445 et 135 au niveau du périmètre, cela ne suffit pas. En effet, à moins que des mises à jour de sécurité ne soient installées, les dispositifs seront toujours vulnérables en interne aux acteurs de la menace qui compromettent un réseau.

    Recommandations COMPUTERLAND

    COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter l'avis de sécurité de Microsoft et d'installer la mise à jour. Par conséquent, toute organisation doit appliquer les mises à jour de sécurité de Windows dès que possible d'avril 2022.

    N.B: Si vous n'avez pas de solution pour le patch management, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et SDM à votre service.



    Microsoft Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 13 avril, 2022

    Microsoft corrige la faille de Windows attaquée et signalée par la NSA

    Microsoft a publié aujourd'hui 128 correctifs dans un total de 145 CVE ce mois-ci pour des failles de sécurité dans Windows, Defender, Edge, Exchange Server, Office, SharePoint, le serveur DNS, Windows Print Spooler, et d'autres logiciels.

    Une faille d'élévation de privilège dans le pilote du système de fichiers de log commun de Windows CVE-2022-24521 est déjà exploitée dans la nature, et a été signalée à Microsoft par la National Security Agency et des chercheurs de CrowdStrike. "Comme cette vulnérabilité ne permet qu'une élévation de privilèges, elle est probablement associée à un autre bug du code d'exécution ", écrit ZDI dans son analyse du lot de correctifs Microsoft d'avril. "Il n'est pas précisé dans quelle mesure l'exploit est utilisé dans la nature, mais il est probablement encore ciblé à ce stade et n'est pas largement disponible. Allez corriger vos systèmes avant que la situation ne change."

    Il y a 10 vulnérabilités critiques parmi les mises à jour de sécurité d'aujourd'hui, dont deux qui, selon ZDI, pourraient être exploitées comme des vers : un bug d'exécution de code à distance dans la bibliothèque d'exécution RPC (CVE-2022-26809) et une faille du code d'exécution à distance dans le système de fichiers réseau Windows (CVE-2022-24491/24497).

    Toutes les versions client et serveur de Windows prises en charge sont affectées par au moins 4 problèmes de sécurité critiques.
    • Nous examinons pour vous de plus près certaines des mises à jour les plus intéressantes de ce mois-ci :

    -       CVE-2022-26809 - RPC Runtime Library Remote Code Execution Vulnerability
    Ce bug est classé CVSS 9.8, et l'indice d'exploitation note que l'exploitation est plus probable. La vulnérabilité pourrait permettre à un attaquant distant d'exécuter du code avec des privilèges élevés sur un système affecté. Puis qu'aucune interaction de l'utilisateur n'est requise, ces facteurs se combinent pour rendre cette vulnérabilité wormable, au moins entre les machines où le RPC peut être atteint. Cependant, le port statique utilisé ici (port TCP 135) est généralement bloqué au niveau du périmètre du réseau. Néanmoins, ce bug pourrait être utilisé pour un mouvement latéral par un attaquant. Il faut absolument le tester et le déployer rapidement.
    -       CVE-2022-24491/24497 – Windows Network File System Remote Code Execution Vulnerability
    En parlant de bogues presque vermoulus, ces deux vulnérabilités NFS obtiennent également une note CVSS de 9,8 et sont répertoriées comme étant plus susceptibles d'être exploitées. Sur les systèmes où le rôle NFS est activé, un attaquant distant pourrait exécuter son code sur un système affecté avec des privilèges élevés et sans interaction de l'utilisateur. Là encore, il s'agit d'un bug transmissible, du moins entre serveurs NFS. Comme pour le RPC, il est souvent bloqué au niveau du périmètre du réseau. Cependant, Microsoft fournit des conseils sur la façon dont le multiplexeur de port RPC (port 2049) "est compatible avec les pares-feux et simplifie le déploiement de NFS." Vérifiez vos installations et déployez rapidement ces correctifs.
    -       CVE-2022-26815 - Windows DNS Server Remote Code Execution Vulnerability
    Cette vulnérabilité est la plus grave des 18 ( !) bug de serveurs DNS qui ont reçu des correctifs ce mois-ci. Ce bug est également très similaire à celui qui a fait l'objet d'un correctif en février, ce qui amène à se demander si ce bug n'est pas le résultat de l'échec d'un correctif. Il y a quelques mesures d'atténuation importantes à souligner ici. La première est que les mises à jour dynamiques doivent être activées pour qu'un serveur soit affecté par ce bug. Le CVSS indique également un certain niveau de privilèges à exploiter. Néanmoins, toute chance pour un attaquant d'obtenir un RCE sur un serveur DNS est une chance de trop, alors faites patcher vos serveurs DNS.
    -       CVE-2022-26904 - Windows User Profile Service Elevation of Privilege Vulnerability
    Il s'agit de l'un des bugs connus et corrigés ce mois-ci, et non seulement il existe un PoC pour cette vulnérabilité, mais également un module Metasploit. Cette vulnérabilité d'élévation de privilèges permet à un attaquant d'obtenir l'exécution de code au niveau SYSTEM sur les systèmes affectés. Il aurait, bien sûr, besoin d'un certain niveau de privilèges avant de pouvoir procéder à l'escalade. C'est pourquoi ces types de bugs sont souvent associés à des bugs d'exécution de code comme ceux d'Adobe Reader (mentionnés ci-dessus) pour prendre le contrôle total d'un système.
     

    Recommandations COMPUTERLAND

    COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter les avis de sécurité de Microsoft et d'installer les mises à jour.

    N.B: Si vous n'avez pas de solution pour le patch management, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et SDM à votre service. 



    Microsoft Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 11 avril, 2022

    WatchGuard exploité par des pirates informatiques russes.

    COMPURTERLAND exhorte toutes les organisations à mettre en place des correctifs pour un bogue activement exploité ayant un impact sur les appliances de pare-feu WatchGuard Firebox et XTM.

    Sandworm, un groupe de pirates sponsorisé par la Russie, qui ferait partie de l'agence de renseignement militaire russe GRU, a également exploité cette faille d'escalade de privilèges de haute gravité (CVE-2022-23176) pour construire un nouveau botnet baptisé Cyclops Blink à partir de périphériques réseau WatchGuard Small Office/Home Office (SOHO) compromis.

    "Les appliances WatchGuard Firebox et XTM permettent à un attaquant distant disposant d'informations d'identification non privilégiées d'accéder au système avec une session de gestion privilégiée via un accès de gestion exposé ", explique la société dans un avis de sécurité classant le bogue à un niveau de menace critique.

    Plus d'information: CISA warns orgs of WatchGuard bug exploited by Russian state hackers (bleepingcomputer.com)

    Recommandations COMPUTERLAND

    COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter les avis de sécurité de WatchGuard et d'installer les mises à jour. 

    - Améliorations et problèmes résolus dans la mise à jour WatchGuard Fireware version 12.8 for Fireboxes

    WatchGuard Originale Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 7 avril, 2022

    VMware publie des mises à jour de sécurité

    VMware a publié des mises à jour de sécurité pour corriger les vulnérabilités de plusieurs produits. Un attaquant pourrait exploiter certaines de ces vulnérabilités pour prendre le contrôle d'un système affecté. 

    Les entreprises utilisant WMWARE doivent prendre connaissance de l'avis de sécurité publié, qui contient des versions de correctifs pour les produits suivant :

    VMware Workspace ONE Access (Access)
    VMware Identity Manager (vIDM)
    VMware vRealize Automation (vRA)
    VMware Cloud Foundation
    vRealize Suite Lifecycle Manager
    VMware Horizon Client for Linux

    Recommandations COMPUTERLAND

    COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter les avis de sécurité VMware VMSA-2022-0011 et VMSA-2022-0012 et à appliquer les mises à jour nécessaires. 

    VMWare Alerte Originale

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 6 avril, 2022

    Citrix publie des mises à jour de sécurité pour son hyperviseur

    Citrix a publié des mises à jour de sécurité pour corriger une vulnérabilité dans Hypervisor. Un attaquant pourrait exploiter cette vulnérabilité pour provoquer un déni de service (DoS).

    Recommandations COMPUTERLAND

    COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter la mise à jour de sécurité Citrix CTX390511 et à appliquer les mises à jour nécessaires.

    Citrix a publié des correctifs pour résoudre ce problème. Citrix recommande aux clients concernés d'installer ces correctifs dès que leur calendrier de mise à jour le permet.  

    Les correctifs peuvent être téléchargés à partir des emplacements suivants :
    Citrix Hypervisor 8.2 CU1 LTSR : CTX376976 - https://support.citrix.com/article/CTX376976
    Citrix Hypervisor 8.2 : CTX376939 - https://support.citrix.com/article/CTX376939
    Citrix XenServer 7.1 CU2 LTSR : CTX376940 - https://support.citrix.com/article/CTX376940
     

    Citrix Originale Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 1 avril, 2022

    Spring Framework/Spring Cloud Function. Java

    L'objectif de cette alerte est d'attirer l'attention sur 2 vulnérabilités dans le Spring Framework/Spring Cloud Function.

    Le Framework Spring est largement utilisé par les applications d'entreprise et les services en nuage. Spring est un cadre d'application léger de la plateforme Java couramment utilisé qui permet aux développeurs de développer facilement des applications Java avec des fonctionnalités de niveau entreprise.

    Spring Cloud Function est un cadre de calcul de fonctions basé sur Spring Boot, et est mis en œuvre par de nombreux géants de la technologie, notamment Apache OpenWhisk, AWS Lambda, Google Cloud Functions, MS Azure et d'autres fournisseurs de services sans serveur.

    Un attaquant distant non authentifié peut exploiter la vulnérabilité. Une exploitation réussie pourrait conduire à un système entièrement compromis. Les deux vulnérabilités sont connues pour être activement exploitées dans la nature.


    Recommandations COMPUTERLAND

    COMPUTERLAND recommande aux administrateurs système d'appliquer des correctifs aux systèmes vulnérables dès que possible et d'analyser les journaux du système et du réseau pour détecter toute activité suspecte.

    Les actions recommandées sont axées sur la vulnérabilité de Spring4shell
    Créez un inventaire qui inclut tous les logiciels de votre organisation et vérifiez pour chaque entrée si le framework Spring est implémenté.

    Veuillez noter que cette vulnérabilité peut également se produire dans des logiciels développés sur mesure au sein de votre organisation, ainsi que dans des suites logicielles de fournisseurs traditionnels.

    Pour éviter que la bibliothèque ne soit exploitée, il est recommandé de corriger les logiciels vulnérables le plus rapidement possible.
    Les correctifs sont disponibles via Spring.io 

    - Spring Framework versions 5.3.18 et 5.2.20
    - Spring Boot versions 2.5.12 et 2.6.6
    - Tomcat versions 10.0.20, 9.0.62, et 8.5.78

    Les entreprises utilisant ces produits doivent prendre connaissance de l'avis de sécurité publié, qui contient des versions de correctifs et logiciels impactés  https://github.com/NCSC-NL/spring4shell
     

    Spring4Shell Original Alerte

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter
  • 29 mars, 2022

    Vulnérabilité à l'exécution de code à distance du pare-feu Sophos

    Sophos a récemment divulgué une vulnérabilité de niveau critique affectant le pare-feu Sophos version 18.5 MR3 (18.5.3) et antérieures. Cette vulnérabilité permet l'exécution de code à distance (RCE), c'est-à-dire lorsqu'un acteur malveillant accède à distance au portail utilisateur ou à l'interface Webadmin du pare-feu pour contourner l'authentification et exécuter du code arbitraire. 

    Recommandations COMPUTERLAND

    • Les entreprises utilisant des pare-feu Sophos doivent prendre connaissance de l'avis de sécurité publié, qui contient des versions de correctifs pour les appareils en fin de vie pris en charge et non pris en charge. 
    • Vérifiez et configurez votre appareil à l'aide du guide des meilleures pratiques d'accès aux appareils de Sophos. 
    Si cette option est désactivée, pensez à activer l'option "Autoriser l'installation automatique des correctifs" pour appliquer automatiquement les correctifs lorsqu'ils sont publiés.

    En savoir plus

     
    Besoin d'aide?

    Je suis déjà client et je souhaite faire une demande d'assistance

      Je crée un ticket

    Je ne suis pas encore client et je souhaite vous contacter

      Nous contacter

ALLEUR

Avenue de l'informatique 9
4432 Alleur - Belgique
+32(0)800 12 512

GOSSELIES

Avenue Georges Lemaître 54
6041 Charleroi - Belgique
+32(0)800 12 512

LUXEMBOURG

89E Parc d’Activités Capellen - West Side Village L- 8308 Capellen
+352 26 59 06 86

TOP