Post de RISKINTEL MEDIA

Faille de sécurité Microsoft - Récupérer des hashs NTLM via une invitation Outlook La vulnérabilité récemment corrigée (CVE-2023-35636) dans Microsoft Outlook a soulevé des préoccupations majeures en matière de sécurité informatique. Détectée par le chercheur Dolev Taler et son équipe de Varonis Threat Labs, cette faille permettait aux attaquants de dérober les hashs NTLM v2 des utilisateurs. Bien que la CVE-2023-35636 ait été corrigée, deux autres vulnérabilités, considérées par Microsoft comme ayant une gravité "modérée" et restent non corrigées. Comment les attaquants peuvent-ils utiliser les hash NTLM v2 volés ? Les hashs NTLM v2 compromis peuvent être utilisés pour des attaques de relais d'authentification ou être soumis à une attaque de force brute hors ligne. Dans les deux cas, l'acteur de la menace peut s'authentifier en tant qu'utilisateur et accéder à des systèmes et ressources d'entreprise sensibles. Dans les attaques de relais d'authentification, les demandes d'authentification NTLM v2 de l'utilisateur sont interceptées et transmises à un serveur différent. La machine de la victime enverra ensuite la réponse d'authentification au serveur de l'attaquant, et celui-ci pourra utiliser ces informations pour s'authentifier sur le serveur prévu de la victime. Trois méthodes par lesquelles les attaquants pourraient exploiter ces hachages NTLM v2, notamment par le biais des vulnérabilités dans Microsoft Outlook, en utilisant des d'URI handlers et WPA (Windows Performance Analyzer) et en utilisant Windows File Explorer. La vulnérabilité d'Outlook, était particulièrement critique, exploitant la capacité du logiciel à partager des calendriers entre utilisateurs. Un attaquant crée une invitation par courriel pour la victime, pointant le chemin du fichier '.ICS' vers la machine contrôlée par l'attaquant. L'acteur de la menace peut obtenir des paquets de tentatives de connexion contenant le hash utilisé pour tenter d'accéder à cette ressource En ouvrant l'invitation la machine victime tentera de récupérer le fichier de configuration sur la machine de l'attaquant, exposant le hash NTLM.   Cependant, les deux autres vulnérabilités demeurent non corrigées, laissant les systèmes vulnérables aux attaques visant à voler des mots de passe hashés. Microsoft a exprimé son engagement à réduire l'utilisation du protocole NTLM et envisage même de le désactiver complètement dans Windows 11. En attendant, les organisations peuvent prendre des mesures pour se protéger, notamment en activant la signature SMB, bloquant l'authentification sortante NTLM v2, et en privilégiant l'authentification Kerberos lorsque possible. Les utilisateurs et les organisations sont encouragés à mettre en œuvre ces recommandations de sécurité pour renforcer leur posture contre les attaques potentielles. #Cybersécurité #Microsoft #Vulnérabilités #SécuritéInformatique

🚨 Alerte cybersécurité : Une cyberattaque mondiale vise Windows et macOS ! Une nouvelle menace informatique de grande envergure a été découverte, ciblant à la fois les systèmes Windows et macOS. Voici ce que vous devez savoir : 🔑 Points clés : 🔒 La cyberattaque exploite une faille dans le gestionnaire de mots de passe KeePass 🌍 Des victimes ont été identifiées dans plus de 111 pays 💼 Les secteurs les plus touchés sont la technologie, la fabrication et la finance 🕵️ L'attaque est attribuée au groupe de hackers chinois "Winnti" 📊 Ampleur de l'attaque : 🔢 Plus de 3,5 millions d'adresses IP compromises 🖥️ 90% des systèmes ciblés sont sous Windows, 10% sous macOS 💰 Les cybercriminels ont dérobé des données sensibles et des informations financières 🛡️ Recommandations : 🔄 Mettez à jour immédiatement vos logiciels et systèmes d'exploitation 🔐 Renforcez la sécurité de vos mots de passe 🚫 Méfiez-vous des emails et liens suspects Cette cyberattaque mondiale nous rappelle l'importance cruciale de la cybersécurité dans notre monde numérique. Restons vigilants et protégeons nos données ! #Cybersécurité #Cyberattaque #ProtectionDesDonnées https://lnkd.in/ePcPVjGv

Cette semaine, un cybercriminel a modifié le mot de passe de notre #GitLab. Il semble avoir exploité une vulnérabilité qui lui a permis d'envoyer le lien de réinitialisation à n'importe quelle adresse courriel. Pour en savoir plus sur cette faille, vous pouvez consulter le lien suivant : https://lnkd.in/eT_39ZDn. Nous avons publié un article de blog détaillant cette faille de sécurité majeure dans certaines versions de GitLab, ainsi qu'une alerte de sécurité critique et des mesures à prendre pour éviter les conséquences. Vous pouvez lire l'article ici : https://lnkd.in/ey4DinKf Quelques conseils pratiques en résumé : 1 - Activez l'authentification à deux niveaux ; 2 - Effectuez les mises à jour recommandées en suivant les conseils fournis dans le lien GitLab. 3 - Restez vigilent. #sécurite #siteweb

📢 L'informatique c'est fantastique et la cyber c'est super.📌 Les ransomwares deviennent de plus en plus diversifiés et dangereux. Certains, comme Eldorado, sont personnalisables et accessibles à des cybercriminels peu expérimentés, leur permettant de cibler des systèmes Windows et Linux avec une efficacité redoutable. D'autres s'appuient sur des réseaux complexes, comme ceux démantelés lors de l'opération “Endgame” d'Europol, qui a permis de neutraliser plus de 100 serveurs utilisés pour propager ces logiciels malveillants.

🎓 Qu’est-ce que l’attaque ASREPRoast en environnement Active Directory ? Comment réaliser cette attaque et comment se protéger ? Voici ce que vous devez savoir ! 👇 Ce nom ne vous dit peut-être rien, mais il s'agit d'un défaut de configuration fréquent dans l'Active Directory. L'attaque ASREPRoast permet à un attaquant situé sur un réseau d'entreprise possédant un domaine de compromettre rapidement un compte utilisateur, et ainsi de passer d'un mode opératoire boite noire (attaque sans identifiants valides, juste une connexion au réseau) à un mode boite grise (attaque depuis un compte valide sur le domaine). Le passage d'un mode boite noire à boite grise change en général la donne de façon très importante lors d'une cyberattaque, car l'accès authentifié au domaine permet d'en extraire beaucoup d'informations. L'objectif de cet article est de vous expliquer en détail cette vulnérabilité. Nous allons notamment voir comment elle peut être introduite sur un Active Directory, comment un attaquant peut l'exploiter et comment un défenseur peut l'identifier et la corriger. #sysadmin #cybersécurité #informationsecurity via IT-Connect https://lnkd.in/gRXtemjS

⚡ 𝑺𝑻𝑶𝑷, 𝒍𝒆 𝒓𝒂𝒏𝒔𝒐𝒎𝒘𝒂𝒓𝒆 𝒍𝒆 𝒑𝒍𝒖𝒔 𝒖𝒕𝒊𝒍𝒊𝒔𝒆́ 𝒑𝒂𝒓 𝒍𝒆𝒔 𝒉𝒂𝒄𝒌𝒆𝒓𝒔 𝒅𝒐𝒏𝒕 𝒗𝒐𝒖𝒔 𝒏'𝒂𝒗𝒆𝒛 𝒑𝒓𝒐𝒃𝒂𝒃𝒍𝒆𝒎𝒆𝒏𝒕 𝒋𝒂𝒎𝒂𝒊𝒔 𝒆𝒏𝒕𝒆𝒏𝒅𝒖 𝒑𝒂𝒓𝒍𝒆𝒓 ! 💥 Le #ransomware #STOP, favori des hackers depuis 2018, a récemment été mis à jour, alertant les chercheurs de SonicWall. 💥 La dernière version déploie le ransomware en plusieurs étapes, le rendant indétectable aux antivirus. Bien que STOP ne vole pas de données personnelles et que les rançons soient faibles, il est préoccupant en raison du grand nombre de victimes potentielles. 💥 Le ransomware est distribué par le biais de publicités malveillantes, de sites Web clandestins et de forums du dark web, et ses victimes sont souvent des utilisateurs lambda qui recherchent des logiciels piratés. 💥Bien que peu médiatisé, STOP est l'un des ransomwares les plus répandus. Ses développeurs n'ont pas étendu ses fonctionnalités de manière significative au fil des ans.

La cybersécurité est plus cruciale que jamais. 🚨 Découvrez comment une nouvelle vulnérabilité dans MOVEit déclenche des tentatives de piratage et pourquoi il est impératif de mettre à jour vos systèmes immédiatement. 🚀 En parallèle, Microsoft a retiré la mise à jour Windows 11 KB5039302 en raison de boucles de redémarrage, une situation à suivre de près pour éviter les interruptions. Enfin, le botnet P2PInfect basé sur Rust ne cesse d'évoluer, intégrant désormais des charges utiles de mineurs et de ransomwares. 🌐 Restez informés et protégez vos infrastructures. 💪 #cybersécurité #vulnérabilités #technologie #entreprises 🔗 https://lnkd.in/ea-E_vSD

🛑 Cette faille de sécurité critique dans FortiClient EMS permet d’exécuter du code à distance en tant que SYSTEM ! Elle est activement exploitée par les cybercriminels. N'hésitez pas à partager. ➡️ En savoir plus : https://lnkd.in/eZx7pC4U #cybersecurite #infosec #infosec

*Attaque du DNSC : Une faille dans la sécurité ?* Le 31 janvier 2024, le DNSC (Direction Nationale de la Sécurité des Communications) a été victime d'une attaque de hackers. Selon les informations, le site web de la Direction a été inondé d'accès simultanés, mais le ministre Bogdan Ivan assure que les hackers n'ont pas réussi à voler des documents sensibles, contrairement à ce qui s'est passé au Parlement. *Erreur humaine ou faille technique ?* Le ministre Bogdan Ivan attribue cette attaque à une erreur humaine et à l'utilisation de Windows 7, un système d'exploitation obsolète. Cependant, cette explication soulève des questions : - Comment une erreur humaine peut-elle entraîner une attaque de cette ampleur ? - Pourquoi le DNSC utilise-t-il encore Windows 7, un système d'exploitation non supporté depuis 2020 ? *Conséquences et mesures à prendre* Bien que les hackers n'aient pas réussi à voler des documents sensibles, cette attaque montre la vulnérabilité du DNSC face aux cybermenaces. Il est essentiel de prendre des mesures pour renforcer la sécurité des systèmes informatiques et protéger les données sensibles. Je vous invite à partager vos réflexions et vos questions sur ce sujet. Quelles mesures pensez-vous que le DNSC devrait prendre pour améliorer sa sécurité ? #Cybersécurité #DNSC #Attaque #Hackers #ErreurHumaine #Windows7 #SécuritéInformatique #ProtectionDesDonnées

🚨🔒 Alerte Sécurité : Menace Imminente sur la Sécurité Bancaire avec un Nouveau Malware! 🔒🚨 Dans notre ère numérique 🌐, la sécurité de nos informations bancaires est cruciale. Une récente révélation d'IBM met en lumière une menace alarmante : un malware ingénieux ciblant les codes à usage unique des banques 🏦, touchant déjà plus de 50 000 clients à travers le globe 🌍. Ce malware, exploitant un script JavaScript malicieux, est conçu pour siphonner les identifiants bancaires et, plus inquiétant encore, les mots de passe à usage unique. Cette attaque globale, affectant des clients en Amérique, Europe et Japon, démontre son envergure et sa sophistication 🕵️♂️. La planification de cette offensive a commencé bien avant son lancement, avec des cyberpirates se procurant des noms de domaine dès décembre 2022 pour héberger leur script malveillant. Cette menace souligne l'importance cruciale d'une vigilance constante et d'une sécurité accrue dans nos activités en ligne 💻. Pour plus d'informations sur cette attaque et des conseils pour sécuriser vos données, lisez l'article complet sur Mata-io.com. Soyons proactifs dans la protection de nos informations bancaires! 🛡️ #cybersécurité #malware #mataio #sécuritéInformatique #IBM