Scénario catastrophe pour l'éditeur : « nous avons pu obtenir un accès complet et sans restriction aux comptes et bases de données de plusieurs milliers de clients Microsoft Azure, y compris de nombreuses entreprises du Fortune 500 », affirme l’entreprise Wiz spécialisée dans la sécurité informatique.

La brèche a été ajoutée en 2019 avec la fonctionnalité Jupyter Notebook to Cosmos DB. Cette dernière a été activée par défaut pour toutes les nouvelles bases Cosmos DB en février 2021. Microsoft confirme, mais ajoute que, selon son enquête, « aucune donnée client n'a été accédée ». Les clients potentiellement concernés ont été prévenus. 

Microsoft accorde 40 000 dollars de récompense à Wiz pour avoir signalé cette faille de manière responsable (début août), lui laissant ainsi le temps de la corriger et de prévenir ses clients.

Selon l’entreprise, elle serait « presque trois fois plus importante que toutes les précédentes [attaques] » dont elle a connaissance. Afin de mieux situer l’ampleur de cette tentative de DDoS, Cloudflare affirme traiter « en moyenne plus de 25 millions de requêtes HTTP par seconde ». 17,2 millions de plus sur cet ordre de grandeur, c’est loin d’être négligeable.

« Cette attaque a été lancée par un puissant botnet, ciblant un client Cloudflare du secteur financier ». « En quelques secondes, le botnet a bombardé la périphérie de Cloudflare avec plus de 330 millions de requêtes d'attaque », explique l’entreprise. 20 000 bots de 125 pays auraient été mis à contribution.

De plus amples détails sont disponibles par ici. C’est l’occasion pour la société de mettre en avant ses systèmes de protection, notamment son « autonomous edge DDoS », qui a détecté et bloqué automatiquement cette tentative.

Le fabricant a confirmé à plusieurs de nos confrères avoir été la cible d’un piratage, mais sans entrer dans les détails. Bleeping Computer précise qu’il s‘agirait du ransomware RansomEXX et que 112 Go de données auraient été récupérées par les pirates, qui menacent de les publier si une rançon n’est pas payée. 

Selon les pirates, les documents contiendraient des informations sous NDA de géants comme Intel, AMD et American Megatrends. Mi-août, une première salve de documents (7 Go) a été mise en ligne.

C’est un peu le film d’horreur de l’été. Cette application de radio logicielle (SDR) disposait d’une backdoor permettant à son développeur – et à tous ceux disposant du mot de passe codé en dur – d’accéder au système avec des droits root… lui ouvrant ainsi une voie royale. 

La porte dérobée a été supprimée cet été, sans aucune mention dans les notes de version ni explications. De quoi inquiéter bon nombre d'utilisateurs de ce logiciel. Cette histoire illustre aussi le besoin d’auditer et vérifier le code des applications et le danger que représentent les portes dérobées. 

Chez les trois fabricants, une brèche datant de 2005 a fait surface, comme le rapporte Hacker News. Elle se trouve dans le pilote SSPORT.SYS. Elle est plutôt gênante puisqu’elle peut conduire à une élévation des privilèges et à l’exécution de code arbitraire.

Des correctifs ont été mis en ligne (pensez à installer les mises à jour) mais aucune trace ne laisse supposer que cette faille était activement exploitée. Chez Microsoft, c’est une nouvelle fois le spooler d’impression qui fait parler de lui.

C’était le second cauchemar en quelques jours : « Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire avec des privilèges SYSTÈME. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, créer des comptes dotés de tous les privilèges ».

Si ce n’est pas encore fait, il est temps d’installer les dernières mises à jour.

• PrintNightmare : Microsoft publie un correctif (incomplet) en urgence, y compris pour Windows 7

Antoine Jouteau, CEO du groupe Le Bon Coin (propriétaire de l’Argus), explique que l’incident s’est déroulé dans la nuit du 13 au 14 août.  Pour les détails on repassera : « Nos équipes techniques sont mobilisées depuis ce week-end pour restaurer les services de L’argus, isoler les serveurs touchés et restaurer les systèmes ».

Il ajoutait : « les autres plateformes du groupe, notamment leboncoin n’ont pas été touchées et les services de petites annonces continuent à fonctionner sans risque ».

« Les données et les transactions des utilisateurs n’ont pas été compromises et sont sécurisées »… mais rien n’est précisé pour les données de la plateforme. La CNIL a été notifiée et une plainte déposée. 

L’opérateur n’a pas fait dans la demi-mesure puisque près de 48 millions de numéros de sécurité sociale ont été exfiltrés de ses serveurs. Dans un communiqué, le CEO Mike Sievert tente néanmoins de minimiser un peu la portée.

Il affirme d’un côté qu’aucune donnée bancaire n’a été dérobée. Puis il ajoute que, « comme tant de fuites auparavant, numéros de sécurité sociale, nom, adresse, date de naissance et permis de conduire/carte identité ont été compromis »… une manière regrettable de banaliser une fuite d'ampleur. Signalons aussi la présence de millions de numéros IMEI et IMSI dans le lot.

Une enquête officielle est en cours et l’opérateur n’a pour le moment pas donné davantage de détails. John Binns, un jeune Américain de 21 ans, endosse la responsabilité de ce piratage et affirme au Wall Street Journal que la sécurité de T-Mobile « est horrible ».

Lors d’une interview à nos confrères, il explique avoir utilisé un routeur non protégé pour pénétrer dans les serveurs de la société.

En mars dernier, l’entreprise avait déployé en urgence un patch pour corriger des failles 0-day qui permettaient d'exécuter du code à distance dans Microsoft Exchange Server. Ce service est de nouveau sous le feu des projecteurs à cause d’une nouvelle brèche d’importance.

Cette fois-ci, « un attaquant non authentifié peut effectuer des actions de configuration sur des boîtes aux lettres appartenant à des utilisateurs ». On peut alors transférer une copie de l’ensemble des emails entrant ou sortant de la boîte de réception. Les détails techniques se trouvent dans ce billet de blog de la Zero Day Initiative.

Celle-ci indique que cette faille, identifiée CVE-2021-33766, lui a été signalée en mars par le chercheur en sécurité Xuan Tuyen et qu’elle a été corrigée dans la mise à jour cumulative d’Exchange de juillet 2021.

La Zero Day Initiative affirme que Microsoft « Exchange Server continue d'être une terre incroyablement fertile pour la recherche de vulnérabilités. Cela peut être dû à l'énorme complexité du produit, à la fois en termes de fonctionnalités et d'architecture ». Une publicité dont, à coup sûr, Microsoft se passerait bien.

Commençons par revenir en arrière de quelques mois, jusqu’en avril, quand Microsoft dévoilait la faille BadAlloc. Elle affectait une large panoplie d’objets connectés (y compris industriels)… au sens très large du terme puisque cela concerne aussi bien des caméras que des voitures et des produits médicaux.

Comme l’explique Politico, BlackBerry avait alors réfuté que son système d’exploitation était impacté par BadAlloc et n’avait d’ailleurs pas fait la moindre communication sur le sujet. Avec plusieurs mois de retard, la société confirme enfin officiellement être touchée par BadAlloc. Des versions de 2012 et antérieures de QNX sont ainsi concernées. 

« Tous les clients potentiellement concernés ont été informés. BlackBerry a mis à disposition des correctifs logiciels pour résoudre le problème […] Pour le moment, aucun client n'a indiqué qu'il avait été touché », affirme la société.

Microsoft rappelle que Power Apps « est une suite d’applications, de services, de connecteurs et une plateforme de données qui fournissent un environnement de développement applicatif rapide ». On peut y stocker des données ayant vocation à être librement partagées, tandis que d’autres doivent rester confidentielles.

Une mauvaise configuration et le drame peut arriver… certains se souviendront du cas de MongoDB. C’est exactement ce qu’il s’est passé cet été. UpGuard a en effet notifié 47 entités (organismes gouvernementaux, American Airlines, Microsoft…) que pas moins de 38 millions d’enregistrements étaient librement accessibles.

« Bien que nous comprenions (et approuvions) la position de Microsoft selon laquelle le problème ici n'est pas strictement une vulnérabilité logicielle, il s'agit d'un problème de la plateforme nécessitant des modifications de code », affirme UpGuard.

Microsoft a depuis publié un outil pour vérifier la configuration et a procédé à quelques ajustements sur les permissions par défaut. Cette histoire rappelle une fois encore qu’il est important de bien comprendre (et vérifier) ce que l’on fait…

Le fabricant a publié un bulletin de sécurité pour les détailler, expliquant que l’une d’entre elles conduit à un scénario catastrophe : l’exécution de code arbitraire.

Selon IoT Inspector (qui est à l’origine de cette découverte), pas moins de 65 vendeurs et près de 200 produits différents seraient concernés. La faille a été remontée à Realtek le 17 mai et corrigée en juin.

Il faut maintenant que les correctifs arrivent jusqu’aux objets connectés… Ce qui est loin d’être gagné pour certains.

ThreatFabric a détecté cette application malveillante en mars. Le principe est on ne peut plus simple : enregistrer ce qu’il se passe à l’écran et au clavier pour récupérer des données confidentielles, notamment des identifiants et mots de passe. 

L’application était diffusée via le Play Store sous l'appellation Protection Guard. Elle a été installée plus de 5 000 fois avant d’être supprimée. Les détails techniques du fonctionnement de ce cheval de Troie sont donnés par ici.