IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les pirates exploitent la faille "zero-day" avant que les entreprises ne puissent appliquer les correctifs.


Sujet :

Sécurité

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2018
    Messages
    2 135
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 34
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Mai 2018
    Messages : 2 135
    Points : 158 406
    Points
    158 406
    Par défaut Les pirates exploitent la faille "zero-day" avant que les entreprises ne puissent appliquer les correctifs.
    Les cybercriminels exploitent la faille "zero-day", alors que les entreprises prennent 97 jours en moyenne pour mettre en œuvre les correctifs, selon HP Wolf Security

    Les cybercriminels ont exploité le nouveau code d'exécution à distance CVE-2021-40444 de la faille "zero-day", une semaine avant la publication du correctif le 14 septembre, selon le dernier rapport de HP Wolf Security.

    Les chercheurs ont également vu des scripts qui automatisaient la création de l'exploit sur Github le 10, ce qui a facilité l'utilisation de l'exploit par des attaquants moins sophistiqués contre des organisations vulnérables.

    Cela illustre la tendance des cybercriminels à se déplacer plus rapidement que jamais pour exploiter les zero-days, alors que les entreprises prennent 97 jours en moyenne pour mettre en œuvre les correctifs, créant ainsi une fenêtre de vulnérabilité.

    Le dernier rapport Threat Insights révèle l'utilisation de téléchargeurs JavaScript pour échapper aux outils de détection, et la diffusion du cheval de Troie Trickbot via des fichiers HTA (application HTML), qui déploient le malware dès l'ouverture de la pièce jointe ou du fichier achive qui le contient. En tant que type de fichier peu courant, les fichiers HTA malveillants sont moins susceptibles d'être repérés par les outils de détection.

    "Le délai moyen d'application, de test et de déploiement complet des correctifs avec les vérifications appropriées est de 97 jours pour une entreprise, ce qui donne aux cybercriminels la possibilité d'exploiter cette "fenêtre de vulnérabilité". Si, au début, seuls des pirates très compétents pouvaient exploiter cette vulnérabilité, les scripts automatisés ont abaissé la barre d'entrée, rendant ce type d'attaque accessible à des acteurs de la menace moins bien informés et disposant de moins de ressources. Cela augmente considérablement le risque pour les entreprises, car les exploits de type "zero-day" sont banalisés et mis à la disposition du marché de masse dans des endroits comme les forums clandestins", explique Alex Holland, analyste principal des logiciels malveillants au sein de l'équipe de recherche sur les menaces de HP Wolf Security. "Ces nouveaux exploits ont tendance à échapper aux outils de détection, car les signatures peuvent être imparfaites et devenir rapidement obsolètes à mesure que la compréhension de la portée d'un exploit évolue. Nous nous attendons à ce que les acteurs de la menace adoptent CVE-2021-40444 dans le cadre de leurs arsenaux, et potentiellement même à ce qu'ils remplacent les exploits courants utilisés pour obtenir un accès initial aux systèmes aujourd'hui, tels que ceux exploitant Equation Editor."

    Nom : 1634478401576.jpg
Affichages : 2005
Taille : 11,3 Ko

    Parmi les autres résultats, 12 % des logiciels malveillants isolés par courrier électronique ont contourné au moins un scanner de passerelle, et 89 % des logiciels malveillants détectés ont été transmis par courrier électronique, tandis que les téléchargements sur le Web représentaient 11 % et d'autres vecteurs tels que les périphériques de stockage amovibles, moins de 1 %.

    Les pièces jointes les plus couramment utilisées pour diffuser des logiciels malveillants sont les fichiers d'archives (38 %, contre 17,26 % au trimestre précédent), les documents Word (23 %), les feuilles de calcul (17 %) et les fichiers exécutables (16 %).

    Les cinq leurres de phishing les plus courants concernent des transactions commerciales telles que "commande", "paiement", "devis" et "demande". Le rapport révèle que 12 % des logiciels malveillants capturés étaient auparavant inconnus.

    Source : HP Wolf Security

    Et vous ?

    Qu'en pensez-vous ?
    Les attaques de type "zero days" sont de plus en plus fréquentes, comment expliquer qu'elles ne sont toujours pas contournées/évitées ?

    Voir aussi :

    Des cyberattaquants utilisent une vulnérabilité "zero-day" pour effacer en masse les appareils My Book Live, Western Digital a retiré le code qui aurait empêché l'effacement de téraoctets de données

    La Chine a cloné et utilisé un exploit zero-day de la NSA pendant des années avant qu'il ne soit rendu public, selon un rapport de la société de sécurité Check Point

  2. #2
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 790
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 790
    Points : 7 284
    Points
    7 284
    Par défaut
    A implémenter dans toutes les distributions GNU/Linux :

    #define _GNU_SOURCE
    #include <unistd.h>
    #include <sys/types.h>
    #include <stdio.h>

    #define uid_t getuid(process) = &id_t
    #define uid_t geteuid(process) = &eid
    #define getpid(void) = &pid_t
    #define for (((*pid_t(*id_t) && *pid_t(eid) < 0) || (*pid_t(*id_t) && *pid(*eid) >= 0)); getgpid(*pid_t *id_t); &pid_et)

    int main(int *id_t, int *eid)
    {
    #define for ((((*id_t) != (*eid)) || ((*pid_et) != (*pid_t)));printf(("process(%u) ou utilisateur inconnu détecté"); process(*eid)); SIGKILL(*pid_et));
    // trace process(eid)
    {
    return (0);
    }
    }

    Ils tournent avec des warnings mais ça compile et le code n'est pas sécurisé.

Discussions similaires

  1. Réponses: 0
    Dernier message: 04/03/2021, 17h11
  2. Réponses: 0
    Dernier message: 14/02/2018, 16h39
  3. Réponses: 5
    Dernier message: 30/12/2016, 20h36
  4. Les correctifs de sécurité de Microsoft peuvent être exploités
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 9
    Dernier message: 26/08/2011, 09h40

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo