Archives par mot-clé : adobe

83 vulnérabilités Microsoft dont 7 critiques et 1 activement exploitée

Patch Tuesday Microsoft & Adobe – 83 vulnérabilités Microsoft dont 7 critiques et 1 activement exploitée. 60 vulnérabilités Adobe dont 28 critiques.

Microsoft corrige 83 vulnérabilités avec la publication de son Patch Tuesday de décembre 2021, dont 5 classées comme critiques. L’édition de décembre corrige aussi une vulnérabilité Zero-Day activement exploitée. Les produits concernés par la mise à jour de sécurité de décembre de Microsoft sont Microsoft Office, Microsoft PowerShell, le navigateur Microsoft Edge basé sur Chromium, le noyau Windows, le spooler d’impression et le client du service Bureau à distance. Microsoft corrige des problèmes dans les logiciels, y compris des vulnérabilités par exécution de code à distance (RCE), des failles de sécurité facilitant une élévation des privilèges ainsi que des problèmes d’usurpation et de déni de service. 

Vulnérabilités Microsoft à prioriser et corriger… rapidement. 

CVE-2021-43890 | Vulnérabilité d’usurpation d’identité dans le programme Windows d’installation de paquets AppX. 

Cette vulnérabilité CVSS 7.1 est un Zero-Day identifié comme une vulnérabilité d’usurpation d’identité activement exploitée dans le programme d’installation de logiciels AppX et qui affecte Microsoft Windows. Microsoft a identifié des attaques qui tentent d’exploiter cette vulnérabilité en utilisant des paquets malveillants comprenant la famille de malware Emotet/Trickbot/Bazaloader.

Un attaquant peut créer une pièce jointe malveillante qui sera ensuite utilisée pour des campagnes de phishing. Il suffira ensuite à l’attaquant de persuader l’utilisateur ciblé d’ouvrir cette pièce jointe malveillante. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits utilisateur sur le système seront moins impactés que les utilisateurs ayant des droits administratifs. 

CVE-2021-43215 | Vulnérabilité de corruption de mémoire sur le serveur iSNS pouvant entraîner l’exécution de code à distance 

Cette vulnérabilité d’exécution de code à distance (RCE) cible le protocole Internet Storage Name Service (iSNS) qui facilite les interactions entre les serveurs et les clients iSNS. Un attaquant peut envoyer une requête malveillante au serveur iSNS pour déclencher une exécution de code à distance. Avec un score de sévérité CVSS de 9,8, cette vulnérabilité critique doit être corrigée en priorité. 

CVE-2021-43217 | Vulnérabilité d’exécution de code à distance dans le système de chiffrement de fichiers EFS de Windows. 

Il s’agit d’une vulnérabilité RCE qui cible le système de chiffrement de fichiers (EFS) et qui permet à un attaquant de provoquer un débordement de tampon d’écriture entraînant une exécution de code non mis en bac à sable et non authentifié. Avec un score de sévérité CVSS de 8,1, il s’agit d’une vulnérabilité à corriger rapidement. 

Microsoft est en train de résoudre cette vulnérabilité via un déploiement en deux temps. Ces mises à jour corrigent la vulnérabilité en modifiant la manière dont le système EFS établit les connexions depuis le client vers le serveur. 

Pour obtenir des conseils sur la façon de gérer les modifications requises pour cette vulnérabilité et pour en savoir plus sur le déploiement par étapes, se reporter à l’article KB5009763: EFS security hardening changes in CVE-2021-43217

Lorsque la deuxième phase de mises à jour Windows sera disponible au cours du premier trimestre 2022, les clients seront avertis au moyen d’une révision de cette vulnérabilité de sécurité. Pour être avertis de la disponibilité de cette mises à jour, nous vous invitons à vous inscrire à la liste de diffusion des avis de sécurité qui vous tiendra informés des modifications de contenu qui seront apportées à cet avis. Voir les avis de sécurité technique de Microsoft (Microsoft Technical Security Notifications)

CVE-2021-43905 | Vulnérabilité d’exécution de code à distance dans les applications Microsoft Office 

Il s’agit là d’une vulnérabilité d’exécution de code à distance (RCE) non authentifiée dans les applications Microsoft Office. À corriger rapidement car elle affiche un score de sévérité de 9,6. 

CVE-2021-41333 | Vulnérabilité d’élévation de privilèges dans le spooler d’impression Windows 

Cette vulnérabilité d’élévation de privilèges dans le spooler d’impression Windows qui a été rendue publique peut être facilement attaquée si bien qu’avec un score de sévérité de 7,8 cette vulnérabilité doit être corrigée rapidement. 

CVE-2021-43233 | Vulnérabilité d’exécution de code à distance sur le client Bureau à distance 

Cette vulnérabilité RCE critique contenue dans le déploiement mensuel de Windows doit elle aussi être corrigée rapidement en raison d’un score de sévérité de 7,5. 

Adobe Patch Tuesday – Décembre 2021 

À l’occasion de ce Patch Tuesday, Adobe a publié 11 mises à jour de sécurité pour ses produits qui permettent de corriger 60 vulnérabilités CVE dont 28 sont classées comme critiques et qui impactent les produits Adobe After Effects, Dimension, Experience Manager, Media Encoder, Photoshop, Prelude, ainsi que Premiere Pro et Rush. 

Une mise à jour Adobe Lightroom efface les photos

Voilà qui est fâcheux pour les utilisateurs de l’application Adobe Lightroom pour iPhone et iPad. La dernière mise à jour effacé les photos des utilisateurs.

Abracadabra… plus de photos ! La dernière mise à jour pour Adobe Lightroom à destination des iPhone et Ipad a effacé les photos des utilisateurs. Un étonnant bug qu’Adobe a rapidement corrigé, mais le mal était fait pour de nombreux utilisateurs. « Certains clients qui ont mis à jour vers Lightroom 5.4.0 sur iPhone et iPad peuvent perdre des photos et / ou des préréglages. Cela a affecté les clients utilisant Lightroom mobile sans abonnement au cloud Adobe. Cela a également affecté les clients du cloud Lightroom avec des photos et des préréglages qui n’avaient pas encore été synchronisés avec le cloud Adobe.« 

Les utilisateurs de l’outil dédié aux photos sous Android, MacOS et Windows n’ont pas connu cette faille. « L’installation de la version 5.4.1 ne restaurera pas les photos ou préréglages manquants pour les clients affectés par le problème introduit dans la version 5.4.0. » souligne Adobe en s’excusant du problème. « Nous savons que certains clients ont des photos et des préréglages qui ne sont pas récupérables. Nous savons à quel point cela sera frustrant et bouleversant pour les personnes touchées et nous nous excusons sincèrement.« 

Microsoft et navigateurs : 79 vulnérabilités corrigées

Ce mois-ci, le Patch Tuesday de septembre 2019 traite de 79 vulnérabilités dont 17 classées critiques. Parmi ces dernières, 8 affectent les moteurs de scripts et les navigateurs, 4 la connexion Bureau à distance et 3 SharePoint. En outre, Microsoft a publié un nouveau patch pour une vulnérabilité critique au sein des fichiers LNK et pour une vulnérabilité dans Azure DevOps/TFS. Adobe a également publié des correctifs pour Flash et Application Manager.

 

Le déploiement de patches pour les moteurs de script, les navigateurs et les fichiers LNK est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Connexion Bureau à distance et navigateurs

Microsoft a corrigé quatre vulnérabilités par exécution de code à distance au sein de la fonctionnalité Connexion Bureau à distance : CVE-2019-0787, CVE-2019-0788, CVE-2019-1290 et CVE-2019-1291. Pour exploiter ces vulnérabilités, un attaquant aura besoin qu’un utilisateur se connecte à un serveur RDP malveillant ou compromis. Les vulnérabilités découvertes par Microsoft suite à un test interne sur la fonction Connexion Bureau à distance. Des patchs prioritaires sur tous les systèmes qui utilisent la fonction de connexion Bureau à distance.

SharePoint

En outre, Microsoft a publié des correctifs pour résoudre trois vulnérabilités RCE dans SharePoint : CVE-2019-1257, CVE-2019-1295 et CVE-2019-1296. L’une d’entre elles implique de télécharger une application malveillante tandis que les deux autres sont des vulnérabilités au niveau de la désérialisation dans l’API SharePoint.

Des correctifs à déployer en priorité pour tous les serveurs SharePoint.

Azure DevOps Server (anciennement Team Foundation Server)

Azure DevOps Server et Team Foundations Server (TFS) sont affectés par une vulnérabilité par exécution de code à distance (CVE-2019-1306) qui est exploitée via des téléchargements de fichiers malveillants. En effet, quiconque télécharge un fichier vers un serveur peut exécuter du code via un compte Azure DevOps/TFS. Aussi concernés les utilisateurs anonymes via des serveurs configurés pour les valider.

Un correctif prioritaire pour toutes les installations Azure DevOps ou TFS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges

Microsoft corrige deux vulnérabilités facilitant une élévation des privilèges exploitées en aveugle.

CVE-2019-1214 est une faille dans le pilote Common Log File System (CLFS), tandis que CVE-2019-1215 concerne le pilote Winsock.

Ces deux problèmes impactent toutes les versions Windows. Corrections prioritaires. Les vulnérabilités facilitant une élévation des privilèges sont généralement utilisées avec une exécution de code à distance où cette dernière n’accorde pas de droits administratifs

Adobe

Ce mois-ci, peu de publications d’Adobe. L’éditeur a publié des correctifs pour deux vulnérabilités critiques dans le Flash Player, correctifs qui doivent être déployés de manière prioritaire sur tous les systèmes de type poste de travail Adobe a également corrigé une vulnérabilité classée comme importante concernant le chargement de DLL non sécurisé dans Application Manager.

Patch Tuesday Linux et Adobe

Déni de service via TCP SACK vers le noyau Linux

Plusieurs vulnérabilités DoS ont été rapportées en juin concernant le noyau Linux (CVE-2019-11477CVE-2019-11478, CVE-2019-11479). Microsoft a publié un avis de sécurité fournissant des informations et des liens sur ces vulnérabilités.

Patch Tuesday version Adobe

Adobe a publié des correctifs pour Bridge CC, Experience Manager et Dreamweaver. Trois vulnérabilités sont corrigées dans Experience Manager tandis qu’une vulnérabilité est résolue dans Bridge et Dreamweaver. Aucune d’entre elles n’est considérée comme critique et le niveau de vulnérabilité le plus élevé pour chaque logiciel concerné est Important.

Patch Tuesday juin : 88 vulnérabilités, 21 critiques

Le Patch Tuesday de Microsoft traite 88 vulnérabilités dont 21 classées comme critiques. Parmi ces dernières, 17 affectent les moteurs de scripts et les navigateurs tandis que 3 sont des attaques Escape potentielles contre l’hyperviseur Hyper-V.

Patch Tuesday – La dernière vulnérabilité est une exécution de code à distance (RCE) au sein de l’API de reconnaissance vocale Microsoft Speech. Microsoft a également publié des recommandations pour les clés FIDO Bluetooth basse consommation ainsi que pour HoloLens et Microsoft Exchange. Concernant Adobe, l’éditeur vient de publier des correctifs pour Flash, ColdFusion et Campaign.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script et les navigateurs est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multiutilisateurs qui font office de postes de travail distants.

Attaque Escape contre l’hyperviseur Hyper-V

Trois vulnérabilités avec exécution de code à distance (CVE-2019-0620, CVE-2019-0709 et CVE-2019-0722) sont corrigées dans Hyper-V. Elles permettaient à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur l’hôte. Microsoft signale que l’exploitation de ces vulnérabilités est moins probable. Les patches restent tout de même une priorité pour les systèmes Hyper-V.

Exécution de code RCE dans l’API de reconnaissance vocale Microsoft Speech

L’API Microsoft Speech abrite une vulnérabilité par exécution de code à distance (CVE-2019-0985). Affectant Windows 7 et Server 2008 R2, elle a besoin qu’un utilisateur ouvre un document malveillant.

Avis de sécurité

Microsoft a également publié plusieurs avis de sécurité  :

  • ADV190016 qui désactive la possibilité d’utiliser certaines clés de sécurité FIDO basse consommation Bluetooth en raison d’une vulnérabilité divulguée en mai 2019. Google et Feitian ont également publié des avis de sécurité pour les clients qui utilisent ces clés.

  • ADV190017 qui corrige plusieurs vulnérabilités dans HoloLens permettant à un attaquant non identifié de lancer des attaques DoS ou de compromettre des équipements HoloLens se trouvant à proximité.

  • ADV190018 qui fournit une mise à jour de la défense en profondeur de Microsoft Exchange Server même si, à l’heure actuelle, aucun détail n’a été communiqué sur cette mise à jour.

Patch Tuesday version Adobe

Adobe a publié des mises à jour pour Flash, ColdFusion et Campaign. La mise à jour pour Flash permet de résoudre une vulnérabilité et exposition courante (CVE) et doit être déployée en priorité sur les postes de travail sur lesquels Flash est installé. Les mises à jour pour ColdFusion corrigent trois vulnérabilités de types différents, toutes étant classées comme critiques. Quiconque utilise un serveur ColdFusion devrait le tester et déployer le correctif dès que possible. Quant au patch pour Adobe Campaign, il corrige sept vulnérabilités différentes dont une considérée comme critique. (Par Jimmy Graham dans The Laws of Vulnerabilities)

Patch Tuesday : 79 vulnérabilités dont 22 critiques

Ce Patch Tuesday de mai 2019 traite 79 vulnérabilités dont 22 classées critiques. Parmi ces dernières, 18 affectent les moteurs de scripts et les navigateurs.

Les quatre restantes concernent des exécutions de code à distance (RCE) sur le protocole Remote Desktop (RDP), le serveur DHCP, GDI+ et Word. Microsoft a également publié des recommandations sur les techniques MDS (Microarchitectural Data Sampling) récemment divulguées dont les failles ZombieLoad, Fallout et RIDL. Concernant Adobe, le Patch Tuesday comprend des correctifs pour des vulnérabilités dans Flash, Acrobat/Reader (83 vulnérabilités !) et Media Encoder.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script, les navigateurs, GDI+ et Word est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi utilisateurs utilisés comme postes de travail distants par des utilisateurs.

Exécution de code RCE sur les services Remote Desktop (RDS)

Le protocole RDP (Remote Desktop Protocol) est affecté par la vulnérabilité par exécution de code à distance CVE-2019-0708. L’exploitation de cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code de manière arbitraire sur un système affecté. Ce type de vulnérabilité peut faciliter la propagation de vers informatiques en raison du manque d’authentification et de l’omniprésence du service RDP. Même si un exploit Preuve de concept n’a pas encore été dévoilé, cette vulnérabilité doit être résolue en priorité absolue sur Windows 7, Server 2008 et Server 2008 R2.

Critiques : Exécution de code RCE sur le serveur DHCP

Le serveur DHCP de Windows est affecté par la vulnérabilité CVE-2019-0725 classée comme critique pouvant faciliter l’exécution de code à distance. Un quelconque attaquant non identifié peut envoyer des paquets à un serveur DHCP pour exploiter cette vulnérabilité, ce correctif est donc une priorité pour tous les déploiements DHCP Windows. Une vulnérabilité semblable au sein du serveur DHCP a été corrigée en février tandis qu’une autre vulnérabilité a été corrigée en mars sur le client DHCP.

Conseils pour les attaques MDS (Microarchitectural Data Sampling)

Microsoft a publié une documentation d’assistance concernant l’atténuation des attaques MDS (Microarchitectural Data Sampling). Les attaques de ce type s’appellent notamment ZombieLoad, Fallout et RIDL. Les CVE correspondant à ces vulnérabilités sont CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et CVE-2019-11091. Intel diffuse aussi une présentation ainsi qu’un document détaillé sur les techniques employées et les atténuations à déployer.

Des mises à jour du microcode pour les processeurs concernés devront être réalisées pour atténuer ces attaques tandis que des correctifs devront être déployés pour les systèmes d’exploitation. Microsoft précise que la désactivation de l’hyper-threading (alias Simultaneous Multi Threading ou SMT) pourra s’avérer nécessaire pour une atténuation complète, même si Intel déconseille cette procédure. Microsoft distribuera des mises à jour du microcode uniquement pour Windows 10. Pour les autres systèmes d’exploitation, c’est le fabricant OEM qui devra fournir ces mises à jour souvent sous la forme d’une mise à jour du BIOS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges pour le traitement des erreurs Windows
Microsoft a également publié un correctif pour une vulnérabilité facilitant une élévation de privilèges pour le traitement des erreurs Windows (CVE-2019-0863) et qui a été exploitée à l’aveugle. L’application de ce correctif est donc prioritaire pour toutes les versions Windows prises en charge.

Adobe Patch Tuesday

Adobe a publié des correctifs pour Flash, Acrobat/Reader et Media Encoder. Même si les correctifs pour Flash ne concernent qu’une seule exécution CVE et que les patches pour Media Encoder en traitent deux, les patches pour Acrobat/Reader concernent pas moins de 83 vulnérabilités. Il est recommandé de traiter en priorité tous les systèmes hôtes impactés et plus particulièrement les équipements de type poste de travail. (Publié par Jimmy Graham dans The Laws of Vulnerabilities)

Patch Tuesday – Mars 2019 : 65 vulnérabilités dont 18 critiques

Le Patch Tuesday du mois de mars corrige 65 vulnérabilités dont 18 identifiées comme critiques. 13 de ces vulnérabilités critiques concernent les moteurs de scripts et des composants de navigateur et impactent les navigateurs Microsoft ainsi que la suite Office. Le Patch Tuesday de février 2019 comportait 74 vulnérabilités dont 20 critiques

Trois vulnérabilités entraînant une exécution de code à distance (RCE) sont corrigées sur le client DHCP de Windows de même qu’une vulnérabilité RCE sur le serveur TFTP exécutant des services de déploiement Windows et une élévation de privilèges dans Microsoft Dynamics 365. Le volume de patches publiés par Adobe ce mois-ci est plutôt léger et corrige seulement deux vulnérabilités et exposition courantes (CVE) dans Photoshop CC et Digital Editions.

Correctifs pour les postes de travail

Les patches pour les navigateurs, le moteur de script, ActiveX et MSXML sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont concernés les serveurs multi-utilisateurs qui servent de postes de travail distants à des utilisateurs.

Client DHCP Windows

Le client DHCP Windows étant utilisé sur les postes de travail et les serveurs, le déploiement de patches pour résoudre les trois vulnérabilités RCE doit être une priorité pour tous les systèmes Windows.

Serveur TFTP exécutant des services de déploiement Windows (WDS)

Si vous utilisez les services de déploiement Windows, ce patch doit être déployé en priorité dans la mesure où l’exploitation de la vulnérabilité affectant ces services peut entraîner l’exécution de code à distance sur le serveur concerné.

Microsoft Dynamics 365

Les déploiements sur site de Microsoft Dynamics 365 sont vulnérables aux élévations de privilèges si bien que le déploiement de correctifs pour ce système doit également être traité en priorité.

Avis de sécurité Microsoft

Microsoft a également publié trois avis de sécurité qui traitent différents sujets :

L’avis ADV190009 annonce la prise en charge de la signature du code SHA-2 pour Windows 7 SP1 et Windows Server 2008 R2. Cette mise à jour sera nécessaire pour tous les nouveaux correctifs publiés après juillet 2019. Les versions plus anciennes du serveur WSUS (Windows Server Update Services) doivent également être mises à jour afin de pouvoir distribuer les nouveaux patchs signés par l’algorithme de hachage SHA-2.

L’avis ADV190010 fournit des recommandations sur le partage entre plusieurs utilisateurs d’un même compte utilisateur. Microsoft déconseille ce comportement qu’il considère comme un risque de sécurité majeur.

L’avis ADV190005 fournit quant à lui des atténuations pour un possible déni de service dans http.sys lors de la réception de requêtes HTTP/2. Le patch permet de définir une limite pour le nombre de paramètres SETTINGS à envoyer lors d’une même requête.

Adobe

Adobe a publié des correctifs non sécuritaires pour Flash ainsi que des patchs de sécurité critiques pour Photoshop CC et Digital Editions, chacun de ces deux produits étant affecté par une vulnérabilité. (Jimmy Graham dans The Laws of Vulnerabilities)

Patch Tuesday : 74 vulnérabilités dont 20 critiques

Le patch Tuesday de ce mois de février 2019 propose la correction de 74 vulnérabilités, dont 20 critiques.

Le Patch Tuesday de ce mois-ci est très volumineux et porte sur la résolution de 74 vulnérabilités dont 20 classées critiques. 15 de ces vulnérabilités critiques concernent le moteur de script et des navigateurs, les 5 autres sont liées à GDI+, SharePoint et DHCP. Microsoft a également publié un avis de sécurité pour un exploit Zero-Day affectant Exchange ainsi qu’un patch pour l’une des deux vulnérabilités signalées. De son côté, Adobe a publié des mises à jour pour Acrobat/Reader, Flash, ColdFusion et Creative Cloud.

Correctifs pour les postes de travail

Les patches pour les navigateurs, le moteur de script et GDI+ sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Concernés, les serveurs multiutilisateurs en mode postes de travail distants.

Exchange

Fin janvier, un exploit Zero-Day a été annoncé pour Microsoft Exchange. Ce dernier utilise plusieurs vulnérabilités connues dans Exchange et Active Directory. L’attaquant qui exploite ces vulnérabilités peut élever ses privilèges jusqu’au rang d’administrateur de domaine. La semaine dernière, Microsoft a publié un avis de sécurité concernant cet exploit et donné certaines recommandations pour atténuer les vulnérabilités. Cependant, deux mises à jour ont été publiées aujourd’hui (CVE-2019-0686 et CVE-2019-0724) qui remplacent l’atténuation suggérée en amont. Le déploiement de ces mises à jour est hautement prioritaire dans tous les environnements Exchange.

SharePoint

Les deux vulnérabilités dans SharePoint (CVE-2019-0594 et CVE-2019-0604) permettent à un utilisateur malveillant d’exécuter du code dans le contexte d’un pool d’applications SharePoint et du compte de la ferme de serveurs SharePoint. L’utilisateur malveillant a besoin de droits spéciaux pour réaliser cette action. Le correctif est hautement prioritaire pour tous les serveurs SharePoint.

DHCP

Une vulnérabilité affecte le serveur DHCP de Windows. Classée comme critique. Elle peut faciliter l’exécution de code à distance.

Tout attaquant qui envoie des paquets à un serveur DHCP. Ce correctif doit donc être une priorité pour tous les déploiements DHCP Windows.

Correctifs Adobe

Pour conclure, Adobe a également publié des correctifs pour Acrobat/Reader, Flash, ColdFusion et Creative Cloud. Les patches Acrobat/Reader corrige 71 CVE.

Classé comme important par Adobe, le patch pour Flash corrige une vulnérabilité de type « lecture hors limites » pouvant entraîner la divulgation d’informations. Pour sa part, Microsoft considère cette vulnérabilité comme critique et pouvant entraîner une exécution de code à distance.

Le correctif pour ColdFusion permet de traiter deux vulnérabilités, l’une étant classée comme critique. La vulnérabilité de désérialisation Java doit être corrigée dès que possible car son exploitation peut entraîner l’exécution de code à distance. Une procédure plus complète sera peut-être nécessaire après le déploiement de la mise à jour. (Par Jimmy Graham/Qualys)

Patch Tuesday – Mai 2016

Un mois de Mai avec un Patch Tuesday parmi les plus intenses depuis un moment en raison des menaces 0-Day qui y sont traitées et de leur ampleur potentielle.

Microsoft et Adobe publient les mises à jour de sécurité, mais avant de rentrer dans les détails des mises à jour de mai (17 en tout), rappelons l’urgence d’une autre vulnérabilité qui vous a peut-être échappée. Le célèbre programme Open Source ImageMagick est actuellement la cible d’une attaque active sur Internet. La vulnérabilité CVE-2016-3714 (renommée ImageTragick) permet d’exécuter du code à distance (RCE) via le l’envoi d’images. Pour l’instant, aucun patch n’est disponible, mais une solution de contournement a été publiée pour neutraliser les attaques en cours. Nous vous recommandons de faire comme les pirates, c’est-à-dire de scanner votre infrastructure pour rechercher des occurrences d’ImageMagick puis d’appliquer cette solution de contournement dans le fichier policy.xml. C’est ce que j’ai immédiatement fait sur mes sites, même si je n’utilise ImageMagick qu’en mode ligne de commande pour créer des vignettes. À noter que ces deux dernières semaines la solution de contournement s’est enrichie et qu’il est donc intéressant de la recharger si vous l’avez déjà appliquée.

Revenons aux mises à jour de Microsoft et d’Adobe publiées pour résoudre les vulnérabilités actuellement attaquées de manière active avec au total 17 bulletins pour colmater plus de 100 failles logicielles.

Tout en haut de notre liste des priorités figure la mise à jour pour Internet Explorer (MS16-051) qui résout une vulnérabilité de type RCE critique, en l’occurrence CVE-2016-0189 qui est actuellement sous le feu d’attaques. Cette vulnérabilité est située dans le moteur JavaScript et, dans Vista et Windows 2008, le moteur est distinct du navigateur. Donc, si vous exécutez ces variantes de Windows (seulement 2% fonctionnent encore sous Vista), vous devez installer MS16-053.

Vient ensuite APSA16-02, un avis de sécurité Zero-Day pour Adobe Flash. Aucun correctif n’est encore disponible, il est important de surveiller l’évolution de la situation. Adobe devrait publier une nouvelle version de Flash d’ici la fin de cette semaine. La vulnérabilité en question nommée CVE-2016-4117 fait actuellement l’objet d’attaques à l’aveugle.

Nous vous suggérons de commencer par traiter ces trois vulnérabilités avant de traiter d’autres problèmes. Pour la suite des bulletins, vous devriez vous concentrer sur :

MS16-054 pour Office qui résout deux vulnérabilités critiques au sein du format de fichier RTF. Elles peuvent être déclenchées via le volet d’aperçu d’Outlook sans que vos utilisateurs cliquent sur le fichier malveillant. Je vous r ecommande d’utiliser la fonction de blocage de fichiers pour supprimer RTF des formats de fichiers que vous acceptez, ce qui renforcera un peu votre protection et vous fera gagner du temps pour résoudre pleinement ce problème.

MS16-052 pour le navigateur Microsoft Edge sous Windows 10. Ce bulletin traite quatre vulnérabilités critiques, soit un peu moins que pour l’ancien navigateur Internet Explorer avec le bulletin MS16-051, sachant qu’aucune de ces failles ne fait l’objet d’une attaque directe.

MS16-055, un patch pour le sous-système graphique de Windows. S’agissant d’une vulnérabilité dans l’interface GDI, les vecteurs d’attaque peuvent provenir du Web et de documents. Les versions Windows affectées vont de Vista à Windows 10.

MS16-057 pour le shell Windows. Ce bulletin résout une vulnérabilité critique dans l’interface utilisateur au cœur de Windows, elle permet à un attaquant d’exécuter du code distant sur le système

MS16-062 pour les pilotes du noyau Windows. Toutes ces vulnérabilités sont locales mais du même type que celui utilisé par les attaquants pour élever leurs privilèges après s’être introduits dans le système.

Les bulletins MS16-056 et MS16-059 pour le Journal Windows et Windows Media Center traitent des vulnérabilités au sein de formats de fichier utilisés par ces applications. Si vous utilisez ces programmes, soyez vigilants car les vulnérabilités sont assez fréquentes et des attaquants finiront par découvrir ces nouvelles possibilités d’attaque un jour à l’autre. En raison de sa similarité avec MS15-134 (supporté dans Metasploit), il y a des chances pour que le bulletin MS16-059 figure très bientôt dans les boîtes à outils pour pirates.

MS16-058 pour IIS. Si vous exécutez IIS comme serveur Web, intéressez-vous à ce bulletin s’il y a des risques que des attaquants obtiennent les privilèges requis pour accéder à vos systèmes

APSB16-14 pour Adobe Reader, la mise à jour bimensuelle gère 92 vulnérabilités et expositions CVE différentes. (Qualys)

Patch Tuesday Avril 2016

Place au Patch Tuesday d’avril 2016 qui nous donne un aperçu de ce qui nous attend. La semaine dernière, Adobe a été contraint d’anticiper la publication de son patch mensuel pour Adobe Flash Player (APSB16-10) afin d’aider ses utilisateurs à se protéger contre une menace Zero Day exploitée en aveugle. Qui plus est, nous avons appris il y a deux semaines par l’équipe de développement de Samba l’existence de la vulnérabilité « Badlock » qui affecte à la fois Windows et Samba sur Linux/Unix.

Badlock semble cependant moins dangereuse qu’elle n’y paraît puisqu’elle est résolue par MS16-047, un bulletin Microsoft classé comme « important ». Il s’agit d’une vulnérabilité de type Man-in-the-Middle qui permet de se connecter à la place d’une autre personne utilisant des applications basées sur le protocole SAMR ou LSAD, le protocole SMB n’étant pas affecté. Toutes les versions de Windows sont touchées, de Vista à Server 2012 R2. Même s’il est difficile de la classer, cette vulnérabilité ne figure pas pour autant parmi les priorités absolues.

Hormis MS16-047, Microsoft a publié 12 autres bulletins lors de ce Patch Tuesday , soit 50 à ce jour pour l’année 2016. 30 vulnérabilités y sont traitées au total mais aucune menace Zero-Day. Le bulletin MS16-039 contient des correctifs pour un composant graphique de Windows et concerne toutes les versions, de Vista à Windows 10 en passant par Server 2008 et 2102 R2. Il est également destiné aux versions Office 2007 et 2010 plus anciennes ainsi qu’à .NET, Skype et Lync. Situées toutes les deux dans Windows, les deux menaces Zero-Day facilitent une élévation de privilèges, que ce soit pour un utilisateur normal ou un administrateur. Elles permettront d’exploiter une vulnérabilité qui introduit l’attaquant sur la machine, notamment via la faille dans Flash Player traitée par le patch APSB16-10 et résolue dans le bulletin Microsoft MS16-050. Dans ce cas de figure, l’utilisateur se rend sur un site Web anodin puis est victime d’un exploit Flash qui se développe ensuite via les vulnérabilités CVE-2016-0165/7 résolues dans le bulletin MS16-039. Pour se protéger contre de telles attaques, corrigez aussi vite que possible. Les bulletins MS16-050 pour Flash (APSB16-10 si vous utilisez Firefox) et MS16-039 figurent tout en haut de la liste des priorités de ce mois.

Le suivant sur la liste de ce Patch Tuesday est le bulletin de sécurité MS16-042 qui résout quatre failles dans Microsoft Office. Microsoft classe ce bulletin comme critique, ce qui est uniquement le cas lorsqu’une vulnérabilité peut être directement attaquée sans interaction de l’utilisateur. En effet, CVE-2016-0127 est une vulnérabilité basée sur l’exécution de code à distance (RCE) dans le format de fichier RTF. Ce dernier est automatiquement visualisé dans le volet d’aperçu d’Outlook et facilite une exécution RCE pour l’attaquant via un simple courrier électronique. Renforcez si possible votre configuration en bannissant les emails contenant des formats de fichier RTF. Vous pouvez également désactiver ces emails via la politique de blocage de fichiers d’Office qui fonctionne aussi bien sur 2007/2010 que sur 2013.

Microsoft Internet Explorer et Edge sont respectivement corrigés au moyen des bulletins critiques MS16-037 et MS16-038. Ces deux navigateurs sont affectés par six vulnérabilités. C’est d’ailleurs la première fois qu’Edge contient autant de failles qu’IE et qu’Edge rencontre des problèmes plus sérieux qu’IE, ce qui constitue également une première. Aucune de ces vulnérabilités n’est actuellement exploitée, mais comme la plupart des exploits visent les navigateurs, il est légitime de les mettre à jour sans tarder. N’oubliez pas que Microsoft ne propose des correctifs que pour le navigateur le plus récent associé à chaque système d’exploitation, à savoir IE11 à partir de Windows 7, IE9 pour Vista et IE10 pour Windows Server 2012.

Quant à la dernière vulnérabilité critique, elle se trouve dans le sous-système de traitement XML. Aucun patch n’a été publié à ce niveau depuis plus d’un an. Le bulletin MS16-040 fournit une nouvelle version de msxml.dll pour résoudre la seule vulnérabilité présente, CVE-2016-0147. Le vecteur d’attaque se situe au niveau d’un site Web qui transmet le format XML malveillant à la machine ciblée.

Même si elles sont classées comme non critiques, les autres vulnérabilités de ce Patch Tuesday peuvent avoir un impact non négligeable et être également intéressantes. Hyper-V fait ainsi l’objet d’un correctif dans le bulletin MS16-045 dans la mesure où un système invité peut abriter une élévation de privilèges susceptible d’être très critique dans un environnement hôte où l’attaquant accède aux systèmes à cause d’un problème de conception de Hyper-V. Les systèmes d’exploitation affectés sont Windows 8.1, Server 2012 et 2012 R2. Le bulletin MS16-041 résout une vulnérabilité unique dans .NET tandis que MS16-049 corrige une vulnérabilité DoS dans les systèmes Windows 10 au niveau du pilote HTTP.sys.

Adobe a corrigé Flash la semaine dernière en urgence à l’aide du patch APSB16-10, mais publie aujourd’hui des mises à jour pour Robohelp avec le patch APS16-12 et pour les applications Creative Cloud via le patch APSB16-11.

Ce sera tout pour avril et ce Patch Tuesday avec plusieurs menaces 0-Day et des vulnérabilités immédiatement exploitables qui rendent ce mois-ci plus critique que le mois dernier. Attendez-vous à ce que la vulnérabilité affectant Adobe Flash se répande et mettez en œuvre des solutions de contournement pour les procédures d’atténuation actuellement déployées. (Publié par wkandek dans The Laws of Vulnerabilities)

Mises à jour urgentes de janvier 2016

Plusieurs mises à jour obligatoires et urgentes pour de nombreux produits Microsoft, Adobe et Oracle.

MS16-005 est a patcher très rapidement, du moins pour les utilisateurs sous Vista, Windows 7 ou Server 2008. En effet, sur ces systèmes, CVE-2016-0009 déclenche une exécution de code à distance (RCE), de plus cette vulnérabilité a été divulguée publiquement. Sur les systèmes d’exploitation plus récents, Windows 8 et Windows 10, la faille est non applicable ou juste classée importante.

MS16-004 est notre seconde priorité. Ce bulletin résout six vulnérabilités sous Microsoft Office qui permettent aux pirates d’exécuter du code à distance (RCE). Il est classé « critique » par Microsoft, ce qui est inhabituel pour un bulletin Office. La vulnérabilité classée critique CVE-2016-0010 est présente dans toutes les versions d’Office, de 2007 à 2016, même sous Mac et RT.

Viennent ensuite Internet Explorer (MS16-001) et Microsoft Edge (MS16-002). L’un et l’autre sont classés critiques puisqu’un pirate peut contrôler la machine visée en exploitant le navigateur via une page Web malveillante. Les deux bulletins traitent seulement deux vulnérabilités, ce qui est assez inhabituel, du moins pour Internet Explorer, navigateur pour lequel nous avions pris l’habitude de voir traiter plus de 20 vulnérabilités.

MS16-006, le dernier bulletin critique, concerne Silverlight et corrige une vulnérabilité.

MS16-010 est une vulnérabilité côté serveur dans Microsoft Exchange. Il résout quatre vulnérabilités au sein du module OWA d’Exchange qui peuvent provoquer des fuites d’information et l’exécution de script suite à la visualisation d’un e-mail.

MS16-009 a été ignoré par Microsoft. Apparemment, la publication de ce bulletin a été reportée le temps de procéder à des tests supplémentaires.

Adobe et Oracle
Adobe publie également ses mises à jour à l’occasion de ce Patch Tuesday et diffuse APSB16-02 pour Adobe Reader. Cette mise à jour résout des vulnérabilités critiques mais les classe toutes en niveau « 2 » sur l’échelle de l’exploitabilité, c’est-à-dire qu’un patch sera disponible dans les 30 prochains jours. Aucune mise à jour n’est publiée aujourd’hui pour son composant logiciel le plus attaqué, le lecteur Flash. Ou disons plutôt que sa mise à jour de janvier 2016 a été publiée en avance, fin décembre 2015. Intéressez-vous en urgence à APSB16-01 si ce n’est pas encore fait. L’une des vulnérabilités étant attaquée en aveugle, Adobe a été contraint de publier cette mise à jour avant la date prévue.

Quant à Oracle, l’éditeur prévoit de publier ce mois-ci sa mise à jour trimestrielle, en l’occurrence mardi 19 janvier. Restez à l’affût de la nouvelle version de Java, MySQL et de sa base de données d’entreprise. (Analyse publiée par Wolfgang Kandek, CTO de Qualys, Inc. dans The Laws of Vulnerabilities).

Patch Tuesday de mars 2015

Tout comme le mois dernier, davantage de vulnérabilités sont encore traitées par rapport à un mois classique. À moins qu’il ne s’agisse d’un nouveau rythme concernant les correctifs des failles de Microsoft et Adobe, avec un ensemble d’autres failles de sécurité à résoudre.

Les correctifs de Microsoft sont au nombre de 14 pour mars, dont 5 critiques. La priorité absolue est le bulletin MS15-018 consacré à Internet Explorer (IE). Toutes les versions d’IE sont concernées, depuis IE6 (sur Windows Server 2003) jusqu’à IE11. La nouvelle version traite 12 vulnérabilités, dont 10 critiques et exploitables pour exécuter du code sur la machine ciblée. L’une des vulnérabilités a été publiquement révélée, mais elle n’est pas du type Exécution de code à distance, ce qui atténue un peu l’exposition. Scénario typique : un attaquant injecte du code HTML malveillant sur un site Web sous son contrôle puis il incite la machine cible à se rendre sur ce site. Il peut aussi pirater un site sur lequel la cible se rend habituellement et tout simplement attendre que cette dernière se rende sur ledit site. MS15-019 est le bulletin frère de MS15-018 et corrige le composant VBScript pour IE6 et IE7 qui est résolu dans MS15-018 pour les navigateurs plus récents. Commencez par installer ce bulletin.

MS15-022 est le second bulletin le plus important en termes de sévérité. Il corrige cinq vulnérabilités dans Microsoft Office, l’un d’elle étant critique dans l’analyseur RTF. En effet, ce dernier peut être exécuté automatiquement dans la zone d’aperçu lors de la réception d’un courriel si bien que Microsoft classe cette vulnérabilité comme critique. Cependant, comme deux des vulnérabilités restantes permettent à un attaquant d’exécuter du code à distance, nous positionnons ce bulletin en tête du classement d’aujourd’hui.

MS15-021 résout huit vulnérabilités liées aux polices sous Windows. En effet, un attaquant qui incite un utilisateur à visualiser une police altérée peut lancer une exécution de code à distance sur la machine ciblée. Les attaques peuvent être lancées via des pages Web ou des documents, au format PDF ou Office.

Stuxnet
MS15-020 est le dernier bulletin critique de la série pour le mois de mars. Il concerne un attaquant qui peut inciter un utilisateur à parcourir un répertoire d’un site Web ou à ouvrir un fichier. Le système Windows Text Services contient une vulnérabilité qui permet à l’attaquant de lancer une exécution de code à distance sur la machine cible. Ce bulletin comprend aussi un correctif pour CVE-2015-0096, une vulnérabilité associée à la vulnérabilité Stuxnet d’origine CVE-2010-2568. HP ZDI a rapporté cette vulnérabilité à Microsoft et fournit une bonne description technique sur son blog.

Test Fuzzing
Tous les bulletins restants sont moins critiques, c’est-à-dire seulement importants, dans la mesure où les vulnérabilités concernées ne permettent typiquement pas à un attaquant d’exécuter du code à distance. Ces dernières sont plutôt des fuites d’information ou n’autorisent qu’une élévation locale de privilèges. Les bulletins MS15-024 et MS15-029 traitent des bugs découverts via l’outil afl-fuzz de lcamtuf et que ce dernier améliore sans cesse et rend toujours plus intelligent. Jetez un coup d’œil sur son blog pour lire une série de posts sur afl-fuzz.

Serveurs
MS15-026 est un bulletin pour Microsoft Exchange qui résout plusieurs élévations de privilèges et problèmes de fuites d’information. Consultez ce bulletin si vous utilisez Outlook Web Access. FREAK cible aussi les serveurs, même si de manière différente. Côté serveur, si vous désactivez le chiffrement de type Configuration d’exportation, vos utilisateurs ne pourront pas être victimes de la vulnérabilité FREAK, même si leurs clients ne sont pas patchés.

Adobe
Adobe diffuse aussi une mise à jour (APSB15-05) pour Flash que Microsoft intègre à Internet Explorer, qui sera publiée ce jeudi. Explication de Microsoft dans le correctif KB2755801 : « Le 10 mars 2015, Microsoft a publié une mise à jour (3044132) pour Internet Explorer 10 sur Windows 8, Windows Server 2012, Windows RT ainsi que pour Internet Explorer 11 sur Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows Technical Preview et Windows Server Technical Preview. Cette mise à jour concerne les vulnérabilités décrites dans le bulletin de sécurité Adobe APSB15-05 (disponible le 12 mars 2015). Pour plus d’informations sur cette mise à jour, y compris les liens de téléchargement, voir l’article 3044132 dans la base de connaissances Microsoft. »

Appliquez les correctifs aussi vite que possible mais vérifiez aussi votre exposition à Superfish et sachez que certaines applications modifient votre magasin de certificats racine pour espionner vos communications. (Par Wolfgang Kandek, CTO, Qualys Inc.)

Nouvelle vulnérabilité zero-day dans Adobe Flash

Trend Micro, éditeur de logiciel et solutions de sécurité, a identifié le week-end dernier une nouvelle vulnérabilité 0day affectant Adobe Flash Player, la troisième depuis le début de l’année ! Confirmée par Adobe mais pas encore patchée, cette faille expose plus d’un milliard d’ordinateurs utilisant la dernière version d’Adobe Flash.

Dans un post publié hier sur leur blog, les chercheurs de Trend Micro expliquent que cette vulnérabilité est semblable à celle de la semaine dernière, qui affectait les produits Flash pour Windows. Les attaques sont en effet menées via des publicités en ligne malveillantes, une technique appelée « malvertising ».

L’attaque révélée hier est en cours depuis le 14 janvier et s’est intensifiée à partir du 27 janvier. 3 294 compromissions ont déjà été détectées par les chercheurs sur l’un des sites concernés. Dailymotion.com est l’un des premiers sites où ces attaques ont été détectées.

« Il s’agit de la troisième vulnérabilité découverte depuis le début de l’année dans ce logiciel très répandu chez les particuliers et au sein des entreprises ! Un incident qui rappelle l’importance du Virtual Patching », commente à DataSecurityBreach.fr Loïc Guézo, de chez Trend Micro. « Cette démarche est essentielle pour compenser le temps nécessaire à l’éditeur concerné pour publier son patch correctif. Des délais parfois très longs ! De plus, certains patches sont incorrects, comme c’est arrivé avec Heartbleed, ou n’arrivent tout simplement jamais si les systèmes ne disposent plus de support, comme c’est le cas pour les anciennes versions de Windows. »

Il est recommandé aux entreprises ne disposant pas d’un système de sécurité adéquat de désactiver Adobe Flash Player en attendant qu’un patch de sécurité soit disponible. Data Security Breach en profite pour vous rappeler de vous méfier des fausses mises à jour [lire].

Grosses mises à jour Microsoft et Adobe

Microsoft a publié ce 8 juillet six bulletins pour des vulnérabilités qui affectent toutes les versions d’Internet Explorer, de Windows ainsi que des composants pour serveur. Deux vulnérabilités sont considérées comme « critiques » car elles autorisent l’exécution de codes à distance (RCE), tandis que trois sont signalées comme « importantes » dans la mesure où elles autorisent une élévation de privilèges internes sur Windows.

Le patch le plus critique est le bulletin 1. Il concerne toutes les versions d’Internet Explorer (IE) depuis la version 6 du navigateur, désormais uniquement prise en charge sur Windows Server 2003 depuis l’arrêt du support de XP, jusqu’à la toute dernière version IE 11 sur Windows 8.1 et R. Ce patch doit être une priorité pour vous car la plupart des attaques s’appuient d’une manière ou d’une autre sur votre navigateur Web. Les derniers chiffres publiés dans le rapport Microsoft SIR v16 démontrent clairement que les attaques Web, notamment via Java et Adobe Flash, sont les plus courantes.

Le bulletin 2 est une mise à jour critique pour Windows. Toutes les versions de Vista, Windows 7, 8 et RT pour poste de travail sont concernées. Concernant l’aspect serveur, toutes les versions sauf la plus ancienne, Windows Server 2003, sont affectées. La mise à jour imposera de réinitialiser le système, un paramètre à inclure dans votre planning, plus particulièrement côté serveur.

Les bulletins 3, 4 et 5 traitent de vulnérabilités liées à des élévations de privilèges dans Windows. Toutes les versions de Windows sont concernées. Il s’agit de vulnérabilités locales qui ne permettent pas d’exécuter du code à distance via le réseau, mais qui imposent à l’attaquant d’être déjà présent sur la machine ciblée en tant qu’utilisateur normal ou standard. Les exploits pour ces types de vulnérabilités font partie de la boîte à outils de tout pirate qui a obtenu un compte sur la machine ciblée, après avoir subtilisé des certificats. Dans tous les cas de figure, l’attaquant souhaitera pouvoir contrôler la machine en permanence et, pour ce faire, il devra devenir administrateur de cette dernière afin d’y installer son code de contrôle malveillant. C’est à ce moment que ces vulnérabilités entrent en jeu. Nous estimons donc que résoudre ces dernières est une priorité absolue pour contrarier ou ralentir les attaquants installés sur la machine ciblée.

Enfin, le bulletin 6 traite une vulnérabilité par déni de service (DoS) dans le Service Bus de Windows. Le Service Bus est un tout nouveau composant de Windows utilisé dans l’environnement Windows Azure pour développer des applications hétérogènes. Selon nos estimations, rares sont les entreprises qui ont installé ce composant. Sur Azure, Microsoft se charge de déployer le correctif à votre place.

Courant juillet, Oracle publiera sa mise à jour des patchs critiques (CPU). Elle devrait être diffusée le 15 juillet et fournir des correctifs pour des centaines de vulnérabilités. La pertinence de ces patchs pour votre entreprise dépend de votre inventaire logiciel, mais, dans tous les cas, la mise à jour de Java sera incontournable pour la plupart des entreprises.

Même chose pour ADOBE. Il est d’ailleurs conseillé de se rendre sur le site afin de mettre à jour rapidement l’outil Flash Player. Une mise à jour d’Adobe Flash indispensable. Passez rapidement vers la version 14.0.0.145 qui tourne sur les systèmes Windows, Mac et Linux. Voyez le site ADOBE pour connaitre votre version de flash installée. (avec Wolfgang Kandek, CTO Qualys)

Faille pour le lecteur Adobe PDF dédié à Android

Les smartphones et tablettes deviennent de véritables nids à problémes. Après les fuites de données via les applications malveillantes, des systèmes de sécurité bancals, voici venir une faille dans un outil que nous aurions pu penser « propre ». Il a été découvert que l’application, pour Android, du logiciel Adobe Reader PDF était faillible à une vulnérabilité qui permet à un pirate de compromettre les documents stockés dans l’appareil et les fichiers stockés sur la carte SD du matos. Le lecteur Adobe exploite du javascript mal sécurisé (pleonasme ? ndr). Le chercheur néerlandais en sécurité Yorick Koster a vérifié avec succès l’existence de la vulnérabilité dans la version 11.1.3 du lecteur Adobe pour Android. Le bug a été corrigé dans la dernière version 11.2.0. Il est donc fortement conseillé de mettre à jour l’outil. Un code de démonstration « poc » est proposé. Il va créer un fichier .txt lorsqu’un utilisateur ouvre un fichier pdf spécialement conçu pour utiliser la version vulnérable d’Adobe Reader.

 

Fausses clés de licence ADOBE

Un pirate exploite la base de données piratée à ADOBE pour inciter les clients à télécharger une fausse licence, mais virus. Il fallait un peu s’en douter. Diffuser la base de données volées à ADOBE, BDD comprenant des millions d’emails, ne pouvait qu’attirer les pirates et autres escrocs. Le dernier en date, son courriel a été detecté fin décembre, incite les clients ADOBE à télécharger une nouvelle clé d’activation pour leurs logiciels (Photoshop, Premiére, …) Bien entendu, la pseudo nouvelle clé n’est rien d’autre qu’un code malveillant, un logiciel espion.

Pour rappel, le 3 octobre dernier, Adobe a détecté sur son réseau des attaques informatiques (d’idiotes injections SQL) portant sur l’accès illégal à une base de données de sauvegarde contenant des identifiants Adobe et des mots de passe cryptés, ainsi que sur la suppression de cette base. « Nous vous informons que votre identifiant Adobe figurait dans cette base mais pas votre mot de passe actuel.  Par conséquent, nous n’avons pas réinitialisé votre mot de passe » explique dans son courriel de décembre, l’entreprise américaine.  La base de données piratée provenait d’un système de sauvegarde qui contenait de nombreuses entrées obsolètes et était destiné à être mis hors service. Le système Adobe d’authentification des enregistrements, qui pratique le hachage et le salage des mots de passe des clients, n’était pas la source de la base de données volée. Adobe conseille à ses clients de changer leurs mots de passe, sur les autres sites, dans le cas ou l’internaute aurait utilisé le même que chez ADOBE.

 

Plus de 2 millions de données clients volées à ADOBE

ADOBE, le géant du logiciel de création sur Internet ne voit que pas le Cloud. Au prix que coûtent ses outils numériques, nous aurions pu penser que la sécurisation des données que nous pouvons lui laisser étaient aussi carrée que le protocole mis en place pour s’assurer que les utilisateur de Photoshop, Premiere, … ne soient pas des vilains copieurs.

La société américaine vient de confirmer, par le biais de Brad Arkin (responsable sécurité) qu’un pirate informatique avait mis la main sur pas moins de 2.9 millions de comptes utilisateurs. Dans le fichier intercepté via une faille iSQL : les noms, les informations de facturation, les données des carte de crédit, CVV et compagnie. Les mots de passe des clients ont été réinitialisés.

« L’équipe Adobe en charge de la sécurité a récemment découvert sur notre réseau des attaques sophistiquées portant sur l’accès illégal aux informations de nos clients, ainsi qu’au code source d’Adobe ColdFusion, un serveur d’applications destiné aux développeurs et, potentiellement, d’autres produits Adobe. Nous pensons que ces attaques pourraient être liées. En collaboration avec nos partenaires et les services de police, nos équipes internes mettent tout en œuvre pour résoudre cet incident. »

Là ou cela devient du grand n’importe quoi. Le pirate aurait réussi à mettre la main sur des codes sources d’outils comme Adobe Acrobat, ColdFusion, et ColdFusion Builder. Les pirates ont eu accès aux identifiants et mots de passe Adobe des clients. Les pirates ont pu accéder aux informations bancaires cryptées de 2,9 millions de clients Adobe, et notamment aux noms des clients, à leurs numéros de carte bancaire cryptés et dates d’expiration, ainsi qu’à d’autres données relatives à leurs commandes. « Pour le moment, nous pensons qu’aucun numéro de carte bancaire extrait de nos systèmes n’a été décrypté« . a pu lire datasecuritybreach.fr. Adobe enquête également sur l’accès illégal au code source de ColdFusion et sur le risque d’un accès non autorisé au code source d’autres produits Adobe. « Nous n’avons pas connaissance de menaces accrues pesant sur les utilisateurs de ColdFusion suite à cet incident« .

Toute la procédure pour les clients est en ligne afin de réinitialiser en trois points son mot de passe.