Bootkit peut compromettre Windows 11, un conteneur piraté trouvé et plus encore.
Bienvenue dans Cyber Security Today. Nous sommes le vendredi 3 mars 2023. Je suis Howard Solomon, journaliste collaborateur sur la cybersécurité pour ITWorldCanada.com et TechNewsday.com aux États-Unis
Un bootkit vendu aux escrocs peuvent contourner et corrompre un système Windows 11 entièrement corrigé, disent les chercheurs d’ESET. Appelé BlackLotus, il peut contourner la protection de sécurité du système d’exploitation Secure Boot basée sur le micrologiciel. Il exploite une vulnérabilité vieille d’un an qui a été corrigée par Microsoft dans sa mise à jour Windows de janvier 2022. Le problème est que l’exploitation est toujours possible car les fichiers binaires validement signés dans le bootkit n’ont pas été ajoutés à ce qu’on appelle la liste de révocation UEFI. Une fois lancé, ce bootkit désactivera les mécanismes de sécurité de Windows tels que Defender et BitLocker. Bien que ce bootkit ait été vendu sur des forums clandestins au moins au cours des quatre derniers mois, il semble que peu d’acteurs malveillants aient commencé à l’utiliser – jusqu’à présent. ESET exhorte le forum UEFI à mettre à jour sa liste de révocation.
Séparément ESET averti qu’une nouvelle porte dérobée personnalisée est déployée par ce que l’on pense être un groupe aligné sur la Chine qu’il appelle Mustang Panda. C’est une porte dérobée simple qui permet à l’attaquant d’exécuter des commandes. Il utilise le protocole MQTT pour les communications.
Conteneurisé les environnements virtuels avec tout ce dont une application a besoin pour fonctionner sont efficaces. Mais ils restent vulnérables aux cyberattaques. Le dernier exemple a été découvert par des chercheurs de Sysdig. Ils ont trouvé une charge de travail conteneurisée qui a été piratée, puis exploitée pour effectuer une élévation de privilèges vers un compte AWS afin de voler le logiciel propriétaire et les informations d’identification de l’entreprise victime. Tout a commencé avec l’attaquant exploitant un service accessible sur Internet dans un cluster Kubernetes autogéré hébergé dans un compte cloud AWS. Ils ont obtenu le nom d’utilisateur et le mot de passe temporaires d’un employé via les métadonnées d’instance. Ensuite, parce que cet utilisateur avait des autorisations d’accès excessives, l’attaquant pourrait obtenir les informations d’identification des autres et passer à autre chose. Une leçon : donnez à un employé plus d’accès qu’il n’en a besoin aux ressources et un attaquant réussi en profitera. Deuxième leçon : des détections et des alertes fortes sont nécessaires dans les environnements conteneurisés.
Avis aux administrateurs Linux : Le malware SysUpdate qui ne fonctionnait jusqu’à présent que sur les machines Windows peut désormais fonctionner sur les machines Linux, selon Trend Micro. On pense qu’il a été créé par un acteur menaçant que les chercheurs appellent Lucky Mouse ou Iron Tiger. Ce malware peut prendre des captures d’écran, rechercher, supprimer et renommer des fichiers, télécharger et télécharger des fichiers, entre autres. La nouvelle version peut également communiquer via des requêtes texte DNS.
Chaîne de restauration rapide Chick-fil-A a commencé à informer les clients leurs données personnelles ont été exposées entre le 18 décembre et le 12 février. L’attaquant a utilisé des identifiants de connexion volés à un tiers anonyme. Les informations volées peuvent avoir inclus des noms, des adresses e-mail, les quatre derniers chiffres des numéros de carte de crédit/débit et des numéros de paiement mobile. Si les clients enregistraient des informations personnelles sur leurs comptes, telles que le mois et le jour de leur naissance, ils auraient également été volés.
j’ai déjà signalé sur les violations de données résultant de la compromission du service de transfert de fichiers géré GoAnywhere. Hatch Bank aux États-Unis notifie désormais près de 140 000 clients qui ont emprunté ou demandé à emprunter de l’argent que certaines de leurs données ont été consultées fin janvier. Le site d’information Bleeping Computer indique que le gang de rançongiciels Clop revendique la responsabilité d’avoir compromis le service de transfert de fichiers. Cette affirmation n’a pas été vérifiée.
La plupart des auditeurs savent – J’espère – de survoler les liens qu’ils reçoivent dans les e-mails et les SMS comme un moyen de confirmer qu’ils accèdent à un site Web légitime. Ceci est particulièrement important si le lien est raccourci. Cependant, le vol stationnaire n’est pas infaillible. Les escrocs ont des moyens de dissimuler un faux lien complet. La méthode la plus récente consiste à donner l’impression que l’URL complète va vers ou implique LinkedIn. LinkedIn, bien sûr, est une marque de confiance. Selon les chercheurs de Malwarebytes, les gens reçoivent des e-mails qui semblent provenir d’Amazon concernant le renouvellement de leur service Prime. Mais le but est de voler les mots de passe Gmail, Microsoft et autres. L’arnaque fonctionne comme ceci : dans les messages électroniques, il y a un bouton Mettre à jour maintenant pour mettre à jour votre supposé compte Prime. Passer la souris sur le bouton affiche un lien raccourci qui inclut le mot LinkedIn. Cliquez dessus et vous êtes redirigé vers un site Web qui ressemble à une page de connexion Amazon. Les victimes qui saisissent leur adresse e-mail et leur mot de passe comme demandé sont envoyées vers une page dite de contrôle de sécurité où il leur est demandé de remplir des informations personnelles – qui sont transmises aux escrocs. Cela fonctionne grâce à un service de redirection de site Web proposé par LinkedIn. Ne vous laissez pas berner par cette arnaque.
C’est tout pour le moment. Mais plus tard dans la journée, le podcast Week in Review sera disponible. Mon invité sera Tom Keenan, professeur de cybersécurité à l’Université de Calgary. Il parlera d’intelligence artificielle et de ChatGPT. Ce spectacle sera disponible après 15 h. Heure de l’Est
Les liens vers des détails sur les histoires de podcast sont dans la version texte sur ITWorldCanada.com.
Suivez Cyber Security Today sur Apple Podcasts, Google Podcasts ou ajoutez-nous à votre Flash Briefing sur votre haut-parleur intelligent.
