Blog

Nouvelle vague de Ransomware !

Alerte

 

Il y a seulement quelques heures, une épidémie de ransomware internationale a fait son apparition et elle s’annonce aussi importante que celle de WannaCry qui a fait rage il n’y a pas très longtemps.

Ces quelques heures ont été suffisantes pour que plusieurs grandes entreprises même dans notre région soient infectées.

Cette attaque complexe semble impliquer plusieurs vecteurs d’attaque. Nous pouvons confirmer qu’une version modifiée de l’exploit EternalBlue est utilisée afin que le ransomware se propage.

Nous conseillons à toutes les entreprises :

  • Mettre à jour leurs systèmes Windows Les utilisateurs de Windows XP et Windows 7 peuvent se protéger en installant le patch de sécurité MS17-010
  • S’il n’est pas possible de mettre à jour une machine, il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures adaptées de protection.
  • De limiter l’exposition du service SMB, en particulier sur internet ;
  • De respecter le principe de moindre privilège pour les utilisateurs Ce principe limite l’élévation de privilèges et la propagation latérale de l’attaquant;
  • Bloquez le port 445 (au niveau local, datacenter et perimétique) pour prévenir la propagation.
  • S’assurer qu’elles ont une sauvegarde Une sauvegarde à jour permet de restaurer les fichiers originaux après un incident de ce type.

Nous ne saurons que trop vous déconseiller de procéder au paiement de la rançon.

Toutes les solutions de sécurité commercialisées par UNIDEES Algérie ont déjà pris en compte cette nouvelle menace. Nous invitions nos clients à se rapprocher du service support (support@unidees.dz) pour toute question sur les mécanismes de protection de leurs solutions de sécurité.

glibc affectée par une nouvelle vulnérabilité, Linux en danger !

Après la vulnérabilité Ghost qui a touché glibc il y a un an déjà, une nouvelle faille de type buffer overflow frappe cette bibliothèque.

[responsive]Capture d’écran 2016-02-17 à 22.18.13[/responsive]

En pratique, glibc réserve 2048 octets sur la pile pour stocker la réponse à une interrogation DNS via la fonction _nss_dns_gethostbyname4_r(). Puis, si la réponse est plus grande que cette taille, un nouveau buffer est réservé sur le tas par les fonctions send_dg (UDP) ou send_vc (TCP) et toutes les informations (pointeur, nouvelle taille du tampon et taille de la réponse) sont mises à jour. Sous certaines conditions, il peut arriver que la pile soit au final utilisée pour stocker la réponse DNS, même si la taille de la réponse dépasse la taille du buffer et qu’un buffer sur le tas a été alloué. Ce comportement aboutit donc à un dépassement de tampon sur la pile.

[embedvideo type= »youtube » id= »AjRGS6dWNdI »]

UNIDEES Algérie vous recommande d’appliquer sans plus attendre le patch permettant de corriger cette vulnérabilité.

Actualité Kaspersky 2016

Afin de ne rien perdre de l’actualité Kaspersky, vous trouverez ci-dessous un résumé des informations importantes de ce début d’année.

Cycle de vie des produits

  • Kaspersky Endpoint Security 10.1.0.867 ne bénéficie plus des mises à jour depuis le 1 Février 2016
  • Kaspersky Endpoint Security 8.1.0.1042 ne bénéficiera plus de support après le 31 Mars 2016
  • Kaspersky Security for Microsoft Exchange Server 8.3.325.0 ne bénéficie plus des mises à jour depuis le 1 Janvier 2016
  • Kaspersky Security for SharePoint Server 8.2.15252.0 ne bénéficie plus des mises à jour depuis le 1 Janvier 2016
  • Kaspersky Security for Linux Mail Server 8.0.0.455 ne bénéficie plus des mises à jour depuis le 1 Janvier 2016
  • Kaspersky Security Center 9.3.75 et 9.2.69a ne bénéficient plus de support depuis le 1 Février 2016
  • Kaspersky Security Center 10.0.3361 ne bénéficie plus de support depuis le 1 Février 2016

Pour plus d’informations sur le cycle de vie des produits, Cliquez ici

Les versions à venir

  • Kaspersky Security 10 for Windows Servers Enterprise Edition – Date de sortie provisoire : 2e trimestre 2016
  • Kaspersky Security Center 10 SP2 – Date de sortie provisoire : 2e trimestre 2016
  • Kaspersky Anti-Virus 10 for Linux File Server – Date de sortie provisoire : 2e trimestre 2016
  • Kaspersky Security for Virtualization Light Agent 3.0 SP2 – Date de sortie provisoire : 3e trimestre 2016
  • Kaspersky Endpoint Security 10 for Linux – Date de sortie provisoire : 3e trimestre 2016

Security corner

Vulnérabilités… au tour de CISCO !

Cisco vient de publier un patch fixant une la vulnérabilité CVE-2016-1287 qui touche les firewalls ASA, cette vulnérabilité, qui peut conduire au le reload du système ou à une remote code execution, affecte les produits suivants :

  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 9300 ASA Security Module
  • Cisco ISA 3000 Industrial Security Appliance

Cette faille est causée par une buffer overflow qui permet à un utilisateur malintentionné d’envoyer un packet UDP malveillant (un payload spécialement crafté pour exploiter cette vulnérabilité) ce qui aura pour résultat la création d’un reverse shell (une backdoor) avec un niveau de privilèges root.

UNIDEES Algérie vous recommande de mettre à jour votre système afin d’éviter tout accès malveillant via l’exploitation de cette vulnérabilité.

 

Kaspersky Lab, une nouvelle fois, Leader du Magic Quadrant 2016.

Le rapport Magic Quadrant 2016 de Gartner sur les plateformes de protection des postes de travail est disponible. Découvrez-le dès maintenant.

Le Magic Quadrant n’est plus à présenter, il est devenu un outil indispensable pour comparer les performances des différents acteurs de l’informatique, dans leurs domaines respectifs.

Kaspersky Lab maintient et conforte sa place parmi les leaders du Magic Quadrant pour la cinquième année consécutive. Découvrez comment nos solutions ainsi que les concurrentes sont évaluées.

Bonne lecture à tous,

[button link= »https://www.gartner.com/doc/reprints?id=1-2X53YGZ&ct=160126&st=sb&aliId=207125681″ size= »medium » target= »_blank » color= »blue » lightbox= »false »]Visualiser le rapport[/button]

Une backdoor découverte sur FortiOS – Fortinet

Peu de temps après la découverte d’une backdoor sur les produits Juniper Networks, une nouvelle vulnérabilité vient d’être découverte sur les FortiOS de Fortinet.

 

Il s’agit d’une faille très critique, des identifiants codés en dur dans le code qui permettent un accès SSH au système (tournants sur une version entre 4.x à 5.0.7) à quiconque exploitera cette vulnérabilité.

[responsive]

 Capture d’écran 2016-01-13 à 16.58.19

Capture d’écran 2016-01-13 à 17.00.18

[/responsive]

D’après l’article publié par Fortinet et les tests effectués par l’équipe UNIDEES Algérie, ne sont pas vulnérables les versions suivantes :

FortiOS v4.3.17 ou toute version ultérieure de FortiOS v4.3 (disponibles à partir du 9 Juillet 2014)

FortiOS v5.0.8 ou toute version ultérieure de FortiOS v5.0 (disponibles à partir du 28 Juillet, 2014)

Toute version de FortiOS v5.2 ou v5.4

Par ailleurs, si vous êtes affectés par cette vulnérabilité, UNIDEES Algérie recommande de mettre à jour votre version FortiOS sans plus attendre.

Si pour une quelconque raison les mises à jours ne sont pas possible, nous vous recommandons de désactiver l’accès en SSH ou d’en limiter ce dernier à certaines adresses IP (privés) jugés de confiance.