Histoire en vedette
Microsoft corrige quatre jours zéro activement exploités
La dernière mise à jour Patch Tuesday de Microsoft a corrigé quatre vulnérabilités critiques de type « zero-day » qui ont été activement exploitées :
- CVE-2024-43491: RCE dans Windows Update (CVSS 9.8), permettant l’exécution de code non authentifié.
- CVE-2024-38014: Élévation de privilèges dans le programme d’installation de Windows avec possibilité de contrôle total du système.
- CVE-2024-38217: Contournement du MoTW, probablement exploité depuis 2018 et utilisé dans des campagnes de ransomware.
- CVE-2024-38226: Contournement des protections macro de Microsoft Publisher.
Analyse SOC : Plusieurs failles majeures ont été signalées (par exemple CVE-2024-43491 CVSS 9.8), dont certaines ont déjà été exploitées dans la nature. Appliquez le dernier correctif de Microsoft dès que possible. Les utilisateurs de Defender peuvent identifier l’exposition via l’onglet Gestion des vulnérabilités.
Autres histoires
Campagne de référencement Black Hat de DragonRank ciblant les serveurs IIS en Asie et en Europe
La campagne installe des logiciels malveillants (BadIIS, PlugX) via des applications phpMyAdmin/WordPress vulnérables afin de détourner les résultats de recherche.
Analyse SOC : Veillez à ce que les services orientés vers le web soient corrigés. Les WAF et la gestion des correctifs pour les applications CMS comme WordPress peuvent réduire l’exposition. Approach peut vous aider à mettre en œuvre les technologies WAF.
Le botnet Quad7 s’étend pour cibler les routeurs SOHO et les appareils VPN
Le botnet Quad7, en pleine évolution, cible désormais les appareils de TP-Link, ASUS, Zyxel, Ruckus et d’autres qui utilisent des ports tels que 7777 et 11288.
Analyse SOC : Surveillez et bloquez les ports inutilisés. Déployez Zeek, Snort ou Suricata pour suivre et alerter sur les activités suspectes sur les périphériques. Approach peut vous aider dans cette surveillance.
AVERTISSEMENT : Ivanti publie des mises à jour de sécurité urgentes pour Endpoint Manager
CVE-2024-29847 (CVSS 10) permet l’exécution de code non authentifié. D’autres failles SQLi affectent les utilisateurs administrateurs. Mises à jour publiées pour EPM 2024 et 2022 SU5.
Analyse SOC : Apportez immédiatement des correctifs aux systèmes Ivanti. Les outils VPN et de sécurité sont de plus en plus ciblés par les groupes de ransomware. Un processus de gestion des vulnérabilités est essentiel.
Vous souhaitez améliorer la sensibilisation à la cybernétique ou la stratégie de conformité de votre organisation ?
Contactez l’équipe SOC de Approach Cyber pour un soutien et des programmes de formation sur mesure.
Contactez l’équipe SOC de Approach Cyber pour un soutien et des programmes de formation sur mesure.
