Des millions d’attaques ont ciblé la récente vulnérabilité zero-day du plugin File Manager découverte la semaine dernière. Deux attaquants se disputent le contrôle des sites compromis par la vulnérabilité.

Un chercheur en sécurité a révélé que des thèmes Windows 10 spécialement conçus peuvent être utilisés pour effectuer des attaques Pass-the-Hash.

Une base de données appartenant au forum des webmasters de Digital Point a divulgué des enregistrements de plus de 800 000 professionnels du Web membres du forum. Visa met en garde contre un nouveau skimmer de carte de crédit Javascript Baka qui se supprime de la mémoire après avoir exfiltré des données volées, ce qui le rend difficile à détecter.

Voici les horodatages et les liens au cas où vous voudriez sauter, et une transcription est ci-dessous.
0:12 Les attaquants se battent pour le contrôle des sites Ciblé dans la vulnérabilité du gestionnaire de fichiers
2:02 Les thèmes Windows 10 peuvent être abusés pour voler des mots de passe Windows
3:45 Base de données du forum des webmasters données exposées de 800 000 utilisateurs
5:12 Visa avertit de nouveau Skimmer JavaScript pour carte de crédit Baka

Trouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 86

Scott Miller:

Salut tout le monde. C’est Scott de Wordfence. Vous écoutez Think Like a Hacker, le podcast hebdomadaire sur WordPress, la sécurité et l’innovation. Passons aux histoires de cette semaine.

Ma première histoire de la semaine est une mise à jour sur la vulnérabilité du plugin File Manager. Donc, la semaine dernière, nous avons couvert la vulnérabilité zero-day dans le plugin File Manager. Le plugin est installé sur plus de 700 000 sites, et depuis le 4 septembre, nous avons vu le nombre de sites attaqués passer de 1,7 million à 2,5 millions de sites. Nous avons également découvert des preuves de la présence de plusieurs acteurs de la menace, dont l’un était auparavant responsable d’attaquer des millions d’autres sites.

Maintenant, la vulnérabilité a été utilisée par plusieurs attaquants à ce stade qui ont réussi à voler des mots de passe et à disperser des portes dérobées parmi les sites. Une fois qu’un site est infecté, les mots de passe sont volés en ajoutant du code à l’aide de l’API de Telegram Messenger, qui récupère les informations d’identification de toute personne se connectant au site. Ce code est ajouté au fichier user.php, et dans les cas où WooCommerce est installé, des modifications peuvent être apportées aux fichiers WooCommerce pour extraire également les informations d’identification.

Après avoir nettoyé un certain nombre de sites infectés par ces problèmes, nos analystes de nettoyage avaient déterminé que des logiciels malveillants étaient présents à partir de plusieurs acteurs de la menace. Au total, nous avons vu plus de 370 000 adresses IP différentes utilisées dans ces attaques, ainsi que des portes dérobées dissimulées dans des fichiers ICO. Assurez-vous également de vérifier la présence de nouveaux comptes d’administrateur sur le site, car nous avons également vu des administrateurs malveillants ajoutés dans certains cas d’attaque.

Assurez-vous également que votre pare-feu Wordfence est optimisé et que votre plugin File Manager est à jour. Comme nous l’avons mentionné précédemment, il est préférable d’installer ces types de plugins uniquement lorsque cela est nécessaire, et ils peuvent être supprimés autrement. Si vous souhaitez en savoir plus sur cette attaque, consultez notre article de blog original sur la vulnérabilité ainsi que notre article mis à jour pour plus d’informations sur les attaques.

Dans notre deuxième article cette semaine, les thèmes Windows 10 sont utilisés pour voler les mots de passe Windows des utilisateurs. Ainsi, les informations d’identification du compte Windows sont volées à des utilisateurs sans méfiance lors d’attaques pass-the-hash où les thèmes Windows 10 spécialement conçus sont conçus pour voler les informations d’identification de l’utilisateur. Si vous n’êtes pas familier, vous pouvez personnaliser la couleur, le son, les curseurs, le fond d’écran, etc. d’un thème pour que votre système les utilise sous Windows 10. Ces attaques visent spécifiquement à voler les informations de connexion Windows et les hachages de mot de passe, d’où le nom pass-the -hash, et c’est fait en demandant à un utilisateur d’accéder à un partage de bloc de message serveur nécessitant une authentification.

Tout d’abord, un attaquant crée ensuite un fichier .theme et modifie le paramètre de fond d’écran du bureau pour utiliser une ressource requise pour l’authentification à distance. À ce stade, lorsque Windows tente d’accéder à la ressource requise pour l’authentification à distance, Windows essaie automatiquement de se connecter à distance, ce qui envoie les informations d’identification Windows et le hachage NTLM de leur mot de passe. Ces informations sont ensuite collectées par les attaquants qui tentent de supprimer le hachage et d’utiliser les informations d’identification.

Il est également intéressant de noter que, dans certains cas, la suppression d’un mot de passe peut prendre quelques secondes. Ainsi, pour vous protéger contre ces types d’attaques de fichiers de thème, vous pouvez bloquer ou réassocier les extensions de fichier .theme pack et .desktop à un programme différent. Il est intéressant de noter que lorsque vous faites cela, cela cassera la fonctionnalité de thème de Windows 10, il ne serait donc recommandé de le faire que si vous n’avez pas besoin de passer à un autre thème par la suite.

Dans notre prochain article de cette semaine, une base de données de forum pour les webmasters a exposé les données de 800 000 utilisateurs. Une base de données appartenant à Digital Point a exposé les noms d’adresses e-mail des utilisateurs, et plus encore, pour plus de 800 000 utilisateurs. Le Digital Point, basé à San Diego, en Californie, se décrit comme la plus grande communauté de webmasters au monde et rassemble une variété de professionnels allant des pigistes, des spécialistes du marketing, des programmeurs et autres. Ainsi, le 1er juillet, Jeremiah Fowler et l’équipe de recherche de WebsitePlanet ont trouvé une base de données de recherche élastique non sécurisée, qui contenait plus de 62 millions d’enregistrements, y compris des données provenant de plus de 860 000 utilisateurs de Digital Point.

Peu de temps après, le même jour, l’équipe de recherche a envoyé un avis de divulgation à Digital Point et l’accès à la base de données a été révoqué en quelques heures. Après ce point, il n’y a cependant eu aucun suivi ou communication de Digital Point avec les chercheurs qui ont révélé le problème. Maintenant, bien sûr, il existe de nombreuses ramifications liées à l’accès aux données des utilisateurs dans une situation comme celle-ci, telles que le vol de données et le phishing. Il est définitivement recommandé de toujours utiliser un mot de passe unique pour chaque site auquel vous accédez. Donc, dans le cas où quelque chose comme cela se produirait, le mot de passe ne peut pas être associé à votre adresse e-mail et à vos noms de connexion pour accéder à d’autres sites.

Dans notre dernière histoire cette semaine, Visa met en garde contre un nouveau skimmer JavaScript de carte de crédit. Ainsi, Visa a émis un avertissement concernant un nouveau skimmer de commerce électronique JavaScript connu sous le nom de Baka qui se retirera de la mémoire après avoir exfiltré des données volées. Le script qui a été conçu pour voler des données de carte de crédit a été trouvé par des chercheurs de l’initiative Visa’s Payment Fraud Disruption ou PFD en février 2020, et a été trouvé lors de l’examen d’un serveur de commande et de contrôle ou d’un serveur C2 qui avait auparavant un kit d’écrémage Web ImageID.

Le baka propose des fichiers de formulaire cible configurables et la suppression des données à l’aide de demandes d’images, ainsi qu’une conception avancée, y compris une méthode d’obfuscation unique, ce qui suggère qu’il s’agit du travail de quelqu’un ayant une grande connaissance des logiciels malveillants et de ces types d’attaques. Désormais, Visa émet une alerte directement et mentionne les charges de skimmer de manière dynamique pour éviter les scanners de logiciels malveillants statiques et utilise des paramètres de cryptage uniques pour chaque victime pour masquer le code malveillant.

Visa recommande également d’envisager d’utiliser une solution de paiement entièrement hébergée dans laquelle les clients saisissent leurs informations de paiement sur une autre page Web hébergée spécifiquement par cette solution de paiement, qui serait distincte du site du marchand. C’est le moyen le plus sûr de protéger le commerçant et ses clients contre les logiciels malveillants d’écrémage du commerce électronique. Nous avons vu ce genre de problèmes sur les sites de commerce électronique dans le passé et c’est un rappel de toujours garder les plugins à jour et de vous assurer que votre site dispose d’un pare-feu actif pour rechercher les vulnérabilités et les changements. Il est également recommandé d’exiger des mots de passe forts pour tous les comptes d’administrateur et, bien sûr, de limiter les personnes auxquelles vous accordez un accès administrateur.

C’est tout pour nous cette semaine sur Think Like a Hacker, restez en sécurité et rejoignez-nous tous les mardis pour Wordfence Live sur YouTube à midi, heure de l’Est, à 9h00, heure du Pacifique. Nous reviendrons avec d’autres nouvelles la semaine prochaine, mais d’ici là, passez un bon week-end et nous vous surprendrons bientôt.

Suis moi sur Twitter @wfscottmiller. Vous pouvez trouver Wordfence sur Twitter, Facebook, Instagram. Vous pouvez également nous trouver sur Youtube, où nous avons notre Wordfence Live hebdomadaire les mardis à midi Est, 9h00 du Pacifique.



Source link