Les utilisateurs finaux, les administrateurs et les chercheurs feraient bien de se préparer : le nombre d’applications corrigées pour les vulnérabilités du jour zéro a considérablement augmenté ce mois-ci et risque d’empirer dans les semaines à venir.
Les gens ont fait des heures supplémentaires ces dernières semaines pour corriger un large éventail de vulnérabilités activement exploitées, les offres d’Apple, Microsoft, Google, Mozilla, Adobe et Cisco étant affectées depuis le début du mois. Le nombre de jours zéro suivis ce mois-ci est bien supérieur à la moyenne mensuelle de cette année. Le nombre d’attaques en septembre a jusqu’à présent atteint 10, contre un total de 60 attaques de janvier à août, selon la société de sécurité Mandiant. Entreprise suivi 55 zéro jour en 2022 et 81 zéro jour en 2021.
Un échantillon d’entreprises et de produits concernés comprend iOS et macOS, Windows, Chrome, Firefox, Acrobat, Reader, Atlas VPN, Cisco Adaptive Security Appliance Software et Firepower Threat Defense. Le nombre d’applications est susceptible d’augmenter car une seule vulnérabilité permet aux pirates d’exécuter du code malveillant lorsque les utilisateurs ouvrent une image piégée intégrée dans un message ou une page Web trouvée dans des centaines d’applications.
Cette vulnérabilité, identifiée comme CVE-2023-4863, provient d’une bibliothèque de codes largement utilisée connue sous le nom de libwebp, qui a été créé par Google il y a plus de dix ans pour présenter le nouveau format graphique WebP. Libwebp, quant à lui, est presque entièrement intégré à 70 bibliothèques en aval Inclus dans les bibliothèques et autres applications courantes. Par exemple, une bibliothèque de middleware concernée, connue sous le nom d’Electron, fonctionne dans Microsoft Teams, Slack, Skype, Discord et la version de bureau de Signal Messenger, pour n’en nommer que quelques-uns. Développeurs d’électrons Corriger les bugs Mardi.
Pendant ce temps, deux programmes zero-day différents qui exécutaient des utilisateurs iOS et macOS ont récemment été utilisés pour infecter des cibles avec un logiciel espion avancé connu sous le nom de Pegasus. Pegasus et l’exploit associé utilisé pour l’installer ont été développés par le fournisseur controversé NSO. Exploits livrés lors d’attaques Apple a prévenu la semaine dernière Il a été envoyé via des appels iMessage et a fonctionné même lorsque l’utilisateur n’a pris aucune mesure.
Ces vulnérabilités, suivies sous les noms CVE-2023-41064 et CVE-2023-41061, présentent des similitudes avec la vulnérabilité libwebp. Premièrement, ils offrent tous deux des capacités d’exécution de code à distance via des images malveillantes. D’autre part, ils ont été découverts par une équipe comprenant l’équipe d’ingénierie et d’architecture de sécurité d’Apple et Citizen Lab, un groupe de recherche de l’Université de Toronto qui suit les cyberattaques au niveau des États-nations. On ignore actuellement quelle relation, le cas échéant, existe entre CVE-2023-41064, CVE-2023-41061 et CVE-2023-4863.
Trois jours zéro différents ont été révélés mardi, deux de Microsoft et un d’Adobe. L’un d’eux, CVE-2023-36761, permet aux pirates d’obtenir des informations sensibles telles que des hachages de mots de passe en envoyant un document Word malveillant à la cible. Une autre vulnérabilité Microsoft existe dans le proxy du service de streaming dans les versions prises en charge de Windows. La vulnérabilité Adobe, suivie comme CVE-2023-26369 et localisée dans Acrobat et Reader, a un indice de gravité de 7,8 sur 10. Elle permet aux attaquants d’exécuter du code à distance.
Deux autres jours zéro ont été signalés au cours des deux dernières semaines :
- CVE-2023-20269 dans le logiciel Cisco Adaptive Security Appliance et Firepower Threat Defense. Entreprise révélé lundi Il est exploité dans des attaques de ransomware.
- CVE-2023-35674, une vulnérabilité dans Android qui permet aux pirates d’obtenir des privilèges élevés.
Le 1er septembre, le chercheur Je suis allé sur Reddit Pour déployer un exploit pour une vulnérabilité non corrigée dans Atlas VPN. Il permet à un attaquant de connaître l’adresse IP des personnes utilisant un VPN. Les représentants d’Atlas n’ont pas immédiatement répondu à un e-mail demandant l’état de la vulnérabilité.
Zero Day a probablement été exploité ces dernières semaines. Chercheurs du projet Google Zero Il a dit la semaine dernière Les pirates informatiques soutenus par le gouvernement nord-coréen l’exploitent dans des attaques ciblant les chercheurs en sécurité. Les chercheurs n’ont pas mentionné le nom du programme concerné.
Avec 70 zéro jour détectés jusqu’à présent cette année, 2023 est en passe de battre le précédent record de 81 jours établi en 2021. Le remède le plus efficace consiste à installer les correctifs de sécurité dès qu’ils sont disponibles. Bien entendu, ces conseils ne font rien pour les cibles touchées avant que les vulnérabilités ne soient rendues publiques et que les correctifs ne soient publiés. Nous devons répéter nos conseils de précaution :
- Méfiez-vous des liens, en particulier de ceux contenus dans les e-mails ou les messages, et ne suivez jamais les invites pour installer ou mettre à jour des applications ou des extensions de navigateur.
- Utilisez un pare-feu tel que celui de Windows ou Pare-feu Lulu Pour MacOS. Ces programmes ne vous protégeront pas contre les infections du jour zéro ou d’autres types d’exploits. Mais en exigeant que les applications nouvellement installées obtiennent une autorisation la première fois qu’elles tentent d’établir une connexion sortante à Internet, les pare-feu peuvent contenir les dégâts que tout logiciel malveillant installé peut causer.
- Exécutez un logiciel antivirus.
Autre chose à retenir concernant le zéro jour : il est peu probable que la plupart d’entre nous soient ciblés pendant un seul jour. Les exploits de cette classe de vulnérabilités coûtent souvent 1 million de dollars ou plus, et une fois publiés sur Internet, il ne leur faut généralement que quelques jours pour être connus du public et perdre de leur valeur. Cela signifie que Zero Day ne sera probablement utilisé que sur une très petite base de cibles considérées comme de grande valeur, telles que des responsables gouvernementaux, des dissidents, de grandes entreprises et des détenteurs de grandes quantités de crypto-monnaies.