Un vérificateur d'informations d'identification WordPress trojanisé vole 390,000 XNUMX informations d'identification, une vulnérabilité critique découverte dans Microsoft Azure MFA : votre tour d'horizon de la cybersécurité
Un vérificateur d'informations d'identification WordPress trojanisé vole 390,000 1244 informations d'identification dans la campagne MUT-XNUMX
Un acteur malveillant sophistiqué, identifié comme MUT-1244, a mené une campagne à grande échelle au cours de l'année écoulée, réussissant à voler plus de 390,000 XNUMX identifiants WordPress. Cette opération, qui ciblait principalement d'autres acteurs malveillants ainsi que des chercheurs en sécurité, des Red Teamers et des testeurs de pénétration, s'appuyait sur un vérificateur d'identifiants WordPress trojanisé et sur des référentiels GitHub malveillants pour compromettre ses victimes.
Les attaquants ont utilisé un outil malveillant, « yawpp », présenté comme un vérificateur d’identifiants WordPress. De nombreuses victimes, y compris des acteurs malveillants, ont utilisé l’outil pour valider les identifiants volés, exposant par inadvertance leurs propres systèmes et données. Parallèlement à cela, MUT-1244 a mis en place plusieurs référentiels GitHub contenant des exploits de preuve de concept par porte dérobée pour des vulnérabilités connues. vulnérabilitésCes référentiels ont été conçus pour paraître légitimes, apparaissant souvent dans des flux de renseignements sur les menaces fiables tels que Feedly et Vulnmon. Cette apparence d'authenticité a dupé les professionnels et les acteurs malveillants en les incitant à exécuter le malware, qui a été diffusé par diverses méthodes, notamment des fichiers de configuration backdoor, des droppers Python, des packages npm malveillants et des documents PDF truqués.
La campagne comprenait également une phishing Les victimes ont été amenées à exécuter des commandes pour installer ce qu'elles croyaient être une mise à jour du microcode du processeur, mais qui était en fait un logiciel malveillant. Une fois installé, le logiciel malveillant a déployé à la fois un mineur de crypto-monnaie et une porte dérobée, permettant aux attaquants de voler des données sensibles telles que des clés privées SSH, des clés d'accès AWS et des variables d'environnement. d'information a ensuite été exfiltré vers des plateformes comme Dropbox et file.io à l'aide d'informations d'identification codées en dur intégrées dans le logiciel malveillant.
Des chercheurs découvrent une vulnérabilité critique dans Microsoft Azure MFA, permettant la prise de contrôle de compte
Les chercheurs en sécurité d'Oasis Security ont identifié une vulnérabilité critique dans le système d'authentification multifacteur (MFA) de Microsoft Azure qui leur a permis de contourner les protections MFA et d'obtenir un accès non autorisé aux comptes utilisateurs en une heure environ. La faille, causée par l'absence de limite de taux sur les tentatives MFA échouées, a laissé plus de 400 millions de comptes Microsoft 365 vulnérables à une compromission potentielle, exposant des données sensibles telles que les e-mails Outlook, les fichiers OneDrive, les discussions Teams et les services Azure Cloud.
En exploitant cette vulnérabilité, baptisée « AuthQuake », les attaquants ont pu effectuer des tentatives simultanées et rapides pour deviner le code MFA à six chiffres, qui comporte 1 million de combinaisons possibles. L'absence d'alertes utilisateur lors des tentatives de connexion infructueuses a rendu l'attaque furtive et difficile à détecter. De plus, les chercheurs ont découvert que le système de Microsoft permettait aux codes MFA de rester valides pendant environ trois minutes, soit 2.5 minutes de plus que l'expiration de 30 secondes recommandée par la RFC-6238, ce qui augmentait considérablement la probabilité d'une estimation réussie.
Grâce à leurs tests, les chercheurs ont démontré qu’en 24 sessions (environ 70 minutes), les attaquants auraient plus de 50 % de chances de deviner le bon code.
La Russie bloque Viber en raison de violations présumées de la législation nationale
Le régulateur russe des télécommunications, Roskomnadzor, a bloqué l'application de messagerie cryptée Viber, invoquant des violations de la législation nationale. L'application, largement utilisée dans le monde entier, a été accusée de ne pas respecter les exigences visant à empêcher son utilisation abusive pour des activités telles que le terrorisme, l'extrémisme, le trafic de drogue et la diffusion d'informations illégales. Roskomnadzor a justifié cette restriction par la nécessité d'atténuer ces risques et de maintenir le respect des lois russes.
Viber, disponible sur les plateformes de bureau et mobiles, est extrêmement populaire, avec plus d'un milliard de téléchargements sur le Google Play Store et un engagement important des utilisateurs sur iOS. Cependant, cette décision fait suite à une série d'actions des autorités russes ciblant les plateformes de communication étrangères. En juin 1, un tribunal de Moscou a condamné Viber à une amende d'un million de roubles pour ne pas avoir supprimé ce qui était qualifié de contenu illégal, notamment des éléments liés au conflit en cours entre la Russie et l'Ukraine. La répression contre Viber s'inscrit dans le cadre des restrictions plus larges imposées par la Russie aux services de messagerie.
