Septembre 2022

Barometer

Les cyber-menaces des 30 derniers jours vues par les analystes CTI de Gatewatcher
135 869

Indicateurs de compromission (IOCs) identifiés

49 793

Rapports de compromission identifiés (regroupement d’IoCs)

2209 Ioc Fr

ECLAIRAGE DU MOIS


Au début du mois d’Août 2022, un nombre croissant d’investigations liées à des intrusions via Zimbra Collaboration a été constaté. Zimbra est une suite logicielle collaborative gérant la partie client et serveur de messagerie, mais également la gestion de contact, calendrier ou encore partage de document. Cette suite est déclinée en deux versions, l’une open-source (non affectée), l’autre commerciale sur laquelle portent ces vulnérabilités. Suite à ces investigations deux vulnérabilités ont été déclarées :

La CVE-2022-27925 (CVSS: 7.2) portant sur une vulnérabilité de type path traversal lors d’un import de messagerie (nécessitant les droits administrateurs) et pouvant mener à une exécution de code arbitraire (*authenticated RCE*).

La seconde vulnérabilité est la CVE-2022-37042 (CVSS: 9.8) suite à une correction incomplète de la vulnérabilité précédente entraînant en plus un contournement de l’authentification. Ici le cumul du contournement de l’authentification et de l’écriture de fichiers arbitraires ont permis d’obtenir une exécution de code à distance non authentifiée (*unauthenticated RCE*).

L’exploitation active de cette seconde vulnérabilité, qui n’est pas limitée à un acteur en particulier, a également été confirmé par le CISA (Cybersecurity & Infrastructure Security Agency) qui a émis une alerte. Il est à noter qu’un module a récemment été ajouté dans le framework metasploit facilitant d’autant plus son exploitation.

2209 Cve Fr

TOP

vulnérabilités critiques [CVE]
2209 Mw Fr

TOP

familles de malwares

DÉFINITION DU MOIS


Les macros , sont un outil permettant d’automatiser des actions dans Microsoft Office. Lorsqu’elles sont utilisées à des fins malveillantes, elles se cachent dans les fichiers Microsoft Office et sont généralement distribuées via des pièces-jointes d’e-mail ou des fichiers ZIP. Les macros ont plusieurs utilisations ; pour de la persistance via Normal.dotm, en stockant des exécutables ou des commandes dans les colonnes cachées des fichiers Excel, d’exécuter du code sans les permissions utilisateurs via le Workbook d’Excel.

Les acteurs malveillants utilisent régulièrement les macros afin de déployer des programmes malveillants et de rançongiciels. Récemment, Microsoft a changé le comportement par défaut des applications Office pour bloquer les macros dans les fichiers en provenance d’internet. Avec ce changement, les attaquants doivent maintenant convaincre les victimes d’activer les macros afin que la charge malveillante puisse s’exécuter. Vous pouvez vous en protéger en les désactivant et en activant (sur Windows 10) les règles Attack Surface Reduction (ASR), afin d’empêcher les applications Office de créer des processus enfants.

2209 Tgt Fr

TOP

secteurs d’activité visés
2209 Threats Fr

TOP

catégories de menaces

A PROPOS DU CYBER THREATS BAROMETER


Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.