Analyse pour identifier les ordinateurs Windows affectés par des vulnérabilités

Un avertissement concernant 16 vulnérabilités de sécurité de haut niveau et graves dans les produits Microsoft vient d'être envoyé par le Département de la sécurité de l'information (ministère de l'Information et des Communications) aux unités spécialisées en informatique et en sécurité de l'information des ministères, branches et localités ; sociétés, entreprises publiques, banques commerciales par actions et institutions financières.

Les vulnérabilités ci-dessus ont été signalées par le Département de la sécurité de l'information sur la base d'une évaluation et d'une analyse de la liste de correctifs d'avril 2024 annoncée par Microsoft avec 147 vulnérabilités existantes dans les produits de cette société technologique.

lo-hong-1-1.jpg
Les failles de sécurité sont l’un des « chemins » que les groupes de pirates informatiques analysent et exploitent pour attaquer le système. Illustration : Internet

Parmi les 16 vulnérabilités de sécurité nouvellement signalées, il y a 2 vulnérabilités pour lesquelles les experts recommandent une attention particulière, à savoir : Vulnérabilité CVE-2024-20678 dans Remote Procedure Call Runtime - RPC (un composant Windows qui facilite la communication entre différents processus du système via le réseau - PV), permettant aux attaquants d'exécuter du code à distance ; La vulnérabilité CVE-2024-29988 dans SmartScreen (une fonctionnalité de sécurité intégrée à Windows) permet aux attaquants de contourner le mécanisme de protection.

La liste des vulnérabilités de sécurité dans les produits Microsoft avertis cette fois-ci comprend également 12 vulnérabilités qui permettent aux attaquants d'exécuter du code à distance, notamment : 3 vulnérabilités CVE-2024-21322, CVE-2024-21323, CVE2024-29053 dans « Microsoft Defender for IoT » ; Vulnérabilité CVE-2024-26256 dans la bibliothèque open source Libarchive ; Vulnérabilité CVE-2024-26257 dans les feuilles de calcul Microsoft Excel ; 7 vulnérabilités CVE-2024-26221, CVE-2024-26222, CVE2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231 et CVE2024-26233 dans « Windows DNS Server ».

En outre, il est également conseillé aux unités de prêter attention à deux vulnérabilités qui permettent aux sujets d'effectuer des attaques d'usurpation d'identité, notamment la vulnérabilité CVE-2024-20670 dans le logiciel Outlook pour Windows qui expose le « hachage NTML » et la vulnérabilité CVE-2024-26234 dans le pilote proxy.

Le Département de la sécurité de l'information recommande aux agences, organisations et entreprises de vérifier, d'examiner et d'identifier les ordinateurs utilisant des systèmes d'exploitation Windows susceptibles d'être affectés, et de mettre à jour rapidement les correctifs pour éviter le risque de cyberattaques. L’objectif est d’assurer la sécurité des informations des systèmes d’information des unités, contribuant ainsi à garantir la sécurité du cyberespace vietnamien.

Il est également recommandé aux unités de renforcer la surveillance et d’élaborer des plans d’intervention lorsqu’elles détectent des signes d’exploitation et de cyberattaques. Parallèlement à cela, surveillez régulièrement les canaux d’alerte des autorités et des grandes organisations en matière de sécurité de l’information pour détecter rapidement les risques de cyberattaque.

En avril également, le Département de la sécurité de l'information a averti et demandé aux unités d'examiner et de corriger la vulnérabilité de sécurité CVE-2024-3400 dans le logiciel PAN-OS. Le code d’exploitation de cette vulnérabilité a été utilisé par le sujet pour attaquer les systèmes d’information de nombreuses agences et organisations. Il est recommandé aux unités utilisant le logiciel PAN-OS de mettre à jour le correctif pour les versions concernées publiées le 14 avril.

Donner la priorité à la gestion des risques potentiels dans le système

Les experts considèrent toujours que les attaques contre les systèmes en exploitant les vulnérabilités de sécurité des logiciels et des solutions technologiques couramment utilisés sont l’une des principales tendances en matière de cyberattaques. Les groupes de cyberattaques n’exploitent pas seulement les vulnérabilités zero-day (vulnérabilités qui n’ont pas été découvertes) ou les nouvelles vulnérabilités de sécurité annoncées par les entreprises, mais recherchent également activement les vulnérabilités de sécurité déjà découvertes pour les exploiter et les utiliser comme tremplin pour attaquer les systèmes.

W-network-information-security-1-1.jpg
Des évaluations périodiques de la sécurité des informations et une recherche proactive des menaces pour détecter et éliminer les risques potentiels du système sont importantes pour les unités et les entreprises afin de protéger leurs systèmes. Illustration : K. Linh

Cependant, dans la réalité, le Département de la sécurité de l'information et les agences et unités opérant dans le domaine de la sécurité de l'information émettent régulièrement des avertissements sur de nouvelles vulnérabilités ou de nouvelles tendances d'attaque, mais de nombreuses agences et unités n'ont pas vraiment prêté attention à leur mise à jour et à leur traitement rapide.

En parlant d'un cas spécifique de soutien à une organisation qui a été attaquée fin mars, l'expert Vu Ngoc Son, directeur technique de la société NCS, a déclaré : « Après analyse, nous avons réalisé que l'incident aurait dû être traité plus tôt, car cette organisation avait été avertie que le compte de la réceptionniste était compromis et devait être traité immédiatement. Parce qu’ils pensaient que le compte de la réceptionniste n’était pas important, cette organisation l’a ignoré et ne l’a pas traité. Les pirates ont utilisé le compte de la réceptionniste, exploité la vulnérabilité et obtenu des droits administratifs et lancé des attaques sur le système .

Les statistiques partagées par le Département de la sécurité de l'information à la fin de l'année dernière ont montré que plus de 70 % des organisations n'ont pas prêté attention à l'examen et à la gestion des mises à jour et à la correction des vulnérabilités et des faiblesses qui ont été signalées.

Face à la situation ci-dessus, dans les 6 groupes de tâches clés recommandées aux ministères, branches, localités, agences, organisations et entreprises sur lesquelles se concentrer pour mettre en œuvre en 2024, le Département de la sécurité de l'information a demandé aux unités de donner la priorité à la résolution des risques potentiels ou des risques déjà présents dans le système.

« Les unités doivent tenir compte des risques reconnus et des risques existants dans le système avant de penser à investir pour se protéger contre les nouveaux risques. « Il est très important de vérifier et d'évaluer régulièrement la sécurité de l'information conformément à la réglementation et de rechercher les menaces pour détecter et éliminer les risques sur le système, et cela doit être fait régulièrement », a souligné un représentant du Département de la sécurité de l'information.

Le ministère de l'Information et des Communications mettra en place une plateforme de soutien à l'alerte précoce des risques de sécurité de l'information . Prévue pour être mise en place en 2024, la plateforme de gestion, de détection et d'alerte précoce des risques de sécurité de l'information informera automatiquement les agences et organisations des risques, des vulnérabilités et des faiblesses du système d'information de l'unité.