{"id":1009408,"date":"2023-11-09T16:47:42","date_gmt":"2023-11-09T18:47:42","guid":{"rendered":"https:\/\/teknomers.com\/fr\/alerte-zero-day-lace-tempest-exploite-la-vulnerabilite-du-logiciel-de-support-informatique-de-sysaid\/"},"modified":"2023-11-09T16:47:46","modified_gmt":"2023-11-09T18:47:46","slug":"alerte-zero-day-lace-tempest-exploite-la-vulnerabilite-du-logiciel-de-support-informatique-de-sysaid","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/alerte-zero-day-lace-tempest-exploite-la-vulnerabilite-du-logiciel-de-support-informatique-de-sysaid\/","title":{"rendered":"Alerte Zero Day\u00a0: Lace Tempest exploite la vuln\u00e9rabilit\u00e9 du logiciel de support informatique de SysAid"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 novembre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Vuln\u00e9rabilit\u00e9 \/ Zero Day<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Alerte-Zero-Day-Lace-Tempest-exploite-la-vulnerabilite-du-logiciel.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur malveillant connu sous le nom de Lace Tempest a \u00e9t\u00e9 li\u00e9 \u00e0 l&#8217;exploitation d&#8217;une faille zero-day dans le logiciel de support informatique SysAid lors d&#8217;attaques limit\u00e9es, selon de nouvelles d\u00e9couvertes de Microsoft.<\/p>\n<p>Lace Tempest, connu pour distribuer le ransomware Cl0p, a dans le pass\u00e9 exploit\u00e9 des failles zero-day dans les serveurs MOVEit Transfer et PaperCut.<\/p>\n<p>Le probl\u00e8me, suivi comme <strong>CVE-2023-47246<\/strong>, concerne une faille de travers\u00e9e de chemin qui pourrait entra\u00eener l&#8217;ex\u00e9cution de code au sein d&#8217;installations sur site.  Il a \u00e9t\u00e9 corrig\u00e9 par SysAid dans la version 23.3.36 du logiciel.<\/p>\n<p>&#8220;Apr\u00e8s avoir exploit\u00e9 la vuln\u00e9rabilit\u00e9, Lace Tempest a \u00e9mis des commandes via le logiciel SysAid pour fournir un chargeur de malware pour le malware Gracewire&#8221;, Microsoft <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1722444141081076219\" target=\"_blank\">dit<\/a>.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/4WnFxcNN\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Les-experts-mettent-en-garde-contre-les-pirates-de-ransomware.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Cela est g\u00e9n\u00e9ralement suivi d&#8217;activit\u00e9s humaines, notamment de mouvements lat\u00e9raux, de vols de donn\u00e9es et de d\u00e9ploiement de ransomwares.&#8221;<\/p>\n<p>Selon SysAid, l&#8217;auteur de la menace a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.sysaid.com\/blog\/service-desk\/on-premise-software-security-vulnerability-notification\" target=\"_blank\">observ\u00e9<\/a> t\u00e9l\u00e9charger une archive WAR contenant un shell Web et d&#8217;autres charges utiles dans la racine Web du service Web SysAid Tomcat.<\/p>\n<p>Le shell Web, en plus de fournir \u00e0 l&#8217;acteur malveillant un acc\u00e8s par porte d\u00e9rob\u00e9e \u00e0 l&#8217;h\u00f4te compromis, est utilis\u00e9 pour fournir un script PowerShell con\u00e7u pour ex\u00e9cuter un chargeur qui, \u00e0 son tour, charge Gracewire.<\/p>\n<p>Les attaquants ont \u00e9galement d\u00e9ploy\u00e9 un deuxi\u00e8me script PowerShell qui est utilis\u00e9 pour effacer les preuves de l&#8217;exploitation apr\u00e8s le d\u00e9ploiement des charges utiles malveillantes. <\/p>\n<p>De plus, les cha\u00eenes d&#8217;attaque se caract\u00e9risent par l&#8217;utilisation du <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Ylianst\/MeshAgent\" target=\"_blank\">Agent MeshCentral<\/a> ainsi que PowerShell pour t\u00e9l\u00e9charger et ex\u00e9cuter Cobalt Strike, un framework de post-exploitation l\u00e9gitime.<\/p>\n<p>Il est fortement recommand\u00e9 aux organisations qui utilisent SysAid d&#8217;appliquer les correctifs d\u00e8s que possible pour contrecarrer les attaques potentielles de ransomware et d&#8217;analyser leurs environnements \u00e0 la recherche de signes d&#8217;exploitation avant d&#8217;appliquer les correctifs.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Turla-met-a-jour-la-porte-derobee-Kazuar-avec-une.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cette \u00e9volution intervient alors que le Federal Bureau of Investigation (FBI) des \u00c9tats-Unis a averti que les attaquants de ransomware ciblent les fournisseurs tiers et les outils syst\u00e8me l\u00e9gitimes pour compromettre les entreprises.<\/p>\n<p>&#8220;En juin 2023, le Silent Ransom Group (SRG), \u00e9galement appel\u00e9 Luna Moth, a men\u00e9 des attaques de vol de donn\u00e9es et d&#8217;extorsion de donn\u00e9es par rappel en envoyant aux victimes un num\u00e9ro de t\u00e9l\u00e9phone dans le cadre d&#8217;une tentative de phishing, g\u00e9n\u00e9ralement li\u00e9e \u00e0 des accusations en cours sur le compte des victimes.&#8221; FBI <a rel=\"nofollow noopener\" href=\"https:\/\/www.ic3.gov\/Media\/News\/2023\/231108.pdf\" target=\"_blank\">dit<\/a>.<\/p>\n<p>Si une victime tombait dans le pi\u00e8ge de la ruse et appelait le num\u00e9ro de t\u00e9l\u00e9phone fourni, les acteurs malveillants lui demandaient d&#8217;installer un outil de gestion de syst\u00e8me l\u00e9gitime via un lien fourni dans un e-mail de suivi.<\/p>\n<p>Les attaquants ont ensuite utilis\u00e9 l&#8217;outil de gestion pour installer d&#8217;autres logiciels authentiques pouvant \u00eatre r\u00e9utilis\u00e9s \u00e0 des fins malveillantes, a not\u00e9 l&#8217;agence, ajoutant que les acteurs avaient compromis des fichiers locaux et des lecteurs r\u00e9seau partag\u00e9s, exfiltr\u00e9 les donn\u00e9es des victimes et extorqu\u00e9 les entreprises.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/zero-day-alert-lace-tempest-exploits.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 novembre 2023\ue804R\u00e9dactionVuln\u00e9rabilit\u00e9 \/ Zero Day L&#8217;acteur malveillant connu sous le nom de Lace Tempest a \u00e9t\u00e9 li\u00e9 \u00e0 l&#8217;exploitation d&#8217;une faille zero-day dans le logiciel de support informatique SysAid lors d&#8217;attaques limit\u00e9es, selon de nouvelles d\u00e9couvertes de Microsoft. Lace Tempest, connu pour distribuer le ransomware Cl0p, a dans le pass\u00e9 exploit\u00e9 des failles zero-day [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1009409,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4747,4168,4165,4161,200267,11648,7727,20775,4159,4171,166501,6816,200271,200268,200269,200270,128318,4172,4169,238,213895,45392,4166,3667,4164],"class_list":["post-1009408","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-alerte","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-day","tag-exploite","tag-informatique","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-lace","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-support","tag-sysaid","tag-tempest","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1009408","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1009408"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1009408\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1009409"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1009408"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1009408"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1009408"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}