{"id":986626,"date":"2023-10-25T12:51:41","date_gmt":"2023-10-25T14:51:41","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-detats-nations-exploitent-le-zero-day-dans-le-logiciel-de-messagerie-web-roundcube\/"},"modified":"2023-10-25T12:51:45","modified_gmt":"2023-10-25T14:51:45","slug":"des-pirates-informatiques-detats-nations-exploitent-le-zero-day-dans-le-logiciel-de-messagerie-web-roundcube","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-detats-nations-exploitent-le-zero-day-dans-le-logiciel-de-messagerie-web-roundcube\/","title":{"rendered":"Des pirates informatiques d\u2019\u00c9tats-nations exploitent le Zero-Day dans le logiciel de messagerie Web Roundcube"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 octobre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Intelligence sur les menaces\/vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Des-pirates-informatiques-dEtats-nations-exploitent-le-Zero-Day-dans-le-logiciel.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur malveillant connu sous le nom de Winter Vivern a \u00e9t\u00e9 observ\u00e9 en train d&#8217;exploiter une faille zero-day dans le logiciel de messagerie Web Roundcube le 11 octobre 2023, pour r\u00e9colter des e-mails sur les comptes des victimes.<\/p>\n<p>&#8220;Winter Vivern a intensifi\u00e9 ses op\u00e9rations en utilisant une vuln\u00e9rabilit\u00e9 zero-day dans Roundcube&#8221;, Matthieu Faou, chercheur en s\u00e9curit\u00e9 chez ESET. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/winter-vivern-exploits-zero-day-vulnerability-roundcube-webmail-servers\/\" target=\"_blank\">dit<\/a> dans un nouveau rapport publi\u00e9 aujourd&#8217;hui.  Auparavant, il utilisait des vuln\u00e9rabilit\u00e9s connues dans Roundcube et Zimbra, pour lesquelles des preuves de concept sont disponibles en ligne. \u00bb<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-1.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/BunnyLoader-une-nouvelle-menace-de-type-Malware-as-a-Service-emerge-dans-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Winter Vivern, \u00e9galement connu sous les noms de TA473 et UAC-0114, est un collectif antagoniste dont les objectifs s&#8217;alignent sur ceux de la Bi\u00e9lorussie et de la Russie.  Au cours des derniers mois, cela a \u00e9t\u00e9 attribu\u00e9 \u00e0 des attaques contre l\u2019Ukraine et la Pologne, ainsi que contre des entit\u00e9s gouvernementales en Europe et en Inde.<\/p>\n<p>Le groupe aurait \u00e9galement exploit\u00e9 pr\u00e9c\u00e9demment une autre faille Roundcube (CVE-2020-35730), ce qui en fait le deuxi\u00e8me groupe d&#8217;\u00c9tats-nations apr\u00e8s APT28 \u00e0 cibler le logiciel de messagerie Web open source.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1698245501_674_Des-pirates-informatiques-dEtats-nations-exploitent-le-Zero-Day-dans-le-logiciel.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1698245501_674_Des-pirates-informatiques-dEtats-nations-exploitent-le-Zero-Day-dans-le-logiciel.jpg\" alt=\"Logiciel de messagerie Web Roundcube\" border=\"0\" data-original-height=\"428\" data-original-width=\"728\" title=\"Logiciel de messagerie Web Roundcube\"\/><\/a><\/div>\n<p>La nouvelle faille de s\u00e9curit\u00e9 en question est <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-5631\" target=\"_blank\">CVE-2023-5631<\/a> (score CVSS : 5,4), une faille de script intersite stock\u00e9e qui pourrait permettre \u00e0 un attaquant distant de charger du code JavaScript arbitraire.  Un correctif a \u00e9t\u00e9 publi\u00e9 le 14 octobre 2023.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque mont\u00e9es par le groupe commencent par un message de phishing qui int\u00e8gre une charge utile cod\u00e9e en Base64 dans le code source HTML qui, \u00e0 son tour, d\u00e9code en une injection JavaScript \u00e0 partir d&#8217;un serveur distant en militarisant la faille XSS.<\/p>\n<p>&#8220;En r\u00e9sum\u00e9, en envoyant un message \u00e9lectronique sp\u00e9cialement con\u00e7u, les attaquants sont capables de charger du code JavaScript arbitraire dans le contexte de la fen\u00eatre du navigateur de l&#8217;utilisateur de Roundcube&#8221;, a expliqu\u00e9 Faou.  &#8220;Aucune interaction manuelle autre que l&#8217;affichage du message dans un navigateur Web n&#8217;est requise.&#8221;<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1696132289_209_Les-Bing-Chat-Ads-de-Microsoft-alimentees-par-lIA-peuvent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le JavaScript de deuxi\u00e8me \u00e9tape (checkupdate.js) est un chargeur qui facilite l&#8217;ex\u00e9cution d&#8217;une charge utile JavaScript finale qui permet \u00e0 l&#8217;acteur malveillant d&#8217;exfiltrer les e-mails vers un serveur de commande et de contr\u00f4le (C2).<\/p>\n<p>&#8220;Malgr\u00e9 la faible sophistication de l&#8217;ensemble d&#8217;outils du groupe, il constitue une menace pour les gouvernements europ\u00e9ens en raison de sa persistance, de ses campagnes de phishing tr\u00e8s r\u00e9guli\u00e8res et du fait qu&#8217;un nombre important d&#8217;applications accessibles sur Internet ne sont pas r\u00e9guli\u00e8rement mises \u00e0 jour, bien qu&#8217;elles soient connues pour contenir vuln\u00e9rabilit\u00e9s&#8221;, a d\u00e9clar\u00e9 Faou.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/nation-state-hackers-exploiting-zero.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 octobre 2023\ue804R\u00e9dactionIntelligence sur les menaces\/vuln\u00e9rabilit\u00e9 L&#8217;acteur malveillant connu sous le nom de Winter Vivern a \u00e9t\u00e9 observ\u00e9 en train d&#8217;exploiter une faille zero-day dans le logiciel de messagerie Web Roundcube le 11 octobre 2023, pour r\u00e9colter des e-mails sur les comptes des victimes. &#8220;Winter Vivern a intensifi\u00e9 ses op\u00e9rations en utilisant une vuln\u00e9rabilit\u00e9 zero-day [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":986627,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4168,4165,4161,200267,429,133,143995,8736,8154,4159,4171,6816,200271,6817,200268,200269,200270,4394,211021,128318,4172,4169,4166,4164,2784,35759],"class_list":["post-986626","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dans","tag-des","tag-detatsnations","tag-exploitent","tag-informatiques","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-messagerie","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pirates","tag-roundcube","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-web","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/986626","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=986626"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/986626\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/986627"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=986626"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=986626"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=986626"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}