Analyse visant à identifier les ordinateurs Windows affectés par ces vulnérabilités.

Le Département de la sécurité de l'information ( Ministère de l'Information et des Communications ) vient d'envoyer un avertissement concernant 16 failles de sécurité graves et de haut niveau dans les produits Microsoft aux unités informatiques et de sécurité de l'information des ministères, des secteurs, des collectivités locales ; des sociétés et entreprises publiques ; et des banques commerciales et institutions financières.

L'Agence de sécurité de l'information (ISA) avait signalé ces vulnérabilités sur la base d'une évaluation et d'une analyse de la liste des correctifs d'avril 2024 publiée par Microsoft, qui recensait 147 vulnérabilités dans les produits de l'entreprise technologique.

lo-hong-1-1.jpg
Les failles de sécurité constituent l'une des « voies d'accès » que les groupes de pirates informatiques analysent et exploitent pour lancer des attaques contre les systèmes. (Illustration : Internet)

Parmi les 16 nouvelles vulnérabilités de sécurité identifiées, deux sont recommandées par les experts pour une attention particulière : la vulnérabilité CVE-2024-20678 dans Remote Procedure Call Runtime (RPC), un composant Windows qui facilite la communication entre différents processus du système sur un réseau, permettant aux attaquants d’exécuter du code à distance ; et la vulnérabilité CVE-2024-29988 dans SmartScreen (une fonctionnalité de sécurité intégrée à Windows), permettant aux attaquants de contourner les mécanismes de protection.

La liste des vulnérabilités de sécurité dans les produits Microsoft qui ont été signalées cette fois-ci comprend également 12 vulnérabilités qui permettent aux attaquants d'exécuter du code à distance, notamment : 3 vulnérabilités CVE-2024-21322, CVE-2024-21323, CVE2024-29053 dans « Microsoft Defender for IoT » ; la vulnérabilité CVE-2024-26256 dans la bibliothèque open-source Libarchive ; la vulnérabilité CVE-2024-26257 dans les feuilles de calcul Microsoft Excel ; Sept vulnérabilités, CVE-2024-26221, CVE-2024-26222, CVE-2024-26223, CVE-2024-26224, CVE-2024-26227, CVE-2024-26231 et CVE-2024-26233, existent dans « Windows DNS Server ».

En outre, il est conseillé aux organisations de prendre connaissance de deux vulnérabilités qui permettent aux attaquants de mener des attaques par usurpation d'identité : la vulnérabilité CVE-2024-20670 dans le logiciel Outlook pour Windows, qui expose le « hachage NTML », et la vulnérabilité CVE-2024-26234 dans le pilote proxy.

Le Département de la cybersécurité recommande aux agences, organisations et entreprises de vérifier et d'identifier les ordinateurs utilisant le système d'exploitation Windows susceptibles d'être affectés, et d'installer rapidement les correctifs de sécurité afin de prévenir les risques de cyberattaques. L'objectif est de garantir la sécurité des systèmes d'information de ces entités et de contribuer ainsi à la sécurité du cyberespace vietnamien.

Il est également conseillé aux unités de renforcer la surveillance et d'élaborer des plans d'intervention en cas de détection de signes d'exploitation ou de cyberattaques. De plus, elles doivent consulter régulièrement les canaux d'alerte des autorités compétentes et des principaux organismes de sécurité de l'information afin de détecter rapidement les risques potentiels de cyberattaques.

En avril également, le département de la sécurité de l'information a émis un avertissement et a demandé aux unités concernées d'examiner et de corriger la faille de sécurité CVE-2024-3400 du logiciel PAN-OS. Le code d'exploitation de cette vulnérabilité a été utilisé par des attaquants pour cibler les systèmes d'information de nombreux organismes et organisations. Il est conseillé aux unités utilisant le logiciel PAN-OS de mettre à jour leur version avec le correctif publié le 14 avril.

Prioriser la gestion des risques potentiels au sein du système.

L'exploitation des failles de sécurité dans les logiciels et technologies courants est régulièrement identifiée par les experts comme l'une des tendances les plus importantes en matière de cyberattaques. Les groupes de cybercriminels exploitent non seulement les vulnérabilités zero-day (vulnérabilités non découvertes) ou les failles de sécurité récemment divulguées, mais ils recherchent également activement les vulnérabilités déjà connues afin de les utiliser comme tremplin pour attaquer les systèmes.

W-an-toan-string-tin-mang-1-1.jpg
Des évaluations régulières de la sécurité de l'information et une recherche proactive des menaces pour détecter et éliminer les risques potentiels liés aux systèmes sont essentielles pour que les organisations et les entreprises puissent protéger leurs systèmes. (Illustration : K. Linh)

Cependant, dans les faits, le Département de la sécurité de l'information et d'autres agences et unités opérant dans le domaine de la sécurité de l'information publient régulièrement des avertissements concernant de nouvelles vulnérabilités ou de nouvelles tendances d'attaques, mais nombre d'entre elles n'ont pas accordé suffisamment d'attention à la mise à jour et au traitement rapide de ces avertissements.

Vu Ngoc Son, directeur technique de la société NCS, a relaté un cas précis concernant le support technique d'une organisation victime d'une attaque fin mars : « Après analyse, nous avons constaté que l'incident aurait dû être pris en charge plus tôt, car l'organisation avait été avertie que son compte de réception avait été compromis et nécessitait une intervention immédiate. Pensant que ce compte était sans importance, l'organisation l'a ignoré et n'a pas traité le problème. Le pirate a alors utilisé ce compte, exploité des vulnérabilités, obtenu des privilèges d'administrateur et lancé une attaque contre le système. »

Les statistiques publiées par l'Agence de sécurité de l'information à la fin de l'année dernière ont montré que plus de 70 % des organisations n'avaient pas prêté attention à l'examen, à la mise à jour et à la correction des vulnérabilités et des faiblesses qui avaient été signalées.

Compte tenu de cette situation, parmi les six tâches clés recommandées aux ministères, collectivités locales, agences, organisations et entreprises pour 2024, le Département de la cybersécurité a déclaré que les unités doivent donner la priorité à la gestion des risques potentiels ou existants au sein de leurs systèmes.

« Avant d’envisager des investissements pour se protéger contre de nouvelles menaces, les unités doivent s’attaquer aux menaces identifiées et existantes au sein de leurs systèmes. Il est crucial d’inspecter et d’évaluer régulièrement la sécurité de l’information, comme requis, et de rechercher activement les menaces afin de détecter et d’éliminer les risques liés au système ; ces actions doivent être fréquentes », a souligné un représentant du département de la sécurité de l’information.

Le ministère de l’Information et des Communications mettra en place une plateforme d’alerte précoce aux risques liés à la sécurité de l’information . Prévue pour 2024, cette plateforme de gestion, de détection et d’alerte précoce des risques liés à la sécurité de l’information informera automatiquement les organismes et organisations des risques, vulnérabilités et failles de leurs systèmes d’information.