Un avertissement aux utilisateurs de Microsoft Power Apps, des vulnérabilités dans une pompe médicale, et plus encore.
Bienvenue dans la cybersécurité aujourd’hui. Nous sommes le mercredi 25 août, je suis Howard Solomon, écrivain collaborateur sur la cybersécurité pour ITWorldCanada.com.
Certains inexpérimentés Les développeurs de sites Web et d’applications utilisant la plate-forme Power Apps de Microsoft ont involontairement rendu ce qu’ils pensaient être des données personnelles protégées accessibles à tous. En effet, le paramètre par défaut des interfaces de programmation d’applications de la plate-forme rendait les données stockées accessibles au public, à moins que le développeur n’en décide autrement. C’est un exemple parfait de donner la mauvaise option aux gens. Microsoft et d’autres ont maintenant réagi aux avertissements à ce sujet. Cependant, nous ne savons pas combien d’acteurs malveillants ont trouvé et copié des données personnelles sur peut-être des dizaines de milliers de personnes. Ce que nous savons, c’est que des chercheurs de la société de sécurité australienne UpGuard ont découvert le bogue en mai et l’ont signalé à Microsoft en juin. Certains des portails Web vulnérables découverts ont été utilisés par les gouvernements ou les autorités sanitaires pour la recherche des contacts COVID-19 et les rendez-vous de vaccination. D’autres sites Web contenaient des numéros de sécurité sociale pour les demandeurs d’emploi. UpGuard a notifié 47 organisations dont les données ont été laissées ouvertes, dont certains États américains, Ford Motor Company, American Airlines – et Microsoft. Une entreprise de soins de santé avait plus de 50 000 enregistrements avec des noms et des dates de tests de dépistage de drogue. Certaines personnes pourraient ne pas vouloir que l’on sache publiquement qu’elles passent un test de dépistage de drogue. Upguard estime que 38 millions d’informations sont restées ouvertes.
Microsoft a correctement averti les développeurs dans sa documentation du problème de la mauvaise configuration d’une application. Mais beaucoup ne l’ont apparemment pas lu, ou ne l’ont pas lu assez attentivement. Power Apps a été créé pour permettre aux non-informaticiens d’écrire facilement des applications.
Microsoft a maintenant publié un outil que les développeurs peuvent utiliser pour vérifier les portails développés avec Power Apps. Cet outil détecte les listes qui permettent un accès anonyme aux données. Les portails Power Apps nouvellement créés nécessiteront l’autorisation requise par défaut pour accéder aux tables de données. Si vous ou votre organisation avez développé un portail ou une application avec Power Apps, vous devez utiliser l’outil Portal Checker pour vérifier si vos données sont en sécurité.
Les experts s’inquiètent pour certains sur les vulnérabilités des appareils sensibles connectés au réseau informatique pour l’industrie qui n’ont pas de contrôles de cybersécurité rigoureux. Le dernier exemple de problème a été découvert par des chercheurs de McAfee et Culinda, qui ont découvert cinq vulnérabilités dans une pompe à perfusion médicale fabriquée par une société appelée B.Braun. Ensemble, ces problèmes pourraient être utilisés par un attaquant distant pour modifier le fonctionnement de la pompe afin de délivrer une dose inattendue de médicament. McAfee a conclu que l’appareil n’était pas conçu pour empêcher une attaque malveillante. Certes, un attaquant devrait avoir accès au réseau informatique interne d’un hôpital pour accéder à cet appareil. Mais McAfee affirme que la recherche montre que les fabricants d’appareils industriels doivent réfléchir davantage à la cybersécurité. B.Bruan travaille sur des mesures d’atténuation pour cet appareil. Les hôpitaux et les cliniques qui l’utilisent doivent surveiller les progrès.
La semaine dernière, j’ai signalé nouvelles sur les problèmes avec les kits de développement de logiciels. Il y en a plus cette semaine. Plusieurs vulnérabilités ont été trouvées dans le kit de développement logiciel Java dans Security Directory Suite et App Connect Enterprise d’IBM. Les administrateurs doivent consulter les bulletins de sécurité IBM pour résoudre ces problèmes. Notez également qu’un correctif pour résoudre un problème avec le langage Golang Go dans IBM Cloud Pak for Multicloud Management Monitoring est désormais disponible.
Finalement, les moyens par lesquels un attaquant peut s’emparer d’un ordinateur personnel mal protégé ne manquent pas. L’une d’entre elles peut être le logiciel de configuration utilisé lors de l’installation d’un clavier, d’une souris ou d’un autre périphérique. Les chercheurs ont découvert que l’application Razer Synapse qui se télécharge automatiquement lors du branchement des claviers et des souris Razer donnerait automatiquement – et inutilement – à un utilisateur des droits système sous Windows. Avec les privilèges système, une personne peut faire n’importe quoi sur un ordinateur. Selon le site d’actualités Bleeping Computer, Razer publiera un correctif. Cependant, le site rapporte également qu’un autre chercheur a trouvé une application d’installation pour claviers, souris et casques d’une société appelée SteelSeries qui donnera également des privilèges d’accès Windows élevés. Dans le cadre d’une preuve de concept, tout ce dont un attaquant aurait besoin est l’application et l’accès à un ordinateur – pas besoin de brancher un périphérique. Au moment où ce podcast a été enregistré, SteelSeries n’avait pas abordé ce rapport.
Une leçon : faites attention lorsque vous installez quoi que ce soit pour voir si le logiciel demande un accès privilégié inutile à Windows ou à tout système d’exploitation.
C’est tout pour l’instant N’oubliez pas que les liens vers les détails sur les histoires de balado se trouvent dans la version texte à ITWorldCanada.com. C’est là que vous trouverez également d’autres histoires à moi.
Suivez Cyber Security Today sur Apple Podcasts, Google Podcasts ou ajoutez-nous à votre Flash Briefing sur votre haut-parleur intelligent.
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/M2DKC2CWSVABVJ66WEIQ53GEQA.jpg)
