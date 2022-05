Microsoft prévient qu'un sinistre botnet d'extraction de crypto-monnaies s'empare activement de Windows et de Linux.



Il semble que personne n'ait de répit dans le domaine de la sécurité informatique ces derniers temps, puisque deux nouvelles failles majeures de cybersécurité liées aux serveurs web ont été découvertes.







Nommée Sysrv-K par les chercheurs en sécurité sur le Twitter Security Intelligence de Microsoft, cette vulnérabilité installe des réseaux de zombies, qui exécutent un mineur de crypto-monnaies sur les appareils infectés. Cependant, la méthode de distribution est particulièrement méchante et peut certainement être prolifique.



Sysrv-K analyse l'Internet à la recherche de serveurs Web ou de serveurs Web exposés présentant des failles de sécurité. En supposant qu'il trouve ces failles, il en profite pour s'installer et activer le mineur de crypto, qui utilise des quantités massives de ressources système. Ce n'est pas vraiment une bonne chose pour ceux qui utilisent un système de cloud payant.



Nous avons rencontré une nouvelle variante du botnet Sysrv, connu pour exploiter les vulnérabilités des applications web et des bases de données afin d'installer des mineurs de monnaie sur les systèmes Windows et Linux. La nouvelle variante, que nous appelons Sysrv-K, présente des exploits supplémentaires et peut prendre le contrôle de serveurs web.



- Microsoft Security Intelligence (@MsftSecIntel) 13 mai 2022



En plus de ce comportement, il examinera également les fichiers de configuration de WordPress et les sauvegardes pour trouver les informations d'identification. Il cherchera même des clés SSH, des adresses IP, des noms d'hôtes et plus encore. Une fois qu'il reçoit ces données, il peut potentiellement envoyer un message à quelqu'un via l'application Telegram.



En outre, le Sysrv-K peut tenter de se connecter à d'autres serveurs et périphériques sur le réseau et, grâce à ses analyses, en dehors du réseau. Cela en fait également un virus par définition (tout logiciel qui se duplique). Cela signifie qu'il y a une possibilité d'infection du réseau et du centre de données.



Une partie des exploits du côté de Wordpress est liée aux plugins qui peuvent utiliser certains utilitaires s'ils ne sont pas mis à jour correctement. De l'autre côté des vulnérabilités, cela profite des versions de la passerelle cloud de Spring antérieures à 3.1.1+ et 3.0.7+, comme décrit dans CVE-2022-22947.







Les problèmes sont suffisamment graves pour que le gouvernement américain en prenne note et les ajoute à la liste des vulnérabilités connues de la CISA (Cybersecurity & Infrastructure Security Agency). Microsoft a spécifiquement conseillé aux utilisateurs et aux administrateurs système de sécuriser tout système connecté à Internet, de s'assurer que tous les logiciels devant être mis à jour le sont et de vérifier l'hygiène des informations d'identification.



Ce sont toutes de bonnes pratiques, bien sûr, depuis le Patch Tuesday de ce mois-ci, certains serveurs Microsoft ont des problèmes d'authentification. La société souligne bien sûr que son propre logiciel de gestion des points d'extrémité, Microsoft Defender for Endpoint, détecte ce botnet, mais que d'autres logiciels de surveillance des points d'extrémité ne tarderont pas à le faire également en raison de sa gravité.



HOTHARDWARE