ToddyCat exploite une vulnérabilité dans les produits ESET

13 avril 2025
| Pas de commentaires
Brèves sur la cybersécurité B2B
Exposition

Partager le post

L'équipe de sécurité de Kaspersky SecureList a signalé que le groupe APT ToddyCat exploite actuellement une vulnérabilité dans les produits ESET. Plus précisément, il s'agit d'un ordre de recherche DLL incorrect, également connu sous le nom de proxy DLL.

Cette vulnérabilité permet aux attaquants de placer des fichiers DLL spécialement conçus dans un répertoire où une DLL légitime devrait normalement être chargée. Lorsque l'analyseur de ligne de commande ESET ou un processus similaire est démarré, le système recherche les DLL dans les répertoires dans l'ordre spécifié. Si un dossier contenant des DLL contrôlées et préparées est trouvé plus tôt dans l'ordre de recherche que le dossier contenant la DLL d'origine, la version manipulée est chargée à la place du composant réel. Cette méthode permet à ToddyCat d’injecter du code malveillant dans le contexte d’une solution de sécurité par ailleurs fiable.

Exposition

ESET a réagi immédiatement

Parallèlement à ces conclusions, ESET a publié un avis de sécurité officiel. Ces informations expliquent en détail la vulnérabilité de détournement de l'ordre de recherche DLL dans les produits ESET pour Windows. Il est décrit que l'erreur réside dans la manière dont le système affecté recherche les DLL.

Plus précisément, il est souligné qu'un attaquant capable de placer des DLL manipulées dans des répertoires peut influencer la DLL qui est finalement chargée lorsque le scanner affecté est exécuté. Pour éviter cette attaque, ESET a déjà publié une mise à jour qui corrige l’ordre de recherche incorrect des DLL. Il est donc vivement conseillé aux utilisateurs des produits ESET concernés de mettre à jour leurs produits vers les dernières versions. Selon ESET, les versions suivantes sont concernées:

Exposition

Abonnez-vous à la newsletter maintenant

Lisez les meilleures nouvelles de B2B CYBER SECURITY une fois par mois



En cliquant sur "S'inscrire", j'accepte le traitement et l'utilisation de mes données conformément à la déclaration de consentement (veuillez ouvrir pour plus de détails). Je peux trouver plus d'informations dans notre Déclaration de protection des données. Après votre inscription, vous recevrez d'abord un e-mail de confirmation afin qu'aucune autre personne ne puisse commander quelque chose que vous ne voulez pas.
Développer pour plus de détails sur votre consentement
Il va sans dire que nous traitons vos données personnelles de manière responsable. Si nous collectons des données personnelles auprès de vous, nous les traitons conformément aux réglementations applicables en matière de protection des données. Vous trouverez des informations détaillées dans notre Déclaration de protection des données. Vous pouvez vous désinscrire de la newsletter à tout moment. Vous trouverez un lien correspondant dans la newsletter. Après votre désinscription, vos données seront supprimées dans les plus brefs délais. La récupération n'est pas possible. Si vous souhaitez recevoir à nouveau la newsletter, il vous suffit de la commander à nouveau. Faites de même si vous souhaitez utiliser une adresse e-mail différente pour votre newsletter. Si vous souhaitez recevoir la newsletter proposée sur le site, nous avons besoin d'une adresse e-mail de votre part ainsi que d'informations nous permettant de vérifier que vous êtes le propriétaire de l'adresse e-mail fournie et que vous acceptez de recevoir les bulletin. D'autres données ne sont pas collectées ou ne sont collectées que sur une base volontaire. Nous utilisons des fournisseurs de services de newsletter, qui sont décrits ci-dessous, pour traiter la newsletter.

CleverReach

Ce site Web utilise CleverReach pour envoyer des newsletters. Le fournisseur est CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Allemagne (ci-après « CleverReach »). CleverReach est un service permettant d'organiser et d'analyser l'envoi de newsletters. Les données que vous saisissez dans le but de vous abonner à la newsletter (par exemple l'adresse e-mail) seront stockées sur les serveurs de CleverReach en Allemagne ou en Irlande. Nos newsletters envoyées avec CleverReach nous permettent d'analyser le comportement des destinataires de la newsletter. Cela peut inclure Le nombre de destinataires qui ont ouvert le message de la newsletter et la fréquence à laquelle le lien de la newsletter a été cliqué sont analysés. À l'aide de ce que l'on appelle le suivi des conversions, il est également possible d'analyser si une action définie au préalable (par exemple, l'achat d'un produit sur ce site Web) a eu lieu après avoir cliqué sur le lien dans la newsletter. De plus amples informations sur l'analyse des données par la newsletter CleverReach sont disponibles sur : https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Le traitement des données a lieu sur la base de votre consentement (art. 6 al. 1 lit. a DSGVO). Vous pouvez révoquer ce consentement à tout moment en vous désinscrivant de la newsletter. La légalité des opérations de traitement de données qui ont déjà eu lieu n'est pas affectée par la révocation. Si vous ne souhaitez pas une analyse par CleverReach, vous devez vous désinscrire de la newsletter. À cette fin, nous fournissons un lien correspondant dans chaque message de la newsletter. Les données que vous avez stockées chez nous dans le but de vous abonner à la newsletter seront stockées par nous ou par le fournisseur de service de newsletter jusqu'à ce que vous vous désabonniez de la newsletter et supprimées de la liste de distribution de la newsletter après que vous ayez annulé la newsletter. Les données que nous stockons à d'autres fins ne sont pas affectées. Une fois que vous avez été retiré de la liste de distribution de la newsletter, votre adresse e-mail peut être stockée par nous ou le fournisseur de services de newsletter dans une liste noire si cela est nécessaire pour empêcher de futurs envois. Les données de la liste noire ne seront utilisées qu'à cette fin et ne seront pas fusionnées avec d'autres données. Cela sert à la fois votre intérêt et notre intérêt à respecter les exigences légales lors de l'envoi de newsletters (intérêt légitime au sens de l'art. 6 al. 1 lit. f RGPD). Le stockage dans la liste noire n'est pas limité dans le temps. Vous pouvez vous opposer au stockage si vos intérêts l'emportent sur nos intérêts légitimes. Pour plus d'informations, voir la politique de confidentialité de CleverReach à l'adresse: https://www.cleverreach.com/de/datenschutz/.

Le traitement des commandes

Nous avons conclu un contrat de traitement des commandes (AVV) pour l'utilisation du service susmentionné. Il s'agit d'un contrat requis par la loi sur la protection des données, qui garantit que les données personnelles des visiteurs de notre site Web ne sont traitées que conformément à nos instructions et dans le respect du RGPD.

Les patchs sont prêts

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security Premium, ESET Security Ultimate 18.0.12.0 et versions antérieures
  • ESET Endpoint Antivirus pour Windows et ESET Endpoint Security pour Windows 12.0.2038.0, 11.1.2053.2 et versions antérieures
  • ESET Small Business Security et ESET Safe Server 18.0.12.0 et versions antérieures
  • ESET Server Security pour Windows Server (anciennement File Security pour Microsoft Windows Server) 11.1.12005.2 XNUMX et versions antérieures
  • ESET Mail Security pour Microsoft Exchange Server 11.1.10008.0, 11.0.10008.0, 10.1.10014.0 et versions antérieures
  • ESET Security pour Microsoft SharePoint Server 11.1.15001.0, 11.0.15004.0, 10.0.15005.1 et versions antérieures

Ces incidents démontrent clairement que même les logiciels des fournisseurs de sécurité établis ne sont pas totalement à l’abri des techniques d’attaque sophistiquées. En exploitant spécifiquement la méthode de proxy DLL, il est souligné à quel point il est important d'utiliser régulièrement les dernières versions de logiciels pour combler les vulnérabilités connues. ESET a réagi rapidement avec la mise à jour fournie et a ainsi systématiquement éliminé la possibilité d'attaque via l'ordre de recherche manipulé.

Plus sur Kaspersky.com

 

À propos de Kaspersky

Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/

 

Articles liés au sujet

Le ransomware Play exploite une vulnérabilité zero-day de Windows 

Selon Symantec, le groupe de ransomware Play et les groupes alliés utilisent un exploit qui cible la vulnérabilité zero-day CVE-2025-29824. La vulnérabilité était ➡ En savoir plus

Le logiciel serveur Samsung attaqué par un exploit

Une vulnérabilité a été découverte dans Samsung MagicINFO 9 en août 2024. Après la publication d'un rapport de recherche en avril, ➡ En savoir plus

Le programme MITRE CVE reste en place pour le moment

Le programme CVE, financé par le gouvernement américain, est considéré comme un élément essentiel de la détection mondiale des défauts logiciels. Le financement sera désormais temporaire. ➡ En savoir plus

Le site de fuite LockBit a été piraté et des données ont été volées

LockBit est désormais également devenu la victime d'un autre pirate informatique : il semble que non seulement la page de fuite du groupe ait été piratée, mais ➡ En savoir plus

F5 BIG-IP : le BSI met en garde contre des vulnérabilités extrêmement dangereuses

Le BSI a émis un avertissement concernant les produits F5 car ils contiennent plusieurs vulnérabilités de sécurité très dangereuses qui devraient être corrigées. La GRANDE PI ➡ En savoir plus

Iran, Corée du Nord, Russie : les hackers d'État s'appuient sur ClickFix 

Les groupes de pirates informatiques soutenus par l’État adoptent de plus en plus de nouvelles techniques d’ingénierie sociale développées à l’origine par des cybercriminels motivés par des intérêts commerciaux. ClickFix est désormais renforcé ➡ En savoir plus

TA4557 : Venom Spider cible les services RH

TA4557, mieux connu sous le nom de Venom Spider, exploite de plus en plus le phishing et tente de déployer son malware de porte dérobée. Particulièrement au centre de l'attention ➡ En savoir plus

La brasserie Oettinger attaquée par un ransomware

Le groupe APT Ransomhouse affirme avoir attaqué avec succès la brasserie allemande Oettinger avec un ransomware. Sur la page de fuite du groupe APT ➡ En savoir plus

Nouvelles courtes
, , , ,