FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 24 juillet 2021IT

Bulletin d’actualité du CERT-FR – 19/07/2021

Bulletin d’actualité du 19/07/2021 Nous voici de nouveau ensemble dans notre rendez-vous de fin de semaine pour revenir sur les différents bulletins de sécurité publiés par le CERT-FR ! Durant la période du 12 juillet au 18 juillet 2021, le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques en France) a …

XLoader, un malware qui vole des identifiants sur macOS et Windows

24 juillet 2021 à 11:00

Un malware très populaire sur Windows, connu sous le nom de Formbook, dispose d'une variante nommée XLoader, capable de s'attaquer aussi bien à Windows qu'à macOS.

XLoader est conçu pour dérober des identifiants et des mots de passe sur les machines infectées, en collectant les informations enregistrées au sein des navigateurs (Chrome, Firefox, Opera, Edge, Internet Explorer) mais aussi des clients de messagerie (Outlook, Thunderbird, Foxmail). Mais attention, ce n'est pas tout ce qu'il sait faire...!

Il existe depuis février 2021 et ces derniers temps, sa popularité n'a cessé d'augmenter. Les chercheurs en sécurité de chez Check Point l'ont détecté dans 69 pays, même si plus de la moitié des victimes sont situées aux États-Unis.

Comment expliquer cette popularité ? Tout d'abord, parce que XLoader est un malware multiplateforme, car il est compatible Windows et macOS. Ensuite, parce qu'il s'agit d'un botnet qui ne s'appuie sur aucune dépendance, ce qui le rend facile à utiliser.

C'est grâce à un travail de reverse engineering qu'un lien a pu être fait entre les malwares Formbook et XLoader. En effet, l'exécutable serait le même, et le développeur de Formbook aurait contribué au développement de XLoader. Les fonctionnalités de ces deux logiciels malveillants sont les mêmes : voler des identifiants, prendre des captures d'écran, enregistrer la saisie au clavier, et exécuter des fichiers malveillants sur l'hôte infecté.

Dans la pratique, il est possible de louer XLoader pour un mois en l'échange de 49 dollars, pour la version MacOS, ce qui donne accès à un serveur fourni par les hackers. Concrètement, cette façon de faire permet aux hackers à l'origine de XLoader de garder la main sur l'infrastructure de serveurs C2 (Command and Control). Si vous souhaitez vous en prendre à des machines Windows, il faudra payer un peu plus cher : 59 dollars pour un mois. Pour trois mois, comptez 129 dollars.

XLoader - Génération d'un fichier JAR pour Windows ou macOS

Toujours d'après les chercheurs en sécurité de Check Point, XLoader est suffisamment furtif pour être difficilement détectable par un utilisateur lambda. D'ailleurs, même s'il a les mêmes fonctionnalités que FormBook, XLoader serait plus abouti et plus sophistiqué. Sur macOS, il est recommandé de supprimer les dossiers dans "/Users/<utilisateur>/Library/LaunchAgents" qui ont un nom aléatoire.

De manière générale, le gain en popularité de macOS en fait désormais une cible privilégiée par les hackers, en plus de Windows. Les chercheurs croient que de plus en plus de malwares seront mis à jour pour supporter macOS et cibler les appareils d'Apple.

Source

The post XLoader, un malware qui vole des identifiants sur macOS et Windows first appeared on IT-Connect.

How to use vRealize Log Insight to retrieve logs from your Windows and Linux servers

23 juillet 2021 à 18:19
VMware vRealize Log Insight gathers logs from ESXi hosts and VMs in your virtual and physical environments. The product is extensible via content packs available in the VMware marketplace. In this post, we'll show you how you can not only use it as a main collector for your infrastructure, but also how to use the content pack for Microsoft Windows.
À partir d’avant-hierIT

Activer/désactiver la synchronisation des paramètres sur Windows 10

23 juillet 2021 à 12:36
Par : La Méduse

Sur Windows 10, lorsque votre profil utilisateur est connecté avec un compte Microsoft, vous pouvez activer et désactiver la synchronisation des paramètres. Ces paramètres comportent le thème, les mots de passe, les préférences de langue, les réglages d’accès et divers paramètres Windows. Pourquoi synchroniser ces paramètres ? Si vous possédez plusieurs ordinateurs ou simplement que vous changez...

Source

Windows 11 build 22000.100 : quoi de neuf ?

23 juillet 2021 à 08:00

Microsoft a publié une nouvelle build de Windows 11 en version preview. À cette occasion, découvrons les quelques changements opérés par la firme de Redmond.

L'interface graphique de Windows 11 continue de s'améliorer et d'intégrer des petites touches, par-ci, par-là. Cette fois, ce sont les icônes positionnées en bas à droite de la barre des tâches qui bénéficient d'un relooking, comme vous pouvez le voir sur la copie d'écran ci-dessous.

Par ailleurs, Microsoft a introduit une nouvelle fonctionnalité qui permet de mettre en évidence une application qui souhaite attirer votre attention. Cela se traduit par un effet visuel discret, mais efficace sur l'icône de l'application en question, au sein de la barre des tâches.

Autre nouveauté dans ce canal Dev : l'ajout de l'application "Chat for Microsoft Teams", qui correspond à l'intégration de Teams directement dans Windows 11. Elle ne sera pas visible pour tout le monde, pour l'instant.

En complément, Microsoft affirme avoir amélioré les performances du Microsoft Store, particulièrement lorsque l'on scrolle sur l'interface ou que l'on clique sur une application ou un film. De manière générale, les développeurs ont pu corriger certains bugs connus de Windows 11, notamment dans l'Explorateur de fichiers, la barre des tâches, les widgets, mais aussi la fonction de recherche.

Il ne vous reste plus qu'à mettre à jour votre machine sous Windows 11 pour bénéficier de la dernière version preview, toujours dans le cadre du programme Windows Insiders.

Cette semaine, Nvidia a également annoncé la mise à disposition de ses premiers pilotes graphiques certifiés pour Windows 11. Cette compatibilité est intégrée au pilote Nvidia GeForce Game Ready 471.41.

Source

The post Windows 11 build 22000.100 : quoi de neuf ? first appeared on IT-Connect.

Panne majeure chez Akamai : des milliers de sites inaccessibles !

23 juillet 2021 à 07:15

Jeudi 22 juillet 2021, en fin d'après-midi, de nombreux sites Internet très célèbres étaient inaccessibles à cause d'une panne chez Akamai. Au total, ce sont plus de 20 000 sites qui sont concernés par cette panne majeure, à l'échelle mondiale.

L'alerte a été donnée sur Twitter par de nombreux internautes, mais aussi sur le site Down Detector avec des signalements en masse : à partir de 17H30 (heure française), de nombreux sites semblaient inaccessibles, les uns après les autres. Parmi les sites concernés par cette panne, on peut citer par exemple : Hotels.com, Fnac, Playstation Network, Steam, AirBnb, Le Parisien, Canal+, France Info, ou encore Micromania. Une bonne heure plus tard, la situation commençait à revenir à la normale et les sites étaient de nouveau accessibles.

La panne des serveurs Akamai touche de nombreux sites !

Pour expliquer cette panne majeure, il faut se tourner vers l'hébergeur Akamai qui est en charge de l'hébergement de nombreux sites populaires. D'ailleurs, dans un rapport récent, l'Arcep précisait que les flux vers les serveurs Akamai représentaient environ 10% du trafic Internet français. Ce qui n'est pas négligeable même si c'est encore loin de la part de trafic de Netflix : 20%. Néanmoins, cela permet de mieux comprendre pourquoi la panne des serveurs d'Akamai a été impactant.

La société Akamai a reconnu qu'il y avait eu un souci sur ses serveurs Edge DNS et que cet incident concernait plus de 20 000 sites à travers le monde. C'est aux alentours de 19h00 que l'entreprise américaine a indiqué que la panne était résolue. Il n'y a pas eu de précisions particulières quant à la cause exacte de cette panne.

Ces derniers mois, ce n'est pas la première fois qu'une panne majeure chez un prestataire perturbe l'accès à de nombreux sites populaires. Par exemple, en juin dernier, une panne chez Cloud Fastly avait rendu inaccessible PayPal, Amazon, Reddit, etc.

Akamai - Statut de l'incident

The post Panne majeure chez Akamai : des milliers de sites inaccessibles ! first appeared on IT-Connect.

Secure DNS requests over HTTPS (DoH) in Windows 10/11

22 juillet 2021 à 19:14
DNS over HTTPS (DoH) is a security feature that safeguards the authenticity of DNS servers and hides requests from prying eyes. Microsoft long ago announced support for DoH in Windows, and in the current previews, it can finally be configured via GUI or GPO.

Nouveauté : DuckDuckGo veut éliminer les trackers dans les e-mails !

22 juillet 2021 à 18:15

DuckDuckGo est avant toute chose un moteur de recherche, mais aussi un navigateur sur mobile (Android et iOS), qui a pour priorité de protéger la vie privée de ses utilisateurs. Un nouveau service gratuit nommé "Email Protection" est proposé par DuckDuckGo dans le but d'éliminer les trackers au sein des e-mails.

La société américaine veut aller toujours plus loin dans la protection des données des utilisateurs, et ne plus se limiter à la sécurité de la navigation Internet en elle-même. Pour utiliser le service "Email Protection", l'utilisateur doit créer une adresse e-mail "@duck.com" qui servira de relais. Cette adresse e-mail relais va permettre à "Email Protection" d'analyser les e-mails que vous recevez et d'éliminer les éventuels trackers. Ensuite, l'e-mail sera relayé vers votre boîte aux lettres principale : une adresse Gmail, Outlook, ProtonMail, etc... En fonction de ce que vous utilisez.

Pour votre compte @duck.com, il sera possible de créer des alias aléatoires pour éviter d'être spammé. Pour que le service "Email Protection" fonctionne, vous devez utiliser l'adresse "@duck.com" en adresse de contact sur les différents sites, car elle doit être le point d'entrée. Ce qui nécessite un peu de temps pour repasser sur les sites sur lesquels on est déjà inscrit.

Rappel : un tracker au sein d'un e-mail peut permettre de remonter certaines informations : l'utilisateur a ouvert l'e-mail, l'utilisateur a cliqué sur un lien dans l'e-mail, quel est le type d'appareil utilisé, etc. L'exemple typique, ce sont les newsletters. D'après une étude, environ 70% des e-mails que nous recevons contiennent des trackers. De quoi motiver les équipes de DuckDuckGo à proposer une solution.

Si ce service vous intéresse et que vous souhaitez tester la version bêta, vous pouvez vous inscrire à la liste d'attente. Pour cela, il faut installer le navigateur DuckDuckGo sur mobile et cliquer sur "Email Protection Beta" au sein des paramètres.

Source

The post Nouveauté : DuckDuckGo veut éliminer les trackers dans les e-mails ! first appeared on IT-Connect.

Supprimer les publicités dans Windows 10

22 juillet 2021 à 14:17
Par : Nautilus

Contrairement à ses prédécesseurs, Windows 10 possède des fonctionnalités qui lui permettent de mieux vous connaître en tant qu’utilisateur. Le système d’exploitation de Microsoft collecte ainsi vos informations (à moins que vous n’ayez choisi de les désactiver à l’installation) et vous envoie des messages ciblés sous la forme de pop-up de notification, parfois apparentés à de la publicité...

Source

Utilisation de WSL 2 et Docker pour exécuter des containers Linux sur Windows

22 juillet 2021 à 11:30

I. Présentation

Pour utiliser les containers sous Windows, il est possible d'utiliser le client Docker Desktop. Dans ces containers, on peut faire tourner des applications Windows. Néanmoins, il ne permet pas d'exécuter des containers Linux directement sur Windows, à cause des dépendances et de l'absence du noyau Linux. Lorsque l'on est sur Linux, on peut exécuter des applications Linux au sein de containers.

Sous Windows, grâce à Docker Desktop et la fonctionnalité Windows Subsystem for Linux, nous allons pouvoir contourner cette limitation. Depuis Windows, nous allons pouvoir exécuter des containers Linux grâce à une distribution Linux qui tourne avec WSL 2.

En effet, avec WSL 2, Microsoft a introduit un changement significatif dans l'architecture de la fonctionnalité WSL. En version 2, WSL intègre un noyau Linux complet, ce qui va nous permettre d'exécuter des containers Linux en mode natif.

Dans ce tutoriel, nous allons voir comment installer et configurer Docker pour WSL 2 dans le but d'exécuter des containers Linux à partir d'une machine Windows 10. Cet article est un épisode de ma série dédiée à WSL.

🎥 Episode n°8 disponible au format vidéo (comme les précédents) :

II. Prérequis

Avant de commencer, nous partons du principe que vous avez déjà :

  • Une machine Windows avec la fonctionnalité WSL 2 installée
  • Une distribution Linux opérationnelle, via WSL (Ubuntu, Kali Linux, etc.)

Dès que c'est bon, vous pouvez passer à la suite.

III. Installer Docker Desktop pour WSL 2

Commencez par télécharger "Docker Desktop" (environ 500 Mo) sur le site officiel de Docker :

Démarrez l'installation, elle est très simple. Il faut veiller à bien cocher "Install required Windows components for WSL 2" lors de l'installation.

Docker WSL 2

Lancez l'installation, et patientez... Coffee break.

Lorsque l'installation est terminée, vous devez redémarrer votre machine. Cliquez sur "Close and restart" pour procéder au redémarrage.

IV. Configurer Docker Desktop pour WSL 2

Notre machine est équipée de WSL 2 et de Docker Desktop : c'est une bonne nouvelle. Je vous propose d'ouvrir une console PowerShell et d'exécuter la commande ci-dessous pour lister les distributions Linux enregistrées dans WSL :

wsl -l -v

On remarque que mes distributions "Kali-linux" et "Ubuntu" sont bien là. Docker quant à lui a ajouté deux distributions, ou plutôt deux composants. Voyez par vous-même :

Les entrées "docker-desktop" et "docker-desktop-data" servent respectivement à gérer les containers Docker que l'on va exécuter et à assurer le stockage dans un disque virtuel.

Maintenant, ouvrez Docker Desktop s'il n'est pas déjà ouvert. Cliquez sur l'icône paramètres en haut à droite. Dans l'onglet "General", je vous invite à cocher l'option "Use the WSL 2 based engine" si elle n'est pas déjà cochée.

Ensuite, cliquez sur l'onglet "Resources" puis sur "WSL Integration". C'est ici qu'il faut sélectionner les distributions pour lesquelles vous souhaitez activer la prise en charge de Docker.

Par défaut, l'option "Enable integration with my default WSL distro" est cochée. Cela signifie que votre distribution Linux par défaut bénéficie déjà de Docker. Pour savoir quelle est votre distribution Linux par défaut, utilisez la commande "wsl -l" : ce sera précisé "(par défaut)" au niveau de la distribution par défaut actuelle.

Dès que votre choix est fait, vous pouvez continuer. Tout en sachant qu'il sera possible d'y revenir à tout moment, vous connaissez le chemin maintenant.

V. Exécuter son premier container Docker sur WSL 2

Ce que je vous propose, c'est d'ouvrir une distribution pour laquelle vous avez activé Docker. Pour ma part, je vais accéder à la distribution Kali-Linux en mode console :

wsl -d Kali-linux

Une fois dans la console Linux, je vous invite à exécuter le container Docker "Hello World". Très basique, il va permettre de valider que Docker fonctionne bien sur notre machine Linux.

Voici la commande à exécuter :

docker run hello-world

L'image "hello-world" ne sera pas trouvée sur la machine, donc le container sera téléchargé depuis la librairie officielle. Une fois que ce sera fait, vous devriez obtenir deux lignes qui permettent de confirmer que tout est OK :

Hello from Docker!
This message shows that your installation appears to be working correctly.

En image, cela nous donne :

Si l'on regarde le message ci-dessus, on peut voir que nous sommes invités à exécuter un autre container. Ce container va permettre d'exécuter une imagine Ubuntu avec un shell (bash) en mode interactif. Je vous invite à tester :

docker run -it ubuntu bash

Suite à l'exécution de cette commande, on se retrouve avec un shell Linux entre les mains. Ce container est un environnement isolé de Windows et de notre distribution Linux gérée par WSL (bien qu'il en dépende). Si l'on regarde le nom de l'hôte, on peut voir qu'il a été généré aléatoirement.

En parallèle, ouvrez une seconde console au sein de votre distribution Linux et exécutez la commande ci-dessous pour lister les containers Docker actifs :

docker ps

Le container Docker basé sur l'image Ubuntu est bien en cours d'exécution.

VI. Un serveur Web avec Docker et WSL 2

Pour finir, nous allons exécuter un serveur Web Lighttpd en utilisant l'image "sebp/lighttpd". D'après la documentation, voici comment s'exécute cette image :

sudo docker run --rm -t -v <home-directory>:/var/www/localhost/htdocs -p <http-port>:80 sebp/lighttpd

Pour le "home-directory", c'est-à-dire la racine du site Web, nous allons choisir la racine du dossier personnel de l'utilisateur "florian", ce dernier étant l'utilisateur de ma distribution Kali Linux. Ce qui donne : /home/florian.

Nous devons aussi choisir un port d'écoute. Au sein du serveur Lighttpd, le port 80 sera utilisé, mais nous devons le mapper vers un autre port au niveau de notre distribution Linux (WSL). Par exemple, le port 8080.

Avant d'exécuter le container Docker, on va créer la page d'index de notre site :

nano /home/florian/index.html

Avec le contenu suivant :

<html>
<head></head>
<body>
<p>Hello from IT-Connect :)</p>
</body>
</html>

Maintenant, on va démarrer notre serveur Web :

sudo docker run --rm -t -v /home/florian:/var/www/localhost/htdocs -p 8080:80 sebp/lighttpd

L'image va être téléchargée et le container lancé... Pour s'y connecter, il suffit de prendre un navigateur et d'indiquer l'adresse suivante :

http://localhost:8080

ou

http://<adresse-IP-distribution-Linux>:8080

Nous arrivons bien à atteindre notre serveur Web puisque notre page index.html s'affiche ! Bravo ! 😉

Cela n'était qu'un exemple : maintenant à vous de jouer pour exécuter les containers Docker de vos rêves 😉.

The post Utilisation de WSL 2 et Docker pour exécuter des containers Linux sur Windows first appeared on IT-Connect.

Supprimer des applications du menu « Ouvrir avec » de Windows

22 juillet 2021 à 10:44
Par : Nautilus

L’option « Ouvrir avec » du menu contextuel de Windows permet d’ouvrir un fichier avec une autre application que celle définie par défaut. Accessible en ouvrant le menu contextuel (clic droit), elle affiche un sous-menu avec une liste d’applications et de programmes susceptibles d’ouvrir le fichier sélectionné. Il arrive parfois qu’il y ait des logiciels dans cette liste qui ne devraient pas y...

Source

Analyze basic log output from VMware vSphere 7 products

21 juillet 2021 à 22:55
If you're running just a vSphere, and ESXi, the logging will be concentrated only from those two products. VMware has, however, a large portfolio of products, each of which has its own logging. It is probably best to send logs from all VMware products to a remote logging server that can ingest the logs and present you with a graphical UI that also allows advanced search capabilities for specific issues.

Microsoft 365 mail flow reports in the Exchange Admin Center

20 juillet 2021 à 18:07
Understanding mail flow reports available in the Microsoft 365 Exchange Admin Center is essential for troubleshooting mail flow issues, reviewing email traffic, and formulating your security policies for mail flow; these are everyday tasks for Exchange admins. Mail flow reports can not only help you in these tasks but also give you early indications of impending issues.

GPO – Windows Update : comment gérer les heures d’activités de Windows ?

20 juillet 2021 à 13:00

I. Présentation

Dans ce tutoriel, nous allons voir comment configurer les heures d'activités définies dans Windows Update au sein de Windows 10 ou Windows Server, directement par GPO (stratégie de groupe).

Lorsque Windows installe des mises à jour sur votre machine, il doit redémarrer pour finaliser l'installation des mises à jour. Si vous ne redémarrez pas régulièrement votre machine, ce qui est le cas sur un serveur, Windows peut décider de redémarrer tout seul. Que ce soit sur un ordinateur ou un serveur, s'il y a un redémarrage en pleine production, on ne va pas spécialement apprécier... À juste titre.

Microsoft permet de configurer les heures d'activités pour définir une plage horaire pendant laquelle la machine n'est pas autorisée à redémarrer d'elle-même. C'est ce que nous allons apprendre à configurer dans ce tutoriel.

II. Windows Update - configurer les heures d'activité sous Windows 10

Commençons par regarder les paramètres au sein d'une machine Windows 10, avant de parler de la GPO que vous pourriez déployer sur votre parc informatique et vos serveurs.

Cliquez sur le menu "Démarrer" et accédez au menu "Paramètres". Ensuite, cliquez sur "Mise à jour et sécurité" puis sur la gauche sur "Windows Update".

Au sein du panneau de configuration de Windows Update, cliquez sur "Modifier les heures d'activité".

Par défaut, Windows détermine lui-même les heures d'activité en fonction de l'utilisation que vous faites de votre machine. Pour personnaliser la plage horaire, il faut passer sur l'état "Désactivé" le paramètre "Ajuster automatiquement les heures d'activité de cet appareil en fonction de l'activité".

Ensuite, cliquez sur le bouton "Modifier".

Vous avez la possibilité de définir l'heure de début et l'heure de fin. Lorsque c'est fait, cliquez sur "Enregistrer".

Windows 10 Heures d'activité

Voilà, c'est fait, votre machine est configurée !

III. Windows Update - configurer les heures d'activité par GPO

Basculons maintenant sur le contrôleur de domaine pour configurer une GPO qui va permettre de configurer les heures d'activité. Cette GPO pourra s'appliquer aux ordinateurs de votre parc et/ou à vos serveurs, même si la plage définie ne sera peut-être pas la même dans les deux cas.

Note : si vous souhaitez utiliser des plages différentes, vous devez créer plusieurs GPO.

Je vous laisse créer une GPO et la modifier. Vous devez parcourir les paramètres de cette façon :

Configuration ordinateur > Modèles d'administration > Composants Windows > Windows Update

Ce qui vous permettra de trouver le paramètre suivant :

Désactiver le redémarrage automatique pour les mises à jour pendant les heures d'activité

Nous allons configurer ce paramètre pour définir l'état "Activé". Il faudra définir une heure de début et une heure de fin : ce qui donnera une plage horaire.

Microsoft précise que ce paramètre n'a pas d'effet si vous configurez l'un des deux paramètres suivants (ou les deux) :

  • Pas de redémarrage automatique avec des utilisateurs connectés pour les installations planifiées de mises à jour automatiques
  • Toujours redémarrer automatiquement à l'heure planifiée

GPO - Heures d'activité Windows Update

La GPO étant prête, il reste à l'appliquer sur une ou plusieurs unités d'organisation, puis à tester.

Prenez un poste sur lequel s'applique la GPO, exécutez la commande "gpupdate /force" et redémarrez la machine.

Dès que c'est fait, retournez dans les paramètres de Windows Update, vous devriez voir la mention "Votre organisation gère certains paramètres". Cliquez sur le lien en dessous : "Afficher les stratégies de mise à jour configurées".

On peut voir que deux paramètres sont définis : l'heure de début d'activité et l'heure de fin d'activité.

Désormais, vous savez comment configurer les heures d'activité de Windows Update sur vos machines et vos serveurs !

The post GPO – Windows Update : comment gérer les heures d’activités de Windows ? first appeared on IT-Connect.

Une variante du ransomware HelloKitty s’attaque aux serveurs VMware ESXi

20 juillet 2021 à 08:15

Une nouvelle variante du ransomware HelloKitty rejoint la liste des ransomwares qui s'attaquent aux serveurs VMware ESXi, qui sont désormais une cible de plus en plus privilégiée par les pirates.

Souvenez-vous, le mois dernier on apprenait l'existence d'un module de chiffrement spécifique au sein du ransomware REvil, dans le but de s'attaquer aux serveurs VMware ESXi et de chiffrer les datastores. Pour rappel, le datastore est l'emplacement de stockage où sont stockées les machines virtuelles.

Comme la dernière fois, c'est l'équipe de chercheurs MalwareHunterTeam qui a fait cette découverte, et cette fois-ci cela concerne une nouvelle variante du ransomware HelloKitty. Elle se présente sous la forme d'un exécutable ELF-64, à destination de Linux. Même si VMware utilise un noyau Linux personnalisé, il est possible de lancer ce type d'exécutable sur les hyperviseurs.

Pour interagir avec le serveur VMware ESXi, le ransomware s'appuie sur la ligne de commandes esxcli. Cela lui permet d'éteindre la machine virtuelle afin d'éviter que les fichiers soient verrouillés, et il procède ensuite au chiffrement de ces mêmes fichiers. Comme le montre l'exemple ci-dessous, le ransomware cherche à éteindre proprement la VM dans un premier temps, et si cela ne fonctionne pas il essaie deux autres méthodes plus brutales.

First try kill VM:%ld ID:%d %s
esxcli vm process kill -t=soft -w=%d
Check kill VM:%ld ID:%d
esxcli vm process kill -t=hard -w=%d
Unable to find
Killed VM:%ld ID:%d
still running VM:%ld ID:%d try force
esxcli vm process kill -t=force -w=%d
Check VM:%ld ID: %d manual !!!
.README_TO_RESTORE
Find ESXi:%s
esxcli vm process list
World ID:
Process ID:
Running VM:%ld ID:%d %s
Total VM run on host: %ld

Les hackers apprécient particulièrement les hyperviseurs, en l'occurrence sous VMware ESXi. Pour deux raisons : ils sont très répandus et prendre le contrôle d'un ESXi permet de cibler X serveurs virtuels, ce qui est particulièrement impactant.

Dirk Schrader de chez New Net Technologies, explique qu'attaquer un équipement (VMware ESXi) qui héberge une trentaine de services critiques d'une organisation est particulièrement intéressant pour les pirates, afin d'obtenir un résultat. Quand il dit "résultat", il veut dire par là que l'entreprise va payer la rançon et donc que c'est rentable pour les hackers.

Pour se protéger contre ce type d'attaques, il convient de maintenir à jour son serveur VMware ESXi autant que possible pour bénéficier des derniers correctifs de sécurité.

Source

The post Une variante du ransomware HelloKitty s’attaque aux serveurs VMware ESXi first appeared on IT-Connect.

Manage encrypted PCs remotely using BitLocker Network Unlock

19 juillet 2021 à 17:04
TPM+PIN decryption with BitLocker requires physical access to the device when the endpoint boots or resumes from sleep. This feature can be a challenge for remote helpdesk technicians attempting to remotely access the endpoint, install software, and perform other tasks using Wake on LAN. For this reason, Microsoft created BitLocker Network Unlock.

Windows 10 : des chercheurs parviennent à tromper Windows Hello !

19 juillet 2021 à 15:30

Des chercheurs en sécurité sont parvenus à tromper Windows Hello, le système d'authentification biométrique de Microsoft, avec une simple photo infrarouge. Que s'est-il passé ?

Si vous avez une machine Windows 10 et une Webcam compatible Windows Hello, vous pouvez vous authentifier grâce à la reconnaissance faciale, ce qui est super pratique ! Cela évite d'avoir à saisir son mot de passe pour ouvrir ou déverrouiller sa session. Néanmoins, comme tout système, celui-ci à ses limites en termes de sécurité. D'autant plus que Microsoft doit assurer la compatibilité entre Windows Hello et de nombreux modèles de Webcam.

Pour que la Webcam soit compatible avec Windows Hello, elle doit être équipée d'un capteur infrarouge. C'est notamment le cas sur les Surface Pro, les ordinateurs hybrides de chez Microsoft.

Des chercheurs en sécurité de chez CyberArk sont à l'origine de cette trouvaille, et Omer Tsarfati, explique qu'ils sont parvenus à tromper le système d'authentification Windows Hello avec une simple photo infrarouge de la personne. Ensuite, l'attaquant peut accéder à la session et à toutes les données de l'utilisateur. Clairement, il y a un souci dans le processus de vérification des données au niveau de Windows Hello.

Pour l'anecdote, on retiendra que Omer Tsarfati a pris une photo de Bob l'Éponge pour ses tests. Du coup, on peut se demander si Bob l'Éponge était présent physiquement pour enregistrer les informations biométriques la première fois. Ahah.

Plus sérieusement, bien que cette attaque soit simple d'apparence, il faut avoir la machine entre les mains et avoir une photo infrarouge d'une bonne qualité pour que l'attaque réussisse. Microsoft considère cette attaque comme très complexe à mettre en œuvre, probablement car elle nécessite un accès physique sur le PC.

La bonne nouvelle, c'est que le Patch Tuesday de Juillet 2021 publié par Microsoft contient un correctif pour cette faille de sécurité au sein de Windows Hello. Cette vulnérabilité est associée à la référence CVE-2021-34466. Ce correctif s'applique à toutes les versions de Windows 10 encore sous support.

Source

The post Windows 10 : des chercheurs parviennent à tromper Windows Hello ! first appeared on IT-Connect.

WSL : personnaliser le démarrage de Linux avec /etc/wsl.conf

19 juillet 2021 à 11:30

I. Présentation

Le démarrage de chaque distribution Linux qui tourne via WSL (Windows Subsystem for Linux) peut être personnalisé avec le fichier de configuration /etc/wsl.conf.

Si vous souhaitez maîtriser le fichier de configuration "/etc/wsl.conf", vous êtes au bon endroit ! Dans ce tutoriel, je vais vous expliquer comment utiliser le fichier wsl.conf pour personnaliser le démarrage de la distribution Linux gérée par WSL.

Ready ? Go...

🎥 Ce 7ème épisode sur WSL est également disponible au format vidéo :

II. Création du fichier /etc/wsl.conf

Par défaut, le fichier de configuration /etc/wsl.conf n'existe pas. Nous devons le créer grâce à une simple commande :

sudo touch /etc/wsl.conf

Ensuite, il ne reste plus qu'à le modifier à l'aide de notre éditeur préféré (oui, mon éditeur préféré c'est nano, ahah) :

sudo nano /etc/wsl.conf

Le fichier est créé, il est ouvert, c'est bien, mais on fait quoi maintenant ?

Sachez que pour le moment, il y a quatre sections prises en charge sur les versions stables de Windows :

[user]
[automount]
[network]
[interop]

Passons à la suite, où je vais vous montrer quelques exemples.

Reportez-vous aussi à la documentation Microsoft de wsl.conf.

III. WSL [user] : modifier l'utilisateur par défaut

Commençons en douceur : la section [user] accepte un seul paramètre nommé "default". Il sert à spécifier l'utilisateur qui doit être connecté par défaut lorsque l'on démarre la distribution Linux. Bien entendu, cet utilisateur doit exister au préalable, ce qui signifie qu'il doit être créé avec la commande "adduser".

Au sein du fichier wsl.conf, le principe est le suivant : on commence par déclarer le bloc :

[user]

Puis, on ajoute notre directive en dessous. Pour définir "itconnect" comme utilisateur par défaut, cela donne :

[user]
default=itconnect

Au prochain redémarrage, on sera directement connecté avec ce compte sur cette distribution.

Fichier wsl.conf - Exemple [user]

IV. WSL [automount] : Monter les disques locaux de Windows

La section [automount] va permettre de monter les disques locaux de Windows au sein de la distribution Linux. De cette manière, vous pouvez accéder aux données de votre machine Windows depuis Linux. Cette section permet aussi de monter un partage SMB au sein de Linux, automatiquement.

Au sein du fichier wsl.conf, voici comment monter automatiquement les disques Windows dans Linux, au sein de la racine "/windows/" :

[automount]
enabled=true
root=/windows/

Après redémarrage de la machine Linux, ici Ubuntu, on voit bien que je suis directement au sein du dossier "/windows/c/" qui correspond au disque C de Windows.

ls -l
Accès au disque C de Windows depuis Linux

L'alternative consiste à monter manuellement le lecteur ou à partir du fichier /etc/fstab qui permet de déclarer les points de montage (et donc de monter un partage distant via SMB). Cela est possible grâce à la directive mountFsTab de la section [automount] qui est par défaut sur True.

V. WSL [network] : reprendre le contrôle de resolv.conf et hosts

La section [network] sert à paramétrer deux options :

  • generateHosts : est-ce qu'il faut générer le fichier /etc/hosts ? Il sert à déclarer l'adresse localhost, mais aussi d'autres adresses si l'on veut (idéale pour des tests). Avec WSL, il reprend le contenu du fichier hosts de Windows.
  • generateResolvConf : est-ce qu'il faut générer le fichier /etc/resolv.conf ? Il sert à déclarer le DNS, sans lui impossible d'utiliser Internet

Par défaut, ces deux options sont à "True" c'est-à-dire que les fichiers sont générés et préconfigurés. Ce qui permet d'avoir Internet sur la machine, en s'appuyant sur votre machine Windows. Le problème, c'est que si vous modifiez ces fichiers, à chaque redémarrage ce sera écrasé.

Définir ces options à "False" va permettre de reprendre le contrôle sur ces deux fichiers. Par exemple, cela va permettre de définir un DNS personnalisé sur votre machine.

[network]
generateHosts=false
generateResolvConf=false

Si l'on prend l'exemple de "generateResolvConf" qui correspond au fichier /etc/resolv.conf. Actuellement, son contenu est le suivant :

# This file was automatically generated by WSL. To stop automatic generation of this file, add the following entry to /etc/wsl.conf:
# [network]
# generateResolvConf = false
nameserver 172.30.224.1

Si l'on veut définir un DNS personnalisé dans WSL, par exemple le DNS local de notre entreprise, voici ce qu'il faut faire. Définir l'option sur "False" comme ci-dessus :

[network]
generateResolvConf=false

Redémarrer la machine WSL (depuis Windows ou Linux) :

wsl --shutdown

Retourner sur le Shell Linux et supprimer le fichier /etc/resolv.conf dans le but de le recréer, sinon nous ne pouvons pas le modifier.

sudo rm /etc/resolv.conf

On modifie le fichier (ce qui va le recréer en même temps) :

sudo nano /etc/resolv.conf

On ajoute notre serveur DNS personnalisé :

nameserver 192.168.100.11

On valide, voilà nous avons défini un serveur DNS personnalisé sur notre distribution Linux ! Au prochain redémarrage, le fichier ne sera pas écrasé ! 😉

Il est à noter que si vous déclarez generateResolvConf sur "False" et que vous ne définissez pas de DNS vous-même dans le fichier, votre machine Linux ne pourra plus résoudre les noms.

VI. WSL [interop] : empêcher l'ouverture des programmes Windows depuis Linux

La section [interop] agit sur l'interopérabilité entre les deux systèmes : Windows et Linux. En fait, à partir du shell Linux, vous pouvez exécuter des commandes Windows pour ouvrir des programmes. Essayez les deux commandes ci-dessous, vous verrez :

notepad.exe
calc.exe

La section [interop] a deux paramètres possibles :

  • enabled : permets d'activer ou désactiver la prise en charge des commandes Windows depuis Linux. Par défaut, c'est sur "True" (vrai). Lorsque c'est False (faux), ce n'est plus possible
  • appendWindowsPath : permet d'ajouter les chemins de la variable Windows "PATH", notamment "C:\Windows\System32", à la variable d'environnement $PATH de Linux. Par défaut, c'est sur "True" ce qui permet de trouver le Bloc-notes d'un simple "notepad.exe".

L'image ci-dessous permet de voir le contenu de la variable $PATH de Linux lorsque l'option appendWindowsPath est sur True, puis en bas de l'image, lorsqu'elle est sur False.

Sur le même principe que pour les directives précédentes, voici comment déclarer ces options :

[interop]
enabled=false
appendWindowsPath=false

Un redémarrage s'impose, et le tour est joué : le divorce entre la machine Windows et la machine Linux commence maintenant ! 😉

VII. WSL [boot] : exécuter une commande au démarrage de Linux

Comme je vous l'indiquais en janvier 2021, Microsoft a introduit la possibilité d'exécuter une commande au démarrage de Linux via WSL. Néanmoins, c'est disponible uniquement au sein des versions en cours de développement de Windows 10. À l'époque, au sein de Windows 10 Build 21286. À ce jour, et malgré la sortie de Windows 10 21H1, cette nouvelle section [boot] n'est toujours pas incluse dans une version stable de Windows 10.

Malgré tout, je vais vous expliquer son fonctionnement. Comme ça, quand ce sera disponible en version stable, l'article sera déjà au point. Voici comment elle se déclare dans le fichier wsl.conf :

[boot]
command="<commande>"

Reprenons l'exemple proposé par Microsoft et qui permet d'écrire dans un fichier (/home/florian/wslBootHistory.txt) la date et l'heure à chaque fois que la distribution Linux est lancée. Ce qui donne :

[boot]
command="echo WSL booted at $(/bin/date +'%Y-%m-%d %H:%M:%S') >> /home/florian/wslBootHistory.txt"

En image :

Fichier wsl.conf avec [boot]
Fichier wsl.conf avec [boot]
Il n'est pas utile de créer le fichier TXT en amont. Pour tester le bon fonctionnement de notre commande, nous allons faire un shutdown de WSL et relancer le shell de la distribution. Depuis Windows, exécutez :

wsl --shutdown

Ensuite, depuis Linux, si l'on regarde le contenu de notre fichier, on verra qu'il y a bien du contenu :

cat /home/florian/wslBootHistory.txt

Voilà, le tour est joué !

Pour exécuter un script, ce n'est pas plus compliqué :

command="bash /home/florian/monscript.sh"

La section [boot] est très pratique, car elle va permettre de faciliter l'exécution de commandes et de scripts, par exemple pour démarrer un service. Vivement qu'elle soit disponible sur la version stable de WSL !

The post WSL : personnaliser le démarrage de Linux avec /etc/wsl.conf first appeared on IT-Connect.

Patch Tuesday – Juillet 2021 : 117 vulnérabilités corrigées

17 juillet 2021 à 18:47

À l'occasion de son Patch Tuesday du mois de juillet 2021, Microsoft a corrigé 117 failles de sécurité parmi lesquelles on compte 13 failles critiques. Ce patch fait également référence à la vulnérabilité PrintNightmare qui a beaucoup fait parler d'elle ces dernières semaines.

Le nombre de failles corrigées en juillet est en hausse pour ce mois de juillet, en comparaison du mois de juin, passant de 50 à 117 vulnérabilités. Microsoft a intégré à ce Patch Tuesday à son correctif pour combler la faille PrintNightmare, associée à la référence CVE-2021-34527 (et liée à la faille CVE-2021-1675).

Avec un peu de retard puisqu'il est disponible depuis le mardi 13 juillet, voici des précisions au sujet de ce Patch Tuesday.

Des failles critiques corrigées par Microsoft

Microsoft a corrigé 13 failles critiques avec ce nouveau Patch Tuesday, dont 4 qui méritent une attention particulière :

- CVE-2021-31206 : découverte à l'occasion de la compétition de hacking Pwn2Own, il s'agit d'une vulnérabilité de type RCE (exécution de code à distance) qui touche les serveurs Microsoft Exchange. Voici la liste des versions affectées : Exchange Server 2019 Cumulative Update 10, Exchange Server 2019 Cumulative Update 9, Exchange Server 2016 Cumulative Update 21, Exchange Server 2016 Cumulative Update 20 et Exchange Server 2013 Cumulative Update 23.

- CVE-2021-34448 : une vulnérabilité située dans le moteur de script et de type corruption de mémoire. Pour l'exploiter, l'attaquant doit inciter la victime à visiter un site malveillant avec un lien spécifique. Microsoft précise que cette faille est exploitée activement et qu'elle touche Windows 10 et Windows Server.

- CVE-2021-34458 : une vulnérabilité située dans le noyau de Windows Server et de type exécution de code à distance. Elle touche Windows Server à partir de Windows Server 2016, y compris les installations en mode core. Pour qu'un hôte soit vulnérable, Microsoft précise qu'il y a deux conditions. La première c'est que l'hôte Windows héberge des machines virtuelles et la seconde c'est que le matériel du serveur intègre des périphériques compatibles SR-IOV.

- CVE-2021-34494 : cette quatrième vulnérabilité critique est également de type exécution de code à distance, et elle touche le composant "Serveur DNS" de Windows. Vous l'aurez compris, elle touche seulement les serveurs DNS sous Windows, ce qui n'est pas anodin, car généralement les contrôleurs de domaine Active Directory sont aussi serveur DNS. D'après Microsoft, cette faille n'est pas exploitée et il n'existe pas encore d'exploit public. Toutes les versions de Windows Server depuis Windows Server 2008 R2 sont touchées, y compris en installation en mode core.

Mise à jour de juillet pour Windows 10

Ce nouveau Patch Tuesday se traduit par l'arrivée d'un nouveau patch cumulatif à pousser sur vos machines dans le but d'améliorer la sécurité de Windows. Voici la liste des KB publiées par Microsoft :

Windows 10 version 2004, 20H2 et 21H1 : KB5004237
Windows 10 version 1909 : KB5004245
Windows 10 version 1903 : Fin du support
Windows 10 version 1809 : KB5004244
Windows 10 version 1803 : Fin du support
Windows 10 version 1709 : Fin du support
Windows 10 version 1703 : Fin du support
Windows 10 version 1607 : KB5004238
Windows 10 version 1507 : KB5004249

À vous de jouer maintenant ! 🙂

Pour finir, petit clin d'œil au Costa Rica sur la photo de présentation de cet article, et plus particulièrement au volcan Irazú avec son lac d'acide (même s'il est sec en ce moment), que j'ai eu l'occasion de visiter hier. Un endroit incroyable perché à 3 400 mètres d'altitude, accessible en voiture, où la végétation est très présente, ainsi que les oiseaux, notamment le célèbre Colibri.

Passez de bonnes vacances ! ☀

The post Patch Tuesday – Juillet 2021 : 117 vulnérabilités corrigées first appeared on IT-Connect.
❌