Une nouvelle technique d'attaque baptisée "GrimResource" cible actuellement les utilisateurs de Windows ! Elle s'appuie sur l'utilisation de fichiers MSC et elle exploite une faille de sécurité XSS dans Windows non corrigée à ce jour. Faisons le point sur cette menace.
Au fil des années, Microsoft renforce la sécurité de son système d'exploitation et de ses applications en désactivant par défaut certaines fonctionnalités. Nous pouvons notamment citer la désactivation des macros dans Microsoft Office, ainsi que la suppression à venir de VBScript dans Windows. À chaque fois, les cybercriminels font preuve d'ingéniosité pour trouver de nouvelles techniques d'attaques, et sans cesse se renouveler.
Dernièrement, l'entreprise sud coréenne Genian a découvert que les fichiers MSC pouvaient être utilisés à des fins malveillantes. De nouvelles recherches menées par l'équipe d'Elastic ont permis de découvrir une nouvelle technique basée sur l'utilisation de ces fameux fichiers MSC : la technique "GrimResource". "Les chercheurs d'Elastic ont découvert une nouvelle technique d'infection exploitant également les fichiers MSC, que nous appelons GrimResource.", peut-on lire.
En tant qu'administrateur système Windows, vous connaissez surement les fichiers MSC correspondant à "Microsoft Management Console", soit la console MMC. Les fichiers MSC sont des raccourcis vers des consoles d'administration du système, comme "gpedit.msc" pour éditer la stratégie de groupe locale. L'utilisateur peut créer ses propres raccourcis, et les pirates aussi.
Évoquons l'utilisation malveillante des fichiers MSC sur Windows. Tout d'abord, le rapport d'Elastic précise : "Il permet aux attaquants d'obtenir une exécution complète du code dans le contexte de mmc.exe après qu'un utilisateur ait cliqué sur un fichier MSC spécialement conçu. Un échantillon exploitant GrimResource a été téléchargé pour la première fois sur VirusTotal le 6 juin." - L'échantillon en question s'appelait "sccm-updater.msc".
Une faille de sécurité XSS non corrigée dans la dernière version de Windows 11
L'attaque GrimResource repose sur l'utilisation d'un fichier MSC malveillant qui sert à exploiter une faille de sécurité XSS basée sur le modèle DOM de la bibliothèque nommée "apds.dll". Il s'agit d'une vulnérabilité connue, qui a déjà été reportée à Adobe et Microsoft en 2018, mais qui n'a pas été corrigée. Ainsi, dans Windows 11, avec les dernières mises à jour de sécurité, la faille de sécurité peut être exploitée. Ceci est également vrai pour les autres versions de Windows.
"En ajoutant une référence à la ressource APDS vulnérable dans la section StringTable appropriée d'un fichier MSC élaboré, les attaquants peuvent exécuter du JavaScript arbitraire dans le contexte de mmc.exe.", peut-on lire. Grâce à cette technique et à l'exploitation de cette faille de sécurité, les cybercriminels sont parvenus à récupérer et à exécuter un payload Cobalt Strike, afin d'infecter la machine et de la compromettre.
Une vidéo de démonstration a été publiée sur X (Twitter) :
Nous vous invitons à lire le rapport d'Elastic pour obtenir des détails supplémentaires, et notamment des informations sur la façon de détecter cette attaque. Par exemple, l'exécution du processus "mmc.exe" avec l'appel d'un fichier "msc" et de certains arguments doit être considéré comme suspect. Elastic a aussi partagé la règle YARA correspondante.
Le dernier Patch Tuesday de Microsoft contient un correctif pour une faille de sécurité importante présente dans le pilote Wi-Fi de Windows (CVE-2024-30078). Quels sont les risques ? Faisons le point !
Le mardi 11 juin 2024, Microsoft a publié son Patch Tuesday de juin 2024 dans le but de corriger 51 vulnérabilités et 1 faille zero-day. Dans cette liste de vulnérabilités, il y a la CVE-2024-30078 qui mérite une attention particulière. Associée à un score CVSS v3.1 de 8.8 sur 10, cette faille de sécurité présente dans le pilote Wi-Fi de Windows permet à un attaquant d'exécuter du code à distance sur une machine, sans avoir un accès physique direct.
Microsoft indique également que l'exploitation de cette vulnérabilité ne nécessite aucune interaction de la part de l'utilisateur ! Pour l'attaquant, il suffit d'être à portée de l'ordinateur cible afin de mener cette attaque qui repose sur le Wi-Fi : il n'y a pas de lien sur lequel l'utilisateur doit cliquer, ni même de fichier à ouvrir, etc. L'attaquant n'a pas non plus besoin de connaître un compte utilisateur sur l'ordinateur cible puisque cette vulnérabilité s'exploite sans authentification préalable : il suffit que la machine détecte le réseau malveillant.
Voici ce que l'on peut lire sur le site de Microsoft au sujet de la CVE-2024-30078 : "Un attaquant non authentifié pourrait envoyer un paquet réseau malveillant à un système adjacent qui utilise un adaptateur réseau Wi-Fi, ce qui pourrait permettre l'exécution de code à distance." - Dans ce cas, le code est exécuté sur l'appareil avec les privilèges SYSTEM sur Windows. Ainsi, l'attaquant peut prendre le contrôle de l'appareil.
Cette faille de sécurité pourrait être exploitée dans les gares, les aéroports ou encore les hôtels puisque ce sont des lieux où les attaquants peuvent être proches de nombreux appareils Windows, aussi des machines personnelles que professionnelles.
Dans la liste des versions de Windows et Windows Server affectées, nous retrouvons toutes les versions à partir de Windows Server 2008 et Windows 10. Pour vous protéger, vous l'aurez compris, il faut installer les mises à jour cumulatives de juin 2024 pour Windows.
Un nouveau rapport de Symantec laisse entendre que le gang de ransomware Black Basta aurait exploité une faille de sécurité dans Windows avant même que celle-ci soit connue et corrigée par Microsoft. Elle facilite l'élévation de privilèges sur une machine Windows. Faisons le point !
Si vous n'avez pas installé les mises à jour Windows sur vos postes de travail et serveurs depuis plusieurs mois, cet article pourrait bien vous faire changer d'avis. La faille de sécurité CVE-2024-26169, corrigée par Microsoft le12 mars 2024 via le Patch Tuesday, aurait été exploitée en tant que zero-day par les cybercriminels de Black Basta.
Présente dans le service de signalement des erreurs de Windows (Windows Error Reporting Service), cette vulnérabilité permet à un attaquant d'élever ses privilèges en tant que "SYSTEM" sur une machine locale. C'est d'ailleurs précisé sur le site de Microsoft : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM."
Une faille de sécurité exploitée par le ransomware Black Basta
Bien que Microsoft considère que cette faille de sécurité n'est pas exploitée par des pirates, le dernier rapport de Symantec affirme le contraire. D'ailleurs, voici la première phrase de ce rapport : "Certains éléments suggèrent que des attaquants liés à Black Basta ont compilé l'exploit CVE-2024-26169 avant la sortie du correctif" (de Microsoft).
Récemment, les experts de Symantec ont analysé un outil d'exploitation utilisé au sein de plusieurs cyberattaques. Tout porte à croire que cet outil a été compilé et exploité bien avant que le patch de Microsoft soit disponible.
Au-delà de son fonctionnement purement technique, ce qui est intrigant, ce sont les horodatages de compilation des deux versions de l'outil d'exploitation analysées par Symantec. Le premier est daté du 27 février 2024, tandis que le second a été compilé encore plus tôt, le 18 décembre 2023. Soit entre 14 et 85 jours avant la publication du correctif de sécurité de Microsoft !
Cet horodatage est modifiable, mais Symantec pense que ce n'a pas été le cas ici : "Toutefois, dans le cas présent, les auteurs de l'attaque ne semblent guère motivés pour modifier l'horodatage à une date antérieure.", peut-on lire.
Cet exploit a été utilisé pour compromettre des machines sous Windows par l'intermédiaire de la CVE-2024-26169. Pour se protéger, il est nécessaire de mettre à jour Windows : la vulnérabilité en question a été corrigée avec les mises à jour cumulatives de mars 2024. Elle affecte Windows et Windows Server.
Microsoft affirme que la fonctionnalité DirectAccess est obsolète et qu'elle sera supprimée d'une future version de Windows. À la place, vous devez vous orienter vers la fonctionnalité "Always on VPN". Faisons le point.
Introduite dans Windows 7 et Windows Server 2008 R2, la fonctionnalité DirectAccess offre la possibilité à une machine intégrée à un domaine Active Directory d'être constamment connectée au réseau de l'entreprise, sans utiliser une connexion VPN classique. Le successeur de cette fonctionnalité d'accès à distance est connu depuis plusieurs années : il s'agit de la fonction Always on VPN disponible depuis Windows Server 2016 et Windows 10. Elle est également prise en charge sur les dernières versions de Windows Server et Windows 11.
Fonctionnant sur le même principe que DirectAccess (connexion au réseau de l'entreprise toujours active), Always on VPN est plus flexible et plus sécurisé puisque cette fonctionnalité prend en charge le MFA pour l'authentification, ainsi que divers protocoles VPN pour sécuriser les échanges (IKEv2, SSTP). De plus, Always on VPN présente la particularité de pouvoir être utilisé aussi bien par des machines intégrées au domaine Active Directory, que celles qui ne le sont pas.
Il y a quelques heures, Microsoft a ajouté DirectAccess à la liste des fonctionnalités obsolètes de Windows. Sur le site de l'entreprise américaine, voici ce que nous pouvons lire : "DirectAccess est obsolète et sera supprimé dans une prochaine version de Windows. Nous recommandons de migrer de DirectAccess vers Always On VPN."
Comment migrer de DirectAccess à Always on VPN ?
La documentation de Microsoft contient un guide spécial pour vous accompagner et vous conseiller dans la migration de DirectAccess vers Always on VPN. La firme de Redmond recommande aux organisations de déployer Always on VPN en parallèle de DirectAccess pour effectuer une transition en douceur.
Pour le moment, nous ne savons pas quand DirectAccess sera retiré de Windows... Aucune date n'est fournie par Microsoft. Mais, il est préférable d'anticiper ce changement pour éviter une interruption de service sur les accès distants.
Une nouvelle faille de sécurité critique a été découverte dans PHP : CVE-2024-4577 ! En l'exploitant, un attaquant peut exécuter du code malveillant à distance sur le serveur Windows utilisé en tant que serveur Web. Faisons le point sur cette menace.
L'équipe de développement de PHP a corrigé plusieurs failles de sécurité dans son moteur de scripts PHP. L'une de ces vulnérabilités, associées à la référence CVE-2024-4577 mérite une attention particulière.
Découverte par le chercheur en sécurité Orange Tsai de DEVCORE, cette vulnérabilité d'injection d'arguments dans CGI affecte toutes les versions de PHP lorsque ce dernier est installé sur un serveur Windows. Pour être plus précis, toutes les versions de PHP, de 5.X à la dernière version 8.3.X sont vulnérables. Le problème, c'est que de nombreuses versions vulnérables ne sont plus prises en charge et ne pourront pas bénéficier d'un correctif de sécurité.
"Lors de l'implémentation de PHP, l'équipe n'a pas remarqué la fonctionnalité Best-Fit de conversion d'encodage dans le système d'exploitation Windows. Cette omission permet à des attaquants non authentifiés de contourner la protection précédente de CVE-2012-1823 par des séquences de caractères spécifiques.", précise le chercheur en sécurité dans son rapport.
Vous l'aurez compris, cette nouvelle vulnérabilité permet d'outrepasser un correctif de sécurité introduit il y a plus de 10 ans pour corriger la faille de sécurité CVE-2012-1823 présente dans PHP-CGI. En exploitant cette vulnérabilité, un attaquant peut compromettre le serveur Web.
Qui est vulnérabilité à cette faille de sécurité ?
Au-delà de la version de PHP utilisée, pour être vulnérable à la faille de sécurité CVE-2024-4577, le moteur de scripts PHP doit être utilisé sur Windows. L'article évoque un cas d'utilisation de PHP avec un serveur Web XAMPP sous Windows, mais ce n'est pas le seul moyen d'utiliser PHP-CGI sur Windows. En effet, il est tout à fait possible d'avoir un serveur IIS avec PHP-CGI actif, et dans ce cas, le serveur Web est également vulnérable. Nous pourrions aussi citer WAMP.
De plus, bien que cette vulnérabilité soit liée à PHP-CGI, elle peut être exploitée même si PHP n'est pas configuré en mode CGI. La seule condition, c'est que les exécutables PHP ("php.exe" ou "php-cgi.exe") soient stockés dans des répertoires accessibles par le serveur web. Ceci est la configuration par défaut de XAMPP, donc il y a probablement une grande majorité de serveurs XAMPP vulnérables.
Ce problème de sécurité est exploitable lorsque l'une de ces "locales" est utilisée dans la configuration de PHP : chinois traditionnel, chinois simplifié et japonais. Attention, les autres "locales" sont potentiellement vulnérables : Orange Tsai affirme qu'il n'a pas évalué toutes les configurations possibles.
Remarque : CGI pour Common Gateway Interface, est une interface utilisée sur les serveurs Web pour permettre l'exécution de programmes externes via des requêtes HTTP. Ceci est notamment utile au bon fonctionnement de certaines applications.
Comment se protéger de la CVE-2024-4577 ?
Le meilleur moyen de se protéger de cette vulnérabilité, c'est de passer sur les dernières de PHP, publiées il y a quelques jours, car elles contiennent un correctif. Il s'agit des versions suivantes : PHP 8.3.8, PHP 8.2.20, et PHP 8.1.29.
Si vous ne pouvez pas mettre à jour PHP maintenant, ou que vous utilisez une version de PHP qui n'est plus supportée, il existe une solution. En effet, une règle de réécriture d'URL basée sur l'utilisation du module PHP "mod_rewrite" permet de bloquer les attaques (mais ceci s'appliquerait uniquement aux locales évoquées ci-dessus).
RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? – [F,L]
Par ailleurs, à la place de cette règle, si vous êtes certain que vous n'utilisez pas PHP-CGI et que vous utilisez XAMPP, vous pouvez désactiver la fonctionnalité sur votre serveur Web. Éditez le fichier suivant :
C:/xampp/apache/conf/extra/httpd-xampp.conf
Puis, commentez la ligne présentée ci-dessous en ajoutant un "#" au début de la ligne :
#ScriptAlias /php-cgi/ "C:/xampp/php/"
Enfin, sachez qu'un exploit PoC est déjà disponible (voir cette page). Cette vulnérabilité représente un risque important, donc mettez à jour si vous le pouvez.
Dans ce tutoriel, nous allons utiliser l'outil Peek Screen Recorder, alias Peek, pour faire un GIF sous Windows. Cet outil est gratuit et accessible via le Microsoft Store depuis Windows.
Si vous recherchez une application simple et légère pour enregistrer des GIF animés sur votre PC Windows, cette application devrait vous plaire. Elle permet aussi de prendre des captures d'écran (PNG ou JPEG) et d'enregistrer l'écran (MP4), mais ce sont des fonctions disponibles avec l'Outil capture de Windows. D'ailleurs, actuellement, il ne permet pas de créer des GIF mais il n'est pas improbable que Microsoft lui ajoute cette fonctionnalité par la suite...
En attendant, Peek Screen Recorder est là pour nous rendre service. Vous pouvez le télécharger en utilisant ce lien officiel :
Dans cet exemple, Peek Screen Recorder est utilisé sur Windows 11, mais il devrait fonctionner aussi sur Windows 10.
Il y a également une version de Peek sur Linux, que nous avions évoqué dans un précédent article. J'ignore si c'est le même développeur, mais la similitude dans le nom laisse penser que c'est le cas.
Suite à l'installation de l'application, comment créer un premier GIF animé ? Le bouton "GIF" tout à gauche sert à déclencher l'enregistrement du GIF. Avant de cliquer dessus, sachez que vous pouvez créer un GIF de tout l'écran ou seulement d'une zone grâce à ce bouton :
Bien souvent, nous allons plutôt capturer une zone spécifique de l'écran. Ce qui est pratique, c'est de pouvoir redimensionner à la volée la zone, tout en ayant une visibilité précise sur la zone capturée grâce à la transparence de l'interface de Peek. Par exemple :
Quand vous êtes prêts, cliquez sur le bouton "GIF", patientez 3 secondes avant que la capture se déclenche puis passez à l'action ! Cliquez de nouveau sur ce bouton pour arrêter la capture.
En bonus, Peek Screen Recorder intègre quelques outils pour effectuer des annotations sur l'image, y compris sur un GIF. Vous pouvez dessiner, ajouter des formes, et même ajouter du texte.
Voici un exemple de GIF réalisé avec cette application :
Vous pouvez aussi consulter les paramètres de l'application. Plusieurs options sont disponibles :
Capturer le curseur de la souris (oui / non)
Nombre de captures par seconde (15 par défaut)
Limite pour les enregistrements (en secondes)
Délai avant le démarrage de la capture (en secondes)
Etc...
III. Conclusion
Peek Screen Recorder est une solution parmi tant d'autres pour créer des GIF sur Windows. Elle est simple à utiliser et fait ce qu'on lui demande : créer des GIFs animés. Personnellement, elle m'a bien rendu service et ce sera encore le cas à l'avenir !
Microsoft semble enfin prêt à abandonner le protocole d'authentification NTLM dans Windows et Windows Server. L'entreprise américaine estime que ce protocole est obsolète et que les développeurs doivent entamer une transition vers Kerberos. Voici ce qu'il faut savoir.
Le protocole NTLM est très utilisé par les différentes versions de Windows et Windows Server, et pour cause, il a été introduit en 1993 au sein de Windows NT et il est toujours très utilisé aujourd'hui. Néanmoins, ce n'est pas un secret : le protocole d'authentification NTLM est exploitable au sein différents scénarios d'attaques, notamment en environnement Active Directory, et il représente un véritable point faible dans le SI des organisations.
Microsoft a conscience de ces problèmes de sécurité et va abandonner progressivement le protocole NTLM au profit d'alternatives plus sécurisées, notamment Kerberos. "Toutes les versions de NTLM, y compris LANMAN, NTLMv1 et NTLMv2, ne font plus l'objet d'un développement actif et sont obsolètes.", peut-on lire sur le site de Microsoft.
Remarque : l'authentification NTLM est vulnérable à plusieurs attaques telles que "NTLM Relay" et "Pass-the-hash".
Après l'annonce récente de la fin de VBScript dans Windows, Microsoft semble bien décidé à faire du ménage dans ses systèmes d'exploitation pour en améliorer la sécurité.
Est-ce que Windows Server 2025 prendra toujours en charge NTLM ?
C'est peut-être une question que vous vous posez en lisant cet article. Elle est légitime puisqu'il n'est pas aussi simple de se séparer du protocole NTLM... Rassurez-vous, l'abandon de NTLM sera effectué en plusieurs étapes et Windows Server 2025 va supporter NTLM, tout comme la prochaine version majeure de Windows.
"L'utilisation de NTLM continuera à fonctionner dans la prochaine version de Windows Server et dans la prochaine version annuelle de Windows.", précise l'entreprise américaine. Malgré tout, il y a du changement.
Dans un autre article publié récemment au sujet de la sécurité de Windows 11, Microsoft évoque aussi la fin à venir de NTLM : "La dépréciation de NTLM a été une demande importante de notre communauté de sécurité, car elle renforcera l'authentification des utilisateurs, et la dépréciation est prévue pour la seconde moitié de 2024."
NTLM et Kerberos : le passage au mode "Negotiate"
Microsoft souhaite que l'authentification Kerberos soit prioritaire vis-à-vis de NTLM. Autrement dit, lorsqu'il n'y a pas le choix, notamment si le périphérique ou l'application source ne supporte pas NTLM.
Cela signifie qu'il ne doit plus y avoir d'appels en direct vers NTLM, mais des appels de type "Negotiate" afin que le protocole Kerberos soit utilisé s'il est disponible. Si ce n'est pas le cas, le NTLM est utilisé en guise de solution de replis. C'est le principe de l'authentication fallback. L'objectif étant de permettre aux entreprises d'effectuer une transition en douceur.
Ceci signifie également que les développeurs vont devoir adapter leurs applications, peut-être en s'intéressant à la fonction "AcquireCredentialsHandle" qui intègre plusieurs modes (NTLM, Negotiate, Kerberos, etc.).
Enfin, si vous souhaitez vous débarrasser de NTLM dans votre organisation et préparer ces futurs changements, vous pouvez consulter le tutoriel mentionné ci-dessous. La première phase d'audit vous permettra d'identifier les équipements et applications faisant encore usage du protocole NTLM.
Cet article a pour but de vous sensibiliser à l'importance de la vérification de l'intégrité des sources d'installation pour vos images ISO. Nous verrons également comment répondre à la question suivante : comment vérifier l'authenticité d'une image ISO ?
Nous allons parler d'un principe fondamental de la cybersécurité qui est la préservation de l'intégrité des sources. Que ce soit dans un contexte professionnel ou personnel, il est fréquent de rencontrer des sources historiques ou des versions obsolètes de logiciels, souvent sans un suivi approprié.
Il n'est pas rare de trouver des fichiers ISO de SQL Server ou de Windows téléchargés ou modifiés sans une référence adéquate au hash ou à la source de téléchargement correspondante.
Nous allons voir comment grâce à l'outil Check-ISO ou PowerShell et des sources fiables, qu'il sera possible de vérifier nos sources pour les images ISO de produits Microsoft.
II. Rappel sur l'intégrité des sources
A. Téléchargement de source Microsoft
Microsoft propose de télécharger les sources pour les particuliers et professionnels n'ayant pas d'abonnement à partir du centre de téléchargement disponible à l'adresse suivante : https://www.microsoft.com/fr-fr/download
Ce centre permet de télécharger les sources pour divers produits comme SQL Server, Windows Server, et Office. Malheureusement, seules les dernières versions mises à jour ou supportées sont disponibles. Pour Windows 11 où Microsoft propose la dernière version en encourageant à vérifier le hash une fois le téléchargement terminé.
Microsoft fourni un tableau des hash correspondant aux différentes langues disponibles.
Pour les entreprises, le même principe est proposé de partir du centre de gestion des licences en volume, le portail professionnel.
B. Problématique
Malgré les consignes de Microsoft, la charge de travail et le temps que cela requiert peuvent être importants et faire que la vérification de l'intégrité des sources n'est pas effectuée. Nous avons remarqué que régulièrement, tant dans les entreprises que chez les particuliers, ces actions ne sont pas respectées.
Peu de personnes téléchargent à partir du portail officiel ou gardent des traces de hash. D'autant plus que les prestataires infogérants n'ont souvent pas accès à ce dernier et utilisent parfois des sources partagées ou provenant d'autres endroits. Passer une après-midi à récupérer ou chercher les hash d'une version qui n'est plus supportée ou absente du portail n'est pas pratique...
Nous verrons ensemble comment apporter une réponse à cette problématique.
Remarque : le hash d'une image ISO sera identique entre deux fichiers, même s'il ne porte le même nom, mais que leur contenu est identique. Ainsi, nous pouvons vérifier l'authenticité d'une image à partir de son hash. Si elle est altérée, son hash sera modifié donc elle n'est plus authentique.
C. Risque de sécurité
Le grand risque réside dans les sources ISO modifiées par un tiers qui pourrait y injecter un malware ou un crack, pouvant endommager le système informatique.
L'image montre comment une source récupérée sur Internet non conforme ou à partir d'un partage manipulé par une personne malveillante, peut contenir un outil espion ou un dispositif capable de contourner la surveillance de sécurité.
Afin de remédier à cela, il est nécessaire de vérifier le hash de la source avant de l'installer. Nous allons voir comment effectuer cette vérification manuellement ou de manière automatisée avec un outil.
III. Vérifier l'intégrité d'une image ISO avec PowerShell
Il est possible d'obtenir le hash d'une image ISO ou d'un quelconque fichier à l'aide de PowerShell en utilisant la commande "Get-FileHash".
Voici un exemple pour vérifier l'intégrité du fichier "J:\ISO\WINDOWS\Windows\win_10.iso" :
Une fois le hash obtenu, vous devriez le comparer avec une base de données fiable. En cas d'absence du hash dans le centre de téléchargement Microsoft, il est possible d'utiliser le site suivant :
C'est un projet initié par des membres du staff de Microsoft et des MVP, intégrant les hash de toutes les distributions Microsoft officielles.
Le site contient une base de données riche, avec 380 téraoctets d'informations et d'images ISO, sous réserve de Microsoft. Il demeure ainsi l'une des sources les plus fiables à ce jour, recommandée sur plusieurs forums et blogs, y compris dans les Q&A de Microsoft.
Il suffit de coller le hash obtenu dans la barre de recherche, numérotée 1, située dans l'onglet "Recherche", puis d'appuyer sur Entrée.
Cette tâche peut s'avérer lente ou contraignante pour un grand nombre d'images ISO à vérifier, surtout pour les utilisateurs non avertis. De plus, le lien du site peut être amené à changer.
Pour répondre à ce besoin, l'outil Check-ISO a été développé.
IV. Le projet Check-ISO
Suite à plusieurs demandes des membres de la communauté IT-Connect et afin d'automatiser et de faciliter les actions précédentes, le projet Check-ISO a vu le jour. Cela permettra de gagner en temps et en maniabilité dans le processus de vérification d'intégrité. L'outil est open source, disponible en français et en anglais, et développé par Dakhama Mehdi.
Cet outil est essentiel pour toute personne effectuant fréquemment des installations, qu'il s'agisse de techniciens, d'administrateurs système ou même de responsables de la sécurité des systèmes d'information (RSSI). Ceci vous permet de vérifier si votre image ISO correspond bien à une image officielle de Microsoft, et à quelle version elle correspond.
A. Utilisation
Il n'y a rien de plus simple pour l'utilisation de l'outil ; il suffit de le lancer sous les différents formats et de sélectionner votre fichier ISO. Il est disponible au format exécutable, PS1 (script PowerShell) et dans le Microsoft Store.
Indiquez ensuite le chemin de la source Microsoft à vérifier.
Vous avez la possibilité de sélectionner l'algorithme de hachage à utiliser pour la vérification.
Cliquez ensuite sur "Vérifier ISO" et patientez jusqu'à ce que la vérification soit complète. Notez que le temps de calcul dépend de l'algorithme utilisé ainsi que de la taille de l'ISO.
Une fois la vérification terminée, le nom de la source sera listé en vert, si cette dernière est authentique. Dans le cas contraire, un message en rouge sera affiché indiquant que la source n'a pas été trouvée, et n'a pas pu être vérifiée.
B. Téléchargement
Check-ISO peut être obtenu de deux manières. Tout d'abord, en passant par le Microsoft Store intégré à Windows.
Entrez le nom "Check ISO" dans la barre de recherche et installez l'outil, cette méthode offre les avantages suivants :
Ne nécessite pas de droit admin
La source est vérifiée par l'équipe Microsoft
Cela garantira une mise à jour automatique des versions (pour régler les éventuels bugs)
La seconde méthode de téléchargement consiste à utiliser GitHub.
Copiez le code PowerShell disponible directement dans votre éditeur PowerShell ISE et enregistrez le projet. Vous avez également la possibilité de télécharger le code source au format ".ps1". La page du projet propose également une version portable de l'outil (.exe) signée pour en simplifier l'utilisation.
V. Conclusion
Désormais, vous êtes capable de vérifier l'authenticité d'une image d'un produit ou système d'exploitation Microsoft ! Vous n'avez plus d'excuses pour ne pas le faire ! La logique est la même pour d'autres images ISO ou fichiers, à condition de connaître le hash du fichier d'origine.
Dans ce tutoriel, nous allons évoquer l'installation et la configuration de Sysmon sur Windows par l'intermédiaire d'une stratégie de groupe (GPO), en environnement Active Directory. Ceci va nous permettre d'automatiser le déploiement de Sysmon et de gérer sa configuration de façon centralisée.
Outil gratuit présent dans la suite SysInternals de Microsoft, Sysmon est un outil très intéressant pour enrichir les journaux Windows et tracer les activités suspectes sur un poste de travail ou un serveur.
Pour en savoir plus sur son fonctionnement et son utilisation, consultez notre précédent article :
Pour appliquer une nouvelle configuration à Sysmon, nous devons utiliser un fichier de configuration au format XML. Ce fichier de configuration contient un ensemble de règles permettant d'indiquer à Sysmon quelles sont les actions qu'il doit surveiller et journaliser. Ce fichier permet aussi de gérer les exceptions, de façon à éviter les faux positifs.
Lorsqu'une nouvelle configuration est chargée, le driver de Sysmon récupère les données du fichier XML afin de les stocker dans le Registre Windows, après avoir converti les données. Cela signifie qu'il n'y a aucune dépendance de Sysmon vis-à-vis de son fichier de configuration.
Notre premier réflexe pourrait-être d'héberger le fichier de configuration XML sur un partage puis de faire en sorte qu'il soit lu par nos "agents" Sysmon déployés sur les machines Windows. Effectivement, cela pourrait fonctionner. Le problème, c'est que ce fichier de configuration pourrait être accessible par un potentiel attaquant. Il pourrait prendre connaissance de notre configuration Sysmon, ce qui lui permettrait de savoir comment agir pour ne pas être détecté et il pourrait essayer de la contourner.
Comment faire alors ?
A. Injecter la configuration Sysmon dans le Registre
La réponse se trouve dans cette phrase de l'article : "Lorsqu'une nouvelle configuration est chargée, le driver de Sysmon récupère les données du fichier XML afin de les stocker dans le Registre Windows, après avoir converti les données." - Nous allons directement injecter la configuration dans le Registre ! Ceci va nécessiter quelques manipulations, mais l'avantage, c'est que la configuration sera difficilement accessible, lisible et interprétable par un attaquant.
Nous allons devoir procéder de la façon suivante :
1 - Créer une stratégie de groupe pour installer Sysmon, sans configuration personnalisée.
2 - Créer une configuration personnalisée à partir d'une machine de référence.
3 - Exporter la configuration Sysmon, à partir du Registre.
4 - Créer une stratégie de groupe pour injecter les valeurs de Registre sur les machines où Sysmon doit être configuré.
Désormais, nous allons voir comment mettre en œuvre cette méthode fondée sur 4 grandes étapes.
Si malgré tout, vous souhaitez utiliser un fichier XML pour gérer votre configuration Sysmon, je vous recommande de masquer le partage sur lequel le fichier est hébergé et de brider les droits autant que possible. Autorisez seulement les objets ordinateurs où Sysmon est déployé à venir lire la configuration.
III. GPO - Déploiement de Sysmon sur Windows
Intéressons-nous à l'installation de Sysmon sur Windows. Nous allons partir du principe que seule la version 64 bits est utilisée et notre script PowerShell va permettre déployer cette version. Une fois que le script sera prêt, il sera exécuté au travers d'une stratégie de groupe.
A. Script PowerShell pour installer Sysmon
Pour rappel, lorsque Sysmon est installé sur une machine, il crée différentes clés de Registre dont celles-ci (une seule selon la version) :
Nous allons utiliser un script PowerShell pour réaliser l'installation de Sysmon64. Si l'application est déjà installée, le script ne cherchera pas à la réinstaller. Dans le script ci-dessous, vous devez adapter la valeur de la variable "$SysmonShare" car elle contient le chemin vers l'exécutable de Sysmon. Vous pouvez stocker cet exécutable dans le partage "SYSVOL" de votre domaine Active Directory ou dans un autre partage correctement configuré.
# Partage - Chemin réseau vers l'exécutable de SYSMON
$SysmonShare = "\\it-connect.local\SYSVOL\it-connect.local\scripts\Sysmon64.exe"
# Avant de poursuivre, on vérifie que le chemin vers l'exécutable est correct
if(Test-Path -Path $SysmonShare -PathType Leaf)
{
# Chemin vers la clé de Registre de Sysmon (version 64 bits)
$SysmonRegKey = "HKLM:\SYSTEM\CurrentControlSet\Services\Sysmon64"
# Chemin vers le fichier exécutable de Sysmon64 via lecture du Registre
$SysmonRegImagePath = (Get-ItemProperty -Path $SysmonRegKey -Name ImagePath -ErrorAction SilentlyContinue).ImagePath
# Si $SysmonRegImagePath n'est pas nul, c'est que Sysmon est installé
if ($SysmonRegImagePath)
{
Write-Output "Sysmon64 est déjà installé sur cette machine"
}
# Sinon, Sysmon doit être installé à partir de l'exécutable présent dans le partage
else
{
Write-Output "Sysmon64 va être installé sur cette machine"
& $SysmonShare -i -accepteula
}
}
Si vous avez besoin d'un script PowerShell plus complet, vous pouvez utiliser celui de l'ANSSI accessible via le lien ci-dessous. Ce script est capable de gérer les versions 32 bits et 64 bits, mais aussi la mise à jour de Sysmon, ainsi que les configurations particulières basées sur un pilote Sysmon renommé (ce qui influence le nom de la clé de Registre liée au service).
Plutôt que d'utiliser un script PowerShell, nous pourrions utiliser un script Batch. En revanche, il n'existe pas de paquet MSI pour Sysmon.
B. Exécuter le script dans une GPO
Désormais, nous allons exécuter ce script PowerShell à l'aide d'une stratégie de groupe que l'on va créer avec la console "Gestion de stratégie de groupe". Dans cet exemple, la GPO est nommée "Installer Sysmon (PS1)" et elle est liée à l'OU "Serveurs" de l'annuaire Active Directory.
Modifiez la GPO et suivez la procédure suivante :
1 - Accédez à : Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (démarrage / arrêt).
2 - Double-cliquez sur "Démarrage".
3 - Cliquez sur "Afficher les fichiers" pour accéder au répertoire des scripts de la GPO et collez le fichier PS1 à cet emplacement. Vous pouvez aussi stocker le script à la racine du SYSVOL.
4 - Cliquez sur "Ajouter" puis sur "Parcourir".
5 - Sélectionnez le script, ici, il s'appelle simplement "Sysmon.ps1".
6 - Cliquez sur "OK" à deux reprises.
Pour information, voici où est stocké le script sur mon environnement de démo :
Voilà, la GPO pour installer Sysmon est prête !
Il ne reste plus qu'à tester son bon fonctionnement sur une machine. Pour rappel, Sysmon sera déployé dans sa configuration par défaut, c'est-à-dire sans aucune règle personnalisée. Sur une machine où Sysmon a été installée, vous pouvez voir le service "Sysmon64", comme ceci :
Remarque : si vous utilisez un script PowerShell pour déployer Sysmon, il est recommandé de le signer à l'aide d'un certificat de signature de code. À ce sujet, vous pouvez lire les deux articles suivants :
Vous allez devoir définir un modèle de configuration Sysmon correspondant à vos besoins et aux spécificités de votre infrastructure. Vous pouvez utiliser comme base la configuration Sysmon de SwiftOnSecurity déjà évoquée dans notre précédent tutoriel sur Sysmon.
Dans cet exemple, c'est ce fichier que nous allons utiliser. Voici le lien :
Vous devez utiliser une machine sur laquelle Sysmon est installé afin de mettre à jour la configuration. Je vous rappelle que l'objectif est d'utiliser cette machine comme "machine de référence" pour la configuration de Sysmon. Le fichier XML de Sysmon doit être présent uniquement sur cette machine.
Voici la commande à exécuter pour mettre à jour la configuration de Sysmon à partir d'un fichier XML :
.\Sysmon64.exe -c sysmonconfig-export.xml
Remarque : en modifiant les paramètres, vous pouvez aussi installer Sysmon et lui associer directement cette configuration.
La prise en compte de cette configuration est immédiate. Désormais, nous allons devoir l'exporter à partir des valeurs présentes dans le Registre Windows.
B. Exporter la configuration Sysmon à partir du Registre
La configuration Sysmon est stockée dans la clé de Registre correspondante au pilote Sysmon : "SysmonDrv" (nom par défaut). Ceci correspond à cet emplacement du Registre :
Nous allons devoir exporter les données des valeurs de Registre suivantes :
DnsLookup
HashingAlgorithm
Options
Rules
La configuration de notre fichier XML est stockée dans "Rules" mais nous devons également prendre en compte les autres valeurs. Certaines valeurs étant en binaire, il n'est pas possible d'exporter les données dans un format interprétable par l'éditeur de GPO à partir de "regedit.exe".
Nous avons deux options :
Utiliser PowerShell pour lire les données et exporter les données de chaque valeur dans un fichier texte. Ensuite, nous pourrons copier-coller le contenu de chaque fichier texte dans notre GPO.
Utiliser l'Assistant Registre de la console de Gestion des stratégies de groupe pour aller lire les données dans le Registre directement et les ajouter à la GPO. C'est sans aucun doute la façon la plus simple, mais cela implique d'avoir les outils RSAT sur le serveur de référence ou de pouvoir s'y connecter à distance via la console de Gestion des stratégies de groupe (connexion RPC).
Dans la suite de ce tutoriel, nous allons appliquer la méthode via l'Assistant Registre, mais voici des instructions pour effectuer la manipulation via PowerShell.
La commande ci-dessous permet d'exporter les données de la valeur "Rules" dans le fichier texte "C:\TEMP\Export_Sysmon_Rules.txt". Nous utilisons la méthode "ToString" associée au format "X2" pour que les données soient converties au format hexadécimal. Ce format est pris en charge par l'éditeur de GPO, ce qui nous permettra de préciser les valeurs dans un format accepté.
L'opération doit être répétée pour chaque valeur du Registre.
Pour vous aider, voici un bout de code pour générer un fichier texte pour chaque valeur. Vous pouvez changer la valeur de la variable "$SysmonSvcOutput" pour modifier le chemin du dossier de sortie.
Désormais, nous allons voir comment ajouter ces informations à une GPO.
C. Configurer Sysmon par GPO
Pour configurer Sysmon, nous allons créer une nouvelle GPO. Pour ma part, elle s'appelle "Configurer Sysmon (GPP)".
1 - Modifiez la GPO et accédez à l'emplacement suivant : Configuration ordinateur > Préférences > Paramètres Windows > Registre.
2 - Effectuez un clic droit puis sous "Nouveau", choisissez "Assistant Registre". Attention, si vous avez exporté les données via PowerShell, choisissez "Élément Registre" et configurez chaque valeur de Registre.
Un assistant s'exécute. Si votre machine de référence correspond à la machine locale, choisissez "Ordinateur local", sinon prenez la seconde option et recherchez votre machine.
Ensuite, parcourez l'arborescence du Registre jusqu'à pouvoir cocher les 4 valeurs que nous souhaitons importer. Cliquez sur "Terminer".
Voilà, les valeurs et les données associées sont immédiatement importées dans la GPO. Pratique.
Voici le résultat obtenu :
Si vous avez besoin de différencier Sysmon 32 bits et Sysmon 64, utilisez une règle de "Ciblage au niveau de l'élément" sur chaque règle de la GPO. Cette règle devra aller vérifier la présence de la clé de Registre "Sysmon" ou "Sysmon64" pour déterminer la version de l'application.
De plus, sachez que le schéma du fichier XML de Sysmon peut évoluer au fil des versions, donc nous devons en tenir compte. Sinon, la configuration peut devenir "illisible" par l'outil. C'est pour cette raison que nous allons ajouter une condition de ciblage sur chaque règle de la GPO. Pour connaître la version de Sysmon, il suffit de regarder dans les propriétés de l'exécutable Sysmon. Ici, il s'agit de la version "15.14.0.0".
Ensuite, nous allons créer une condition de cette façon :
1 - Modifiez une première valeur dans la GPO, cliquez sur "Commun", puis cochez "Ciblage au niveau de l'élément" et cliquez sur le bouton "Ciblage".
2 - Cliquez sur "Nouvel élément" et choisissez "Correspondance fichier".
3 - Choisissez le type de correspondance nommé "Faire correspondre la version de fichier".
4 - Indiquez le chemin d'accès en version 64 bits (si vous gérez les deux versions, vous devez créer plusieurs conditions et utiliser l'opérateur "OU").
%WinDir%\Sysmon64.exe
5 - Indiquez votre version comme valeur maximale, en indiquant la valeur complète (y compris les zéros). Choisissez l'opérateur "<=" à la place de "<" sinon la règle ne s'appliquera pas. Si besoin, nous pourrions aussi ajuster la version minimale (valeur de gauche).
Validez et répétez l'opération pour les autres règles de la GPO.
V. Tester la configuration
Désormais, il ne reste plus qu'à tester la GPO sur une machine ciblée par celle-ci. Voici l'état d'une machine sur laquelle Sysmon a été installé par GPO mais qui n'a pas appliqué de fichier de configuration. Nous voyons que la valeur "Rules" n'est même pas présente.
Après application de la GPO, les valeurs de Registre sont bien actualisées et nous pouvons le confirmer en regardant le Registre :
Il faut savoir qu'il n'y a pas besoin de redémarrer le service Sysmon. Il va détecter de lui-même la modification de la configuration (valeur "Rules") et l'appliquer immédiatement.
Nous venons de déployer une configuration de Sysmon par GPO sans l'exposer dans un fichier XML ! Ainsi, notre configuration est protégée des regards indiscrets.
VI. Conclusion
En suivant ce tutoriel sur Sysmon, vous devriez être en mesure de l'installer et de le configurer de façon automatique sur vos machines Windows ! La prochaine étape consistera à collecter ses événements dans le but de pouvoir les analyser.
Un nouveau ransomware baptisé ShrinkLocker présente la particularité de s'appuyer sur BitLocker, un composant intégré par défaut à Windows, pour chiffrer les données d'un ordinateur. Faisons le point sur cette menace.
Le ransomware ShrinkLocker s'appuie sur BitLocker pour chiffrer les données et les disques des machines Windows compromises, après avoir effectué des modifications sur le disque afin de créer son propre volume d'amorçage. Il a été utilisé pour cibler des organisations dans le secteur du médical, des industries ainsi qu'une entité gouvernementale.
Les chercheurs en sécurité de Kaspersky ont mis en ligne un rapport détaillé au sujet du ransomware ShrinkLocker, que vous pouvez retrouver sur cette page.
ShrinkLocker s'appuie sur VBScript, WMI et diskpart
Il est intéressant de noter que ShrinkLocker est écrit en VBScript (Visual Basic Scripting), un langage qui est en fin de vie et que Microsoft va supprimer de Windows d'ici quelques années. Mais, en attendant, VBScript est parfaitement utilisable sur Windows, même s'il devrait pouvoir être désinstallé facilement à partir de Windows 11 24H2.
Par ailleurs, pour détecter la version de Windows exécutée sur la machine ciblée, le ransomware ShrinkLocker s'appuie WMI afin de solliciter la classe "Win32_OperatingSystem", bien connue des administrateurs systèmes. Ceci permet au ransomware d'effectuer quelques vérifications, notamment de s'assurer que le domaine de la machine correspond bien à la cible et que l'OS est plus récent que Windows Vista.
Si la cible répond à différents critères, l'attaque se poursuit grâce à l'utilisation de l'outil diskpart intégré à Windows. Il est utilisé pour réduire de 100 Mo toutes les partitions qui ne sont pas des partitions de démarrage. L'espace non alloué est utilisé pour créer de nouveaux volumes primaires sur le disque de la machine.
Enfin, le Registre Windows est modifié pour configurer le système afin de désactiver les connexions Bureau à distance et pour activer BitLocker sans utiliser de puce TPM. Les clés de Registre "EnableBDEWithNoTPM" et "fDenyTSConnections" sont évoquées.
Une machine piégée avec BitLocker
Le ransomware ShrinkLocker fait en sorte d'activer et de configurer BitLocker de façon à ce que la victime ne puisse plus lancer sa machine. Nous pourrions presque dire que la machine a été sabotée par l'intermédiaire de BitLocker.
La clé BitLocker générée est transmise aux cybercriminels, tandis qu'à la fin de l'opération, ShrinkLocker force le système à s'éteindre pour appliquer toutes les modifications. Ainsi, l'utilisateur se retrouve avec une machine avec des disques verrouillés et sans aucune option de récupération BitLocker...
"Après avoir supprimé les protecteurs BitLocker et configuré le chiffrement du disque, le script suit les étapes suivantes pour effacer ses traces.", précise Kaspersky. En effet, le ransomware effectue différentes actions de nettoyage sur la machine, telle que la suppression du journal "Microsoft-Windows-PowerShell/Operational".
Il pourrait s'agir d'attaques dont l'objectif est de détruire les données puisque le ransomware ne laisse aucune note de rançon. La seule information fournie est une adresse e-mail indiquée en tant que label sur la nouvelle partition créée par le logiciel malveillant.
Dans ce tutoriel, nous allons voir comment calculer le hash d'un fichier avec PowerShell ! Depuis PowerShell 4.0, le cmdlet nommé "Get-FileHash" est présent et il permet de calculer le hash d'un ou de plusieurs fichiers selon plusieurs algorithmes.
PowerShell 4.0 est disponible nativement depuis Windows 8.1 et Windows Server 2012 R2, ce qui en fait une version très largement répandue aujourd'hui.
Le hash d'un fichier est souvent utilisé pour vérifier l'intégrité du fichier. Les algorithmes de hachage couramment utilisés comprennent MD5, SHA-1, SHA-256, etc. Chacun de ces algorithmes produit un hash de longueur différente.
Par exemple, si vous téléchargez un fichier à partir d'Internet, vous pouvez comparer le hash du fichier téléchargé avec le hash fourni par le site web pour vous assurer que le fichier n'a pas été altéré pendant le téléchargement. Si les deux valeurs sont égales, vous pouvez affirmer que le fichier est authentique (vis-à-vis de la version d'origine). Ceci peut s'avérer utile aussi pour de l'échange de données.
Vous pouvez calculer le hash des différents types de fichiers : images ISO, packages d'installation d'applications (EXE, MSI, etc.), et tout autre fichier selon vos besoins.
Concernant les algorithmes, voici ceux disponibles avec Windows PowerShell 5.1 :
MAC Triple DES
MD5
RIPEMD160
SHA1
SHA256
SHA384
SHA512
Attention, avec PowerShell 7, le nombre d'algorithmes pris en charge est différent et plus limité : MD5, SHA1, SHA256, SHA384 et SHA512. Dans les deux cas, SHA256 est la valeur par défaut du paramètre "-Algorithm".
Ouvrez une console pour essayer la commande. Par exemple, pour calculer le hash SHA1 du fichier "it-connect.txt" situé dans "C:\files\" :
Cela donnera un résultat de ce type où l'on voit le hash :
Que faire de cette information ? La valeur du hash retournée ici peut être comparée avec la valeur de hash fournie sur le site depuis lequel vous avez téléchargé le fichier. Sinon, vous pouvez aussi calculer le hash et au moment de transmettre le fichier à quelqu'un, vous lui fournissez aussi le hash. Ceci lui permettra de vérifier l'authenticité du fichier reçu.
Vous pouvez aussi calculer le hash d'un ensemble de fichiers. Voici un exemple :
Ci-dessous, le résultat en image. Le résultat est identique à chaque fois, car il s'agit d'un même fichier dupliqué : d'ailleurs le hash identique permet de l'affirmer.
III. Conclusion
Vous êtes désormais en mesure de calculer un hash facilement sous Windows, avec une commande simplissime mais à connaître : Get-FileHash.
Quick Assist, l'outil de contrôle à distance intégré à Windows, est exploité par les cybercriminels dans le cadre d'une campagne malveillante visant à déployer le ransomware Black Basta. Faisons le point.
Quick Assist, ou en français "Assistance rapide", est une fonctionnalité présente dans Windows 10 et Windows 11 permettant d'offrir un contrôle à distance à son ordinateur. Ceci peut être utile pour une intervention de support informatique, par exemple.
Depuis la mi-avril, les cybercriminels du groupe Storm-1811, un gang financé par le gang de ransomware Black Basta, ont lancé une campagne d'attaques par ingénierie sociale.
"Les cybercriminels abusent des fonctions d'assistance rapide pour mener des attaques d'ingénierie sociale en se faisant passer, par exemple, pour un contact de confiance comme le support technique de Microsoft ou un professionnel de l'informatique de l'entreprise de l'utilisateur cible afin d'obtenir un accès initial à un appareil cible.", peut-on lire sur le site de Microsoft.
Un mode opératoire élaboré sur fond de phishing vocal
Tout commence par l'identification des utilisateurs qui seront pris pour cible par l'intermédiaire de leur adresse e-mail. Les pirates vont inscrire ces adresses e-mails sur des listes d'abonnements afin que les utilisateurs reçoivent beaucoup de spams. Ensuite, les pirates vont contacter l'utilisateur en prétextant vouloir corriger ce problème de réception de nombreux spams.
C'est à partir de là qu'une prise de contact pourra être établie par l'intermédiaire d'un appel téléphonique. Pour piéger l'utilisateur, le pirate se fait passer pour un technicien de l'entreprise ou une personne du support de Microsoft.
Grâce à Quick Assist, ils obtiennent un accès distant à la machine et vont pouvoir demander à prendre le contrôle à distance, dans le but de résoudre ce fameux "problème" de spams.
"L'utilisateur cible n'a qu'à appuyer sur CTRL + Windows + Q et à saisir le code de sécurité fourni par le cybercriminel", précise Microsoft. En effet, ce raccourci lance immédiatement Quick Assist sur la machine. Mais, leur objectif est bel et bien de déployer un logiciel malveillant sur la machine. Un très bel exemple de phishing vocal.
Sur la machine compromise, plusieurs outils sont déployés, notamment ScreenConnect pour avoir la main à distance sur la machine (sans surveillance), Cobalt Strike, ainsi que QakBot, un Cheval de Troie bancaire très utile pour déployer d'autres logiciels malveillants. La dernière étape consiste à déployer le ransomware Black Basta sur le réseau de l'entreprise.
Microsoft vous recommande de désinstaller ou bloquer Quick Assist sur vos appareils si vous n'utilisez pas cette fonctionnalité. Bien entendu, il est également important de sensibiliser les utilisateurs et de les informer.
Dans cet article, nous allons évoquer l'outil open source LaZagne dont l'objectif est de collecter les identifiants et mots de passe mémorisés sur un ordinateur local, en allant lire les informations stockées dans différentes applications.
LaZagne est un outil de sécurité offensive qui peut être utilisé dans le cadre d'une mission de test d'intrusion (pentest), lors de la phase de post-exploitation, ou sur son propre ordinateur personnel pour effectuer de la collecte d'identifiants (si vous avez oublié un identifiant et un mot de passe enregistré, par exemple). Vous l'aurez surement compris, compte tenu de ses fonctionnalités, il peut être utilisé également à des fins malveillantes.
L'objectif de cet article de sensibilisation est de mettre en lumière les risques associés à la mémorisation des identifiants au sein d'applications diverses et variées et qui ne sont pas des gestionnaires de mots de passe. Aujourd'hui, de nombreuses applications sont capables de mémoriser les noms d'utilisateur et les mots de passe pour nous faire gagner du temps.
En tant qu'administrateur système et réseau, technicien, DevOps, développeur ou simple utilisateur, vous pourriez être tenté d'enregistrer vos identifiants dans des applications telles que WinSCP, FileZilla, OpenVPN, etc... et même dans les navigateurs Web. Pourtant, elles ne sont pas conçues dans ce but et ne protègent pas suffisamment vos mots de passe. Espérons que l'outil LaZagne vous dissuade de le faire.
WinSCP - Option pour enregistrer le mot de passe
Attention - Disclaimer : si vous décidez d'utiliser cet outil, vous en prenez l'entière responsabilité. IT-Connect et l'ensemble de ses auteurs ne seront pas responsables des actions que vous effectuerez. Soyez vigilant à exploiter cet outil uniquement si vous y êtes autorisé. Pour rappel : Code pénal : Chapitre III : Des atteintes aux systèmes de traitement automatisé de données.
II. Les fonctionnalités de LaZagne
LaZagne est un outil open source codé en Python concocté par Alessandro Zanni, compatible avec Windows et Linux, mais aussi macOS, même si son champ d'action est plus limité. Dans cet article, LaZagne est pris comme exemple, car cet outil de sécurité est capable de collecter des identifiants, au même titre qu'un logiciel malveillant de type "infostealer" pourrait le faire sur votre machine. Néanmoins, LaZagne ne va pas exfiltrer les identifiants collectés vers un serveur contrôlé par un attaquant et il n'effectue pas de collecte de cookies.
Pour cette démonstration, une machine sous Windows 11 23H2 est utilisée. Il y a plusieurs applications installées sur cette machine, dont WinSCP et FileZilla au sein desquelles il y a plusieurs connexions enregistrées. À chaque fois, le mot de passe a été enregistré dans l'application (pour gagner du temps au quotidien, vous comprenez...). De plus, quelques mots de passe sont enregistrés dans le navigateur Microsoft Edge.
A. Télécharger l'outil
Pour Windows, il y a une version au format EXE de LaZagne, ce qui évite de devoir installer Python indépendamment. Pour télécharger cette version, rendez-vous sur le GitHub officiel :
Avant cela, sachez que le filtre SmartScreen et Microsoft Defender ne vont pas apprécier du tout ce téléchargement. Le premier essaiera de vous dissuader, tandis que le second va tout simplement bloquer le fichier, car il est considéré comme un virus ("Trojan"). C'est normal, compte tenu des fonctionnalités de l'outil. Mais, grâce à une intervention manuelle, vous pourrez débloquer l'exécutable dans Defender.
B. Exécuter une recherche d'identifiants
Nous devons ouvrir une console PowerShell ou une invite de commande afin d'exécuter l'outil. Il n'est pas nécessaire de l'installer, c'est un exécutable portable ! Sans les droits Administrateur, l'outil pourra collecter des identifiants, mais il sera plus limité (pour les mots de passe Wi-Fi, par exemple, il faut une élévation de privilèges).
Si l'outil est placé dans le répertoire "C:\tools", voici la commande à exécuter (en se positionnant en amont dans ce répertoire au niveau du shell) pour effectuer une recherche globale sur la machine locale :
PS C:\tools> .\LaZagne.exe all
Remarque : ici, le test est effectué avec un utilisateur nommé "Administrateur" mais avec une console PowerShell ouverte sans élévation de privilèges.
Quelques secondes plus tard, LaZagne nous retourne ce qu'il a trouvé. Ici, nous pouvons voir qu'il a collecté des identifiants dans FileZilla et WinSCP parce qu'il s'agit d'informations mémorisées dans les applications.
Pour WinSCP, cela correspond bien aux deux entrées présentes dans l'application. Le mot de passe n'est pas visible et accessible en clair à partir de l'interface graphique de l'application WinSCP, ce qui est plutôt trompeur au final.
Cela ne s'arrête pas là, car LaZagne est parvenu à collecter les identifiants mémorisés dans Microsoft Edge ! À l'inverse, il n'est pas parvenu à collecter le mot de passe enregistré dans le "Gestionnaire d'identification" de Windows.
Sachez qu'il existe un ensemble d'options pour personnaliser l'exécution de LaZagne. Voici un exemple pour générer deux fichiers de sortie avec les résultats (option "-oA"), dans le répertoire "C:\temp". Il y aura un premier fichier au format texte et un second fichier au format JSON. Utilisez l'option "-oN" pour un fichier texte seulement et l'option "-oJ" pour un fichier JSON uniquement.
.\LaZagne.exe all -oA -output C:\temp\
Ce fichier contient les informations visibles dans la console :
Vous pouvez également effectuer une recherche ciblée sur une catégorie précise d'applications.
Toutes les applications de la catégorie "sysadmin" :
.\LaZagne.exe sysadmin
Toutes les applications de la catégorie "navigateurs Web" :
.\LaZagne.exe browser
Pour obtenir la liste complète des possibilités, vous pouvez consulter l'aide :
.\LaZagne.exe --help
Finalement, tous les identifiants collectés par LaZagne sont bien ceux enregistrés dans de diverses applications installées sur cette machine de test.
IV. Que faut-il en tirer ?
L'utilisation de LaZagne met en lumière l'importance de ne pas enregistrer les mots de passe dans les navigateurs et dans d'autres applications que nous sommes susceptibles d'utiliser au quotidien. Pourtant, parfois, cela peut être tentant de le faire, car c'est plus pratique, et les applications peuvent nous le proposer.Malheureusement, la fuite des identifiants de connexion SSH d'un serveur peut être préjudiciable et lourd de conséquences pour une organisation.
Les identifiants doivent être stockés dans un gestionnaire de mots de passe digne de ce nom et ne pas être éparpillé en mémoire dans d'autres applications. Par ailleurs, c'est l'occasion de rappeler l'importance d'activer l'authentification multifacteurs (MFA) à chaque fois que cela est possible pour se protéger contre la fuite d'identifiants (à ne pas confondre avec le vol de cookies de sessions).
Voici quelques-uns de nos articles sur le sujet des gestionnaires de mots de passe :
Comme nous venons de le voir, LaZagne est un outil puissant et redoutable qui peut rendre bien des services aux professionnels de la cybersécurité dans le cadre d'une mission de pentest. Il est apprécié par la communauté et comptabilise plus de 9 000 Stars sur GitHub : maintenant, vous comprenez mieux pourquoi.
Un gang de ransomware cible les professionnels de l'informatique sous Windows grâce à des résultats sponsorisés dans les moteurs de recherche utilisés pour promouvoir de faux sites pour télécharger PuTTY et WinSCP. Faisons le point.
Le client PuTTY (récemment affecté par une vulnérabilité) est une application très populaire sur Windows, notamment pour se connecter à des serveurs ou des équipements réseaux à distance via les protocoles SSH et Telnet. WinSCP quant à lui est une application de transfert de fichiers compatibles avec plusieurs protocoles dont le SFTP, le SCP et le FTP.
Cela en fait des logiciels appréciés par les professionnels de l'informatique, en particulier les administrateurs systèmes avec une machine sous Windows. Ces mêmes administrateurs systèmes, qui, bien souvent, ont des privilèges élevés sur l'infrastructure de l'organisation.
Pour les pirates, ils représentent une cible de choix, comme le montre le rapport mis en ligne par Rapid7 au sein duquel nous pouvons lire : "Début mars 2024, Rapid7 a observé la distribution d'installateurs trojanisés pour les utilitaires open source WinSCP et PuTTy."
D'une simple recherche Internet à l'exécution d'un ransomware
Tout commence par une recherche dans un moteur de recherche tel que Bing ou Google (même si ce dernier n'est pas précisé) avec les mots clés "download winscp" ou "download putty". La liste des résultats contient des résultats sponsorisés correspondants à des publicités malveillantes menant vers des copies des sites officiels de WinSCP ou PuTTY, ou de simples pages de téléchargement. "Dans les deux cas, un lien permettant de télécharger une archive zip contenant le cheval de Troie à partir d'un domaine secondaire était intégré à la page web.", précise Rapid7.
Comme le montre l'image ci-dessous, l'archive ZIP contient un fichier "setup.exe" correspondant à un exécutable Python ("pythonw.exe", renommé) qui va charger une bibliothèque DLL sur la machine dans le but de l'infecter ou d'exécuter une charge malveillante. Il est important de noter que l'application recherchée par l'utilisateur, à savoir PuTTY ou WinSCP, sera bien installée sur la machine.
Source : Rapid7
Lors d'un incident récent, Rapid7 a observé qu'un attaquant tentait d'exfiltrer des données à l'aide de l'utilitaire de sauvegarde Restic, puis de déployer un ransomware, une tentative qui a finalement été bloquée pendant l'exécution", peut-on lire.
Même si Rapid7 ne sait pas précisément quel est le gang de ransomware à l'origine de cette campagne malveillante, les techniques (TTP) utilisées rappellent les anciennes campagnes BlackCat/ALPHV.
À l'occasion de son Patch Tuesday de Mai 2024, Microsoft a corrigé la faille de sécurité zero-day CVE-2024-30051. Sa particularité : elle est déjà exploitée par le malware QakBot ! Faisons le point sur cette menace.
Associée à la référence CVE-2024-30051, la faille de sécurité zero-day présente dans la bibliothèque "Desktop Window Manager" (DWM) du système d'exploitation Windows mérite une attention particulière. En charge de la gestion des fenêtres et introduit lors de la sortie de Windows Vista, il s'agit d'un composant central sur Windows.
Comme le précise Microsoft sur son site, cette vulnérabilité de type "heap-based buffer overflow" permet d'exécuter du code avec les privilèges SYSTEM sur la machine ciblée : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM."
Une faille de sécurité zero-day exploitée par plusieurs malwares
Plusieurs chercheurs en sécurité sont à l'origine de la découverte de cette vulnérabilité, dont deux personnes de chez Kaspersky, qui ont mis en ligne un rapport au sujet de cette vulnérabilité et de la menace QakBot.
Tout a commencé par l'identification d'un fichier suspect sur VirusTotal, le 1er avril 2024. Ensuite, un suivi a été effectué par Kaspersky, ce qui a permis de découvrir l'existence d'un exploit pour cette vulnérabilité à la mi-avril.
"Nous l'avons vu utilisé avec QakBot et d'autres logiciels malveillants, et nous pensons que plusieurs acteurs de la menace y ont accès.", peut-on lire. Pour le moment, Kaspersky n'a pas donné de détails techniques supplémentaires afin de laisser le temps aux utilisateurs de Windows de se protéger.
QakBot, appelé aussi Qbot, est un Cheval de Troie bancaire identifié pour la première en 2008. Il est utilisé par les cybercriminels pour voler des numéros de cartes bancaires, des identifiants d'accès aux comptes bancaires, ainsi que des cookies de session. QakBot est aussi utilisé dans des attaques plus complexes où il sert à fournir un accès initial en vue d'exécuter un ransomware ou un autre logiciel malveillant.
Comment se protéger ?
La seule façon de se protéger, c'est d'installer la mise à jour de mai 2024 sur ses postes de travail Windows et ses serveurs sous Windows Server, car les deux OS sont vulnérables. Parmi les systèmes vulnérables, nous pouvons citer Windows 10, Windows 11, ainsi que Windows Server 2016 et les versions supérieures.
D'après la documentation de Microsoft, Windows Server est impacté même lorsqu'il est installé en mode "Core", c'est-à-dire sans interface graphique.
Les mises à jour viennent de sortir, donc pensez à les tester avant de les diffuser largement sur vos machines.
Dans cet article, nous allons découvrir Zircolite, un outil d'investigation numérique simple d'utilisation capable de détecter des évènements de sécurité suspects dans différents formats de journaux d'évènements (logs), dont le format .evtx (Windows), les logs Auditd Linux, le format JSON, etc.
Cet outil peut être utilisé lors d'une suspicion d'intrusion sur un composant du système d'information, lors d'un contrôle de routine (threat hunting) sur les journaux ou lors d'une investigation numérique en bonne et due forme. L'intérêt de Zircolite est qu'il est standalone, il ne nécessite pas de serveur web ou base de donnée. Il peut être exécuté sur n'importe quel système Linux munit de Python3, ou sous Windows en tant que simple exécutable. Également, il est très simple d'utilisation et repose sur un standard pour la détection des évènements suspects : les règles Sigma.
II. Détection, investigation numérique et règles Sigma
A. Sigma : règles de détection pour les journaux d'évènements
À l'instar des règles Yara (pour les fichiers) et des règles Snort (pour les trames réseaux), les règles Sigma sont un format unifié de règles de détection orienté sur les journaux d'évènements. Ce format propose une manière uniforme de définition d'un évènement de sécurité à rechercher dans les journaux à l'aide de conditions qui seront utilisées comme critères de recherche et de catégorisation d'un évènement.
Les règles Sigma sont donc prises en compte par un grand nombre d'outils et disposent d'un autre avantage très important : la conversion.
L'écosystème des règles Sigma est, en effet, très intéressant, car il intègre des outils capables de convertir les règles Sigma en requêtes ou commandes spécifiques à certains produits. Par exemple, une requête KQL (pour ELK), Splunk, ou même une requête PowerShell en utilisant le cmdlet "Get-WinEvent". Bref, un sujet très intéressant là aussi. Voici un exemple :
Je viens de convertir la règle de détection Sigma "sysmon_file_block_executable.yml" en requête Splunk. Dans les faits, Zircolite utilise activement cette possibilité afin de convertir les évènements et les règles de recherche au format SQL/SQLite :
L'occasion ici de rappeler l'importance des journaux d'évènements, tant dans leur configuration, journaliser les bons évènements, notamment ceux de sécurité, que dans leur centralisation/externalisation : ne pas laisser les journaux sur le système qui les a générés, en faire une copie, une sauvegarde, dans un endroit sûr. En cas d'attaque, une équipe d'investigation numérique ou de remédiation aura du mal à vous aider si les journaux permettant de retracer le dérouler d'une cyberattaque ne sont pas complets et à disposition, voire n'ont jamais été produits.
Pour en apprendre plus, je vous recommande notre article sur le sujet de la centralisation des logs :
Pour l'exemple, voici une règle Sigma issue du Github SigmaHQ/Sigma, l'une des places centrales de la collaboration autour des règles de détection Sigma :
title: Suspicious PowerShell Download
id: 3236fcd0-b7e3-4433-b4f8-86ad61a9af2d
related:
- id: 65531a81-a694-4e31-ae04-f8ba5bc33759
type: derived
status: test
description: Detects suspicious PowerShell download commandreferences:
- https://www.trendmicro.com/en_us/research/22/j/lv-ransomware-exploits-proxyshell-in-attack.html
author: Florian Roth (Nextron Systems)
date: 2017/03/05
modified: 2023/10/27
tags:
- attack.execution
- attack.t1059.001
logsource:
product: windows
category: ps_classic_start
detection:
selection_webclient:
Data|contains: 'Net.WebClient'
selection_download:
Data|contains:
- '.DownloadFile('
- '.DownloadString('
condition: all of selection_*
falsepositives:
- PowerShell scripts that download content from the Internet
level: medium
Une explication détaillée des règles Sigma, de leur fonctionnement et de leur utilisation pourrait faire l'objet d'un cours entier, mais nous pouvons au moins nous intéresser aux points suivants :
logsource:
product: windows
category: ps_classic_start
Ces instructions permettent de spécifier dans quel type de logs, nous allons chercher notre information, ici pour les produits Windows et la catégorie "ps_classic_start", c'est-à-dire les journaux PowerShell. Une liste complète des logsource et catégories utilisables peut être trouvées sur la documentation officielle Sigma.
Viennent ensuite les conditions de notre recherche :
detection:
selection_webclient:
Data|contains: 'Net.WebClient'
selection_download:
Data|contains:- '.DownloadFile('- '.DownloadString('
condition: all of selection_*
Nous pouvons noter deux conditions ("selection_webclient" et "selection_download") qui doivent toutes deux être remplies ("condition: all of selection_*"). La première indique que le champ "Data" (le contenu de la commande PowerShell analysée) doit contenir "Net.WebClient" et la seconde qu'il doit contenir ".DownloadFile(" ou ".DownloadString('".
Les nombreuses autres instructions de cette règle permettent de spécifier son auteur, son niveau de criticité, d'obtenir des références externes, etc.
Zircolite propose ses propres règles Sigma, mais n'importe quel jeu de règle utilisant ce format peut être utilisé, c'est ce qui fait la grande puissance de l'outil. Vous pouvez retrouver les règles inclus dans Zircolite ici : Github - Zircolite-Rules et localement dans le sous-répertoire d'installation de Zircolite "rules" :
Ces deux sources vous donneront largement de quoi faire, utilisez les notamment pour comprendre le format des règles Sigma et commencer à jouer avec. Gardez en tête cependant que même en utilisant comme base un jeu de règles à jour et éprouvé, les règles les plus efficaces sont celles qui ont été adaptées à votre contexte métier et technique.
Maintenant que nous avons une idée légèrement meilleure de ce que sont les règles Sigma, largement utilisées par les blue teams (équipe de défense et détection) et par Zircolite, passons à l'action.
III. Zircolite : détection d'évènements suspects
A. Installation de Zircolite
Si vous souhaitez utiliser Zircolite depuis un système Windows, il suffit de télécharger l'archive Release du projet et de la décompresser sur votre système :
L'utilisation depuis Windows peut sembler la plus simple si vous souhaitez analyser des journaux Windows. Cependant, Zircolite peut aussi être utilisé en tant que script Python de la même façon. Dès lors, il faut télécharger le code source depuis Github et installer les dépendances Python :
cd /opt
git clone https://github.com/wagga40/Zircolite.git
cd Zircolite
pip install -r requirements.full.txt
Dans le cadre de l'article, je l'installe sur un système Kali Linux Purple, basé sur Debian.
B. Exporter ses logs Windows
Nous sommes prêts à analyser nos journaux d'évènements, mais commençons par les récupérer depuis un système qui nous intéresse. Sur un système Windows, les journaux d'évènements sont nativement stockés dans des fichiers ".evtx". Ceux-ci sont situés dans le répertoire "C:\Windows\System32\winevt\Logs" :
Répertoire par défaut d'un système Windows contenant les journaux d'évènements.
Si l'on souhaite analyser seulement une partie nos journaux, par exemple, d'une date à une autre ou certains évènements ID, nous pouvons effectuer les filtres qui nous intéressent dans l'Observateur d'évènements, puis exporter le résultat. Il faut pour cela se positionner dans le journal à exporter, puis cliquer sur "Enregistrer tous les évènements sous…" dans le panneau droit :
Export des journaux d'évènements "Sécurité" depuis l'Observateur d'évènements.
Il est également possible d'exporter les journaux d'évènements dans un fichier ".evtx" via la ligne de commande grâce à l'utilitaire "wevtutil.exe", présent nativement sous Windows. Voici un exemple pour exporter le journal "Sécurité" :
wevtutil export-log Security Z:\Security.evtx
Dans ces deux derniers cas, nous aurons en résultat un fichier ".evtx" à analyser.
Si vous ne souhaitez pas analyser vos propres journaux Windows ou que vous n'en avez pas sous la main, pas de panique. Voici une source qui propose des journaux Windows contenant des évènements de sécurité, des traces d'attaques, etc. :
Enfin, certains challenges Sherlocks de Hack The Box proposent également des fichiers ".evtx" contenant des traces de cyberattaque. Il s'agit là aussi d'un très bon moyen de s’entraîner.
C. Analyse les logs Windows avec Zircolite
Maintenant que nous avons tout à notre disposition, nous pouvons utiliser Zircolite pour mener une analyse sur ces journaux à l'aide de règles de détection Sigma :
python3 zircolite.py --evtx XXXX.evtx
Sous Windows, le format de la commande est le même :
Il est possible de fournir en entrée à Zircolite un fichier ".evtx," ou un dossier complet contenant un ensemble de fichiers ".evtx". Par exemple, si vous ne savez pas très bien où et quoi chercher et que vous avez copié tout le contenu du répertoire "C:\Windows\System32\winevt\Logs" :
python3 zircolite.py --evtx monRepertoire\
Voici le résultat obtenu lors de l'exécution de Zircolite sous Linux :
Résultat de l'exécution de Zircolite sur des journaux d'évènements Windows.
Zircolite nous indique ici dans un premier temps le jeu de règles Sigma qu'il va utiliser ("rules/rules_windows_generic_py_sigma.json"). Puis, il va analyser les journaux d'évènements fournit en entrées avec ces règles Sigma et nous afficher les évènements découverts, leur sévérité (High, Medium, Low), et leur nombre d’occurrences.
Parmi les éléments notables de l'exemple ci-dessus, on peut noter l'utilisation de "mimikatz", la réalisation d'une attaque DCSync, une opération de suppression des journaux d'évènements... Pas de doute ici, un attaquant est passé par là !
Si l'on souhaite utiliser un autre jeu de règles (des règles personnalisées par exemple), il est possible de le spécifier avec l'option "-r" :
Ce second jeu de règle utilisé me remonte par exemple 155 évènement suspects contre 47 avec le jeu de règle "par défaut". Une différence assez nette qui montre l'importance de disposer d'un jeu de règles complet et adapté à son contexte et aux évènements recherchés.
Vous remarquerez ici que j'ai utilisé les règles Sigma spécifiques aux évènements Sysmon, je vous invite à consulter notre article dédié pour en savoir plus sur ce qu'est Sysmon et son apport en termes de sécurité :
L'avant-dernière ligne nous indique qu'un fichier de sortie au format JSON a été créé : "detected_events.json". Ce fichier au format JSON est intéressant si l'on souhaite aller plus loin dans l'investigation des évènements découverts :
Extrait du fichier JSON d'évènements suspect généré par Zircolite.
Le contenu de cette sortie contient de nombreux détails techniques qui permettent d'en savoir plus sur les évènements suspects. Tous ne peuvent être affichés dans la sortie terminale de Zircolite pour des raisons de lisibilité. Dans ce fichier, vous n'aurez donc que des évènements suspects qui méritent une investigation. Zircolite a fait le tri parmi vos milliers de journaux pour n'en sortir que les évènements suspects d'après un ensemble de règle de détection Sigma.
Si vous n'êtes pas familier de la cybersécurité, l'élément principal sur lequel vous pourrez vous baser pour mieux comprendre les évènements suspectés relevés et les règles de détection sont le contenu des champs "references" (souvent des liens vers des blogposts) et les "tags". Ce dernier champ utilise les identifiants TTP du framework MITRE ATT&CK qui contient beaucoup d'informations sur les différents types d'attaques et modes opératoires des attaquants.
N'hésitez pas à utiliser un moteur de recherche ou le site du framework MITRE ATT&CK pour en apprendre plus sur une attaque identifiée par son TTP. Par exemple T1548 - Abuse Elevation Control Mechanism.
Il est aussi possible de ne s'intéresser qu'aux journaux d'évènements au-delà ("--after" ou "-A") ou avant ("--before" ou "-B") une certaine date, ce qui permet de filtrer ces derniers et d'améliorer les performances de recherche :
python3 zircolite.py --evtx /tmp/EVTX-ATTACK-SAMPLES/ -r /opt/Zircolite/rules/rules_windows_sysmon_full.json -A 2019-05-11T17:58:00 -B 2021-06-02T23:00:00
Le format à respecter pour spécifier une date est le suivant "<AAA-MM-DD>T<HH:MM:SS>", le "T" étant une valeur fixe. C'est notamment utile lorsque nous disposons de premières informations temporelles nous permettant d'orienter nos recherches.
D. Traiter la sortie JSON de Zircolite
Le format JSON étant un standard pris en charge par de nombreux outils, cela permet de faciliter la lecture et le traitement de ces données. Pour une utilisation et investigation immédiate sur ces évènements, nous pouvons, par exemple, utiliser la commande "jq", qui permet de parser, trier et filtrer les données JSON :
Lister tous les évènements suspects, les tags associés (TTP), ainsi que l'heure et l'hôte pour chaque occurrence :
Cette dernière commande est la plus parlante, puisque l'on commence à avoir un ordonnancement dans le temps des évènements suspects sur un système précis. Comme vous le voyez, connaître les subtilités du format JSON et manier "jq" est nécessaire ici. Sachez également que Zircolite peut directement envoyer les journaux obtenus par son analyse à différents composants comme un serveur Splunk ou ELK.
III. Utiliser le rapport web de Zircolite
Un dernier point important qu'il faut mentionner lorsque l'on parle de Zircolite est son interface web (autonome, elle aussi). Celle-ci peut être générée pour chaque analyse et contient une présentation graphique des évènements de sécurité relevés. Pour générer ce rapport au format web, il faut utiliser l'option "--package" :
python3 zircolite.py --evtx /tmp/EVTX-ATTACK-SAMPLES/ -r /opt/Zircolite/rules/rules_windows_sysmon_full.json --package
[...]
[+] Results written in : detected_events.json
[+] Generating ZircoGui package to : zircogui-output-6QYQ.zip
[+] Cleaning
Zircolite crée alors une archive contenant des fichiers .css, .js, et .html, qu'il faut décompresser :
Dès lors, la page web peut-être ouverte avec n'importe quel navigateur. La première vue que nous obtenons est une synthèse des évènements suspects identifiés par Zircolite dans les journaux analysés. On y trouve notamment une catégorisation de ces évènements basée sur le framework MITRE ATT&CK et par niveau de criticité :
Synthèse des évènements suspects relevés par Zircolite dans sa vue web.
Plus bas dans cette même page, nous pouvons obtenir une timeline des évènements relevés. Cette vue est très intéressante pour obtenir rapidement une vue d'ensemble de l'attaque (si l'on dispose de tous les journaux et des bonnes règles Sigma bien sûr) :
Vue timeline des évènements de sécurité suspects identifiés par Zircolite dans son rapport web.
Chaque évènement est positionné dans le temps par rapport aux autres (grâce à l'horodatage de chacun) et catégorisé en fonction de sa typologie avec les catégories du framework MITRE ATT&CK.
Dans le cadre d'une investigation numérique, l'établissement d'une timeline de l'attaque est l'un des objectifs principaux de l'équipe forensic. L'idée de pouvoir identifier très rapidement le séquençage des évènements pour mieux comprendre l'objectif de l'attaquant et son mode opératoire, ce qui permet de prendre les bonnes décisions concernant la suite des évènements.
Nous pouvons alors sélectionner n'importe lequel de ces évènements pour avoir des informations plus précises sur celui-ci (cliquez sur l'image pour zoomer) :
Tableau "Sigma alerts" du rapport web Zircolite concernant un évènement sélectionné.
Ce tableau contient de nombreuses colonnes et vous avez la possibilité de les étudier en utilisant la barre de défilement horizontale. Ces colonnes contiennent l'ensemble des informations de l'évènement sélectionné et initialement stocké dans le fichier ".evtx". Il s'agit des mêmes informations que celles présentes dans le fichier JSON étudié précédemment, mais affichées de manière plus lisible dans une page web (cliquez sur l'image pour zoomer) :
Vue en tableau filtrable des évènements suspects dans le rapport web Zircolite.
Cette simple vue nous permet, par exemple, de savoir que le processus "MSSQL" a exécuté un script via "cmd.exe" avec les droits de l'utilisateur "sqlsvc" sur le poste "MSEDGEWIN10". Cette vue par tableau permet également d'effectuer de nombreux filtres, à l'instar de ce que nous avons fait via "jq" sur le fichier JSON généré par Zircolite.
Le dernier élément notable de ce rapport web est la matrice du framework MITRE ATT&CK, qui montre tous les TTP détectés dans l'ensemble de journaux fournis en entrées (cliquez sur l'image pour zoomer) :
Vue d'ensemble des TTP identifiés par Zircolite dans son rapport web.
Là aussi, cette vue d'ensemble aide à se faire très rapidement une idée de la portée de l'attaque et des différentes opérations de l'attaquant sur les systèmes concernés.
IV. Conclusion
Dans cet article, nous avons fait le tour de Zircolite au travers des cas concrets sur des journaux d'évènements Windows. Nous avons notamment vu que Zircolite peut être utilisé de façon très simple en ligne de commande afin d'identifier des évènements suspects, d'étudier les détails de ces évènements et d'offrir une vue d'ensemble avec timeline d'une cyberattaque.
Il reste naturellement beaucoup de choses à découvrir au sujet de l'investigation numérique (forensic), des règles Sigma et de Zircolite. Néanmoins, le contenu de l'article devrait vous donner les bases de son utilisation, utiles pour l'étudier plus en profondeur et l'utiliser quotidiennement ou occasionnellement. Également, n'oubliez pas que Zircolite permet de traiter d'autres formats de journaux comme les journaux Sysmon for Linux, auditd, JSON, JSONL, etc... Même si cela n'a pas été traité dans l'article.
Au-delà de l'outil, cet article a permis de rappeler un grand nombre d'éléments concernant la sécurité d'un système unique ou de tout un système d'information : le durcissement des configurations pour permettre la journalisation des évènements importants de sécurité, la sauvegarde et centralisation de ces évènements, la capacité à pouvoir intervenir rapidement suite à une cyberattaque et commencer les premières investigations, etc.
N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !
Ce lundi 13 mai 2024, à l'occasion de son événement "Spring Update", OpenAI a fait plusieurs annonces dont l'arrivée d'une application desktop officielle pour deux systèmes d'exploitation : Windows et macOS. Faisons le point.
Lors de son événement "Spring Update", très attendu par les amateurs d'IA, OpenAI a dévoilé son nouveau modèle de langage GPT-4o, accessible gratuitement aux utilisateurs dans une certaine limite, ainsi que deux applications desktop: l'une pour Windows, l'autre pour macOS. Cela signifie qu'il n'est plus nécessaire d'utiliser systématiquement un navigateur pour converser avec le chatbot.
Les utilisateurs de macOS ont le privilège de pouvoir installer et télécharger cette application dès maintenant. Mais, attention, l'accès à cette application est réservé aux utilisateurs ayant un abonnement ChatGPT Plus, pour le moment. Ceci devrait évoluer par la suite.
Tandis que les utilisateurs de Windows vont devoir patienter, comme nous pouvons le lire sur le site d'OpenAI : "Nous prévoyons également de lancer une version Windows dans le courant de l'année." - Vous l'aurez compris, OpenAI a officialisé cette application, mais elle n'est pas encore disponible sur Windows. Ceci est quand même étonnant quand on sait que Microsoft a investi des milliards de dollars pour financer les projets d'OpenAI...
OpenAI a également dévoilé une nouvelle interface pour ChatGPT conçue pour être plus conviviale et rendre plus agréable les conversations avec le chatbot. "Vous remarquerez un nouvel écran d'accueil, une nouvelle présentation des messages et bien plus encore.", précise OpenAI.
Comment télécharger ChatGPT sur macOS ?
L'application ChatGPT n'est pas disponible sur l'App Store officiel. En effet, l'installeur pour Mac est accessible depuis le site d'OpenAI, au sein de votre compte.
OpenAI a travaillé sur une application complète, bien intégrée à macOS, et qui n'est pas une adaptation de la version Web de ChatGPT. Par exemple, les utilisateurs peuvent solliciter l'IA à tout moment en utilisant le raccourci clavier "Option + Espace" qui affiche un menu similaire à Spotlight.
Dans ce tutoriel, nous allons apprendre à synchroniser manuellement un appareil Windows inscrit dans Microsoft Intune. Cette manipulation peut s'avérer utile si vous venez de créer une nouvelle stratégie sur Intune et que vous souhaitez vérifier son bon fonctionnement, sans avoir à attendre. Ceci peut être pratique également en phase de dépannage sur un appareil Windows (stratégie non redescendue, stratégie en erreur, etc.).
Si vous avez l'habitude de travailler avec un Active Directory et les stratégies de groupe, vous recherchez surement un équivalent à la célèbre commande "gpupdate". À l'heure actuelle, cette commande n'existe pas pour Intune, à moins d'utiliser PowerShell mais cela implique de s'appuyer sur le module Microsoft Graph.
Dans cet article, nous allons étudier différentes possibilités, que ce soit depuis l'appareil à synchroniser en lui-même ou à partir du Centre d'administration Intune. Ceci nous donnera aussi l'occasion d'évoquer les cycles de synchronisation par défaut d'Intune, pour Windows et les autres OS pris en charge.
II. Les cycles de synchronisation Intune
Le cycle d'actualisation ou fréquence d'actualisation par défaut pour les appareils inscrits sur Intune, et peu importe le système d'exploitation, est de 8 heures. Cela signifie que lorsqu'une nouvelle stratégie est créée, elle peut mettre jusqu'à 8 heures à "redescendre" sur les appareils.
Voici un tableau récapitulatif :
Plateforme
Fréquence d'actualisation
Android, AOSP
Environ toutes les 8 heures
iOS/iPadOS
Environ toutes les 8 heures
macOS
Environ toutes les 8 heures
Windows 10/11
Environ toutes les 8 heures
Windows 8.1
Environ toutes les 8 heures
Néanmoins, lorsqu'un appareil vient de s'inscrire dans Intune, la fréquence d'actualisation est un peu différente. Il y aura des synchronisations rapprochées au départ, comme le montre le tableau ci-dessous.
Plateforme
Fréquence d'actualisation
Android, AOSP
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
iOS/iPadOS
Toutes les 15 minutes pendant 1 heure, et ensuite environ toutes les 8 heures.
macOS
Toutes les 15 minutes pendant 1 heure, et ensuite environ toutes les 8 heures.
Windows 10/11
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
Windows 8.1
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
Les informations présentées dans les tableaux ci-dessus sont issues de la documentation Microsoft :
Certaines actions impliquent une synchronisation "dès que possible", où Intune notifie l'appareil qu'il doit se synchroniser maintenant. Voici ce que l'on peut lire sur cette page de la documentation Microsoft : "Les appareils se connectent à Intune lorsqu'ils reçoivent une notification de connexion ou lors de la connexion programmée. Lorsque vous ciblez un appareil ou un utilisateur avec une action, Intune notifie immédiatement l'appareil pour qu'il s'enregistre et reçoive ces mises à jour. Par exemple, une notification est envoyée lorsqu'une action de verrouillage, de réinitialisation du code d'accès, d'application ou d'attribution de stratégie est exécutée."
Par ailleurs, il n'est pas à exclure qu'il y ait quelques exceptions et des cycles d'actualisation différents sur certaines fonctionnalités spécifiques d'Intune. C'est le cas avec les stratégies d'App Protection comme l'explique cette page.
III. Synchroniser un appareil Windows
Nous allons nous intéresser à différentes façons de synchroniser un appareil Windows, que ce soit depuis l'appareil en lui-même, depuis le Centre d'administration Microsoft Intune ou à l'aide de PowerShell.
A. Synchroniser à partir des paramètres de Windows
La première méthode à connaître, et que nous avons déjà évoqué dans de précédents articles, consiste à utiliser l'interface de gestion des paramètres de Windows.
Ouvrez les "Paramètres" Windows, cliquez sur "Comptes" à gauche, puis sur "Accès Professionnel ou Scolaire". Cliquez sur la flèche (mise en évidence sur l'image ci-dessous), puis sur le bouton "Info".
Une nouvelle page apparaît. Sur celle-ci, vous devez cliquer sur le bouton "Synchroniser". Ceci va permettre de déclencher une synchronisation, et il ne vous reste plus qu'à patienter le temps qu'elle soit effectuée.
B. Synchroniser à partir du Portail d'entreprise
Parmi les fonctionnalités de l'application "Portail d'entreprise" appelée également "Company Portal", il y a la possibilité de lancer une synchronisation sans passer par les paramètres du système Windows. Au sein de cette application, qui doit être au préalable installée sur l'appareil, cliquez sur le bouton des paramètres en bas à gauche (1) afin d'accéder au bouton nommé "Synchroniser" (2). Ceci est facilement accessible par un utilisateur lambda.
Une autre possibilité, c'est d'effectuer un clic droit sur "Portail d'entreprise" dans le menu Démarrer afin de cliquer sur le bouton "Synchroniser cet appareil". Le problème, c'est que cette entrée est visible seulement lorsque l'on effectue un clic droit à partir de la liste de toutes les applications (si l'application est épinglée au menu Démarrer et que l'on passe par ce raccourci, cela n'est pas proposé).
C. Synchroniser un appareil depuis le portail Intune
Désormais, nous allons basculer sur le Centre d'administration Intune puisqu'il intègre deux fonctionnalités permettant de lancer une synchronisation sur un ou plusieurs appareils.
Tout d'abord, quand vous accédez à la liste des "Appareils" et qu'ensuite, vous cliquez sur un appareil dans la liste, vous verrez apparaître un bouton nommé "Synchroniser" dans la "Vue d'ensemble". Il vous suffit de cliquer sur ce bouton.
Une fenêtre de confirmation apparaît, cliquez sur "Oui" et cela va envoyer un signal à la machine pour qu'elle se synchronise.
D. Synchroniser en masse des appareils depuis le portail Intune
Le Centre d'administration Intune vous offre aussi la possibilité d'effectuer des actions en masse sur une sélection d'appareils. La synchronisation fait partie des actions envisageables. Voici la marche à suivre :
1 - Cliquez sur "Appareils" dans le menu de gauche du portail Intune
2 - Cliquez sur "Tous les appareils".
3 - Cliquez sur le bouton "Actions d'appareil en bloc".
Un assistant va s'exécuter. Plusieurs options sont à configurer :
1 - Vous devez commencer par choisir le système d'exploitation, donc prenez "Windows".
2 - Sélectionnez le type d'appareil "Appareils physiques".
3 - Comme type d'action à exécuter, sélectionnez "Synchroniser".
Passez à l'étape suivante. Vous devrez alors cliquer sur "Sélectionner les appareils à inclure" afin de sélectionner un ou plusieurs appareils, dans la limite de 100 appareils (limite actuelle).
Ensuite, poursuivez jusqu'à la fin de la création de la tâche. Une notification au sein d'Intune vous indiquera si la tâche a été lancée, ou non.
E. Synchroniser un appareil avec PowerShell
Avec PowerShell, nous pouvons interagir avec les services Cloud de Microsoft tels qu'Azure et Intune par l'intermédiaire de Microsoft Graph. Il y a un ensemble de modules PowerShell disponibles et à utiliser en fonction des usages. Nous allons voir comment utiliser Microsoft Graph avec PowerShell pour synchroniser un appareil (puis plusieurs appareils).
Commencez par ouvrir une console PowerShell en tant qu'administrateur afin d'installer les modules Microsoft Graph. Vous pouvez tout installer, ou uniquement installer ceux dont vous avez besoin. Peut-être que vous avez déjà ces modules sur votre machine si vous avez l'habitude d'interagir avec les services Microsoft avec PowerShell.
Puis, exécutez la commande suivante pour basculer dans une console PowerShell avec la stratégie d'exécution "RemoteSigned", sinon vous allez obtenir des erreurs par la suite (si vous êtes en "Restricted", par exemple).
powershell.exe -ExecutionPolicy RemoteSigned
Installez tous les modules Microsoft Graph (alternative ci-dessous) :
Install-Module Microsoft.Graph
Si vous préférez limiter l'installation au strict minimum, installez ceci :
Le module "Microsoft.Graph.DeviceManagement" contient le cmdlet "Get-MgDeviceManagementManagedDevice" que nous allons utiliser par la suite pour récupérer des informations sur les appareils.
Le module "Microsoft.Graph.DeviceManagement.Actions" contient le cmdlet "Sync-MgDeviceManagementManagedDevice" que nous allons utiliser pour déclencher une synchronisation sur un appareil.
Ensuite, connectez-vous à Microsoft Graph avec PowerShell. Nous pourrions établir une connexion globale, mais nous allons plutôt limiter notre connexion à certains scopes correspondants à nos besoins. Ceci pour des raisons de sécurité et pour limiter les droits de la session que nous allons initier.
Suite à l'exécution de cette commande, vous êtes invités à vous authentifier auprès de votre tenant Microsoft 365. Puis, vous devez valider la demande d'autorisations émise par l'application Microsoft Graph.
Quand c'est fait, un message doit s'afficher dans la console : "Welcome to Microsoft Graph!". Il signifie en quelque sorte que vous pouvez commencer à interroger Intune à partir de PowerShell, car la connexion est établie.
Commençons par l'exécution d'une première commande qui va retourner la liste de tous vos appareils, aussi bien Windows que les autres plateformes, en retournant les propriétés "DeviceName" et "LastSyncDateTime" qui correspondent respectivement au nom de l'appareil et à sa date de dernière synchronisation. Le paramètre "-All" est important, car si vous avez beaucoup d'appareils, la liste sera incomplète s'il n'est pas précisé.
Si vous souhaitez obtenir ces informations uniquement pour les appareils Windows, vous devez ajouter un filtre sur la propriété "OperatingSystem". Il y a deux façons d'effectuer ce filtre :
Vous devez stocker le résultat du cmdlet "Get-MgDeviceManagementManagedDevice" dans une variable afin de récupérer l'ID de l'appareil à cibler. Dans l'exemple ci-dessous, nous allons ajouter un filtre basé sur l'opérateur "Contains" pour rechercher la machine "PC-ITC-02". C'est sur cette machine que nous souhaitons forcer une synchronisation.
Le résultat est stocké dans la variable "$Target". Elle contient un ensemble de propriétés au sujet de cet appareil, dont la propriété "Id" qui est requise par le cmdlet "Sync-MgDeviceManagementManagedDevice".
Ainsi, voici comment nous allons forcer la synchronisation sur cet appareil :
Cette commande ne retourne pas de résultat dans la console, mais l'ordre de synchronisation sera bien envoyé à l'appareil.
F. Synchroniser plusieurs appareils avec PowerShell
Grâce à l'utilisation de PowerShell, nous allons pouvoir cibler plusieurs appareils et créer des filtres sur-mesure.
Voici un premier exemple pour obtenir la liste de tous les appareils dont le nom commence par "PC-ITC", ce qui permettra de cibler les appareils nommés "PC-ITC-01", "PC-ITC-02", etc.
Voici un second exemple pour obtenir la liste de tous les appareils dont le nom contient la chaine de caractères "ITC" (peu importe si cela est au début, à la fin, au milieu, etc.).
Ensuite, nous pouvons stocker le résultat dans une variable et parcourir la liste d'appareils avec une boucle ForEach dans le but de déclencher une synchronisation sur chaque appareil.
$Targets = Get-MgDeviceManagementManagedDevice -Filter "Startswith(deviceName,'PC-ITC')"
ForEach ($Device in $Targets) {
try {
Sync-MgDeviceManagementManagedDevice -ManagedDeviceId $Device.id -ErrorAction Stop
Write-Host "$($device.DeviceName) - Synchronisation exécutée" -ForegroundColor Green
}
catch {
Write-Host "$($device.DeviceName) - Echec de l'opération avec l'erreur : $($_.Exception.Message)" -ForegroundColor Red
}
}
Pour chaque appareil, il y aura un retour dans la console pour indiquer si la commande "Sync-MgDeviceManagementManagedDevice" s'est exécutée correctement ou non. Attention, ceci n'indique pas réellement le résultat de la synchronisation.
PC-ITC-02 - Synchronisation exécutée
IV. Conclusion
Suite à la lecture de cet article, vous êtes capable de forcer la synchronisation d'un appareil Windows inscrit dans Intune pour qu'il récupère les dernières stratégies qui lui sont affectées !
Il y a deux autres méthodes que j'aurais pu indiquer et qui fonctionnent assez bien. La première, c'est le fait de redémarrer l'appareil Windows, mais ceci est un peu contraignant si un utilisateur travaille sur son ordinateur. La seconde, c'est le fait de redémarrer le service "IntuneManagementExtension" pour une actualisation liée aux applications et aux scripts.
Dans cet article, nous allons introduire le Portail d'entreprise ou Company portal pour que vous puissiez avoir une idée plus précise de l'intérêt de cette fonctionnalité d'Intune, qui peut vous rendre bien des services.
Nous allons évoquer les fonctionnalités clés, le déploiement de l'application sur Windows, et nous découvrirons l'interface de cette même application.
II. Les fonctionnalités du Company Portal d'Intune
A. À quoi sert le Portail d'entreprise ?
Le Portail d'entreprise met à disposition des utilisateurs des informations utiles sur leur organisation et il leur donne accès à des actions pratiques en mode "self-service", comme la possibilité d'installer des applications, de déclencher la synchronisation d'un appareil ou encore de vérifier l'état de la conformité d'un appareil. Par ailleurs, l'enrollment d'un appareil peut être effectué via cette application, plutôt que par les paramètres du système.
Le Portail d'entreprise joue un rôle important dans le déploiement des applications via Intune. En effet, vous avez la possibilité de définir une des "applications en vedette", c'est-à-dire des applications disponibles et mises en avant dans le Portail d'entreprise. Ceci peut être utile pour mettre à disposition une application pour vos utilisateurs, sans que l'installation soit automatique : c'est l'utilisateur qui a la main.
Ceci s'applique aux applications dont l'option "Afficher ceci en tant qu'application à la une dans Portail d'entreprise" est définie sur "Oui". Vous pouvez tout à fait changer cette option sur vos applications existantes.
B. Les applications Portail d'entreprise
Le Portail d'entreprise Intune est accessible de plusieurs façons puisqu'il y a un portail Web et des applications, notamment une application Windows et une application mobile sur Android et iOS. N'importe quel utilisateur, à partir de son appareil inscrit et de son compte, peut accéder au Portail d'entreprise avec un navigateur via cette adresse :
Par ailleurs, l'application est accessible dans le Microsoft Store :
Désormais, nous allons voir comment déployer cette application via Intune.
III. Déployer l'application Company Portal sur Windows
Nous allons apprendre à déployer l'application Company Portal sur Windows à partir d'une stratégie d'applications Intune. Cette application étant publiée dans le Microsoft Store accessible depuis Windows, nous pouvons effectuer cette opération facilement.
Si vous n'êtes pas familier avec le déploiement d'applications du Microsoft Store via Intune, je vous recommande la lecture de cet article :
À partir du Centre d'administration Intune, vous devez créer une nouvelle application :
Cliquez sur "Applications", puis "Windows" et cliquez sur le bouton "Ajouter".
Dans le panneau latéral, choisissez le type d'application "Application Microsoft Store (nouvelle)" et suivez l'assistant.
À l'étape "Informations sur l'application", cliquez sur "Rechercher l’application Microsoft Store (nouvelle)" afin de rechercher "company portal". Sélectionnez l'application "Company portal" de type "UWP" visible dans la liste et cliquez sur "Sélectionner".
Ensuite, vous devez configurer cette application. Vous pouvez commencer par indiquer son nom en français, à savoir "Portail d'entreprise". Vous avez le choix entre une installation par utilisateur ou par machine (système). Indiquez également un logo, que vous pouvez récupérer sur Google via une recherche d'image.
Passez à l'étape "Affectations" et sélectionnez les groupes qui doivent bénéficier de cette application.
Poursuivez jusqu'à la fin pour finaliser la création de l'application.
IV. Aperçu du Company Portal sur Windows
Une fois que l'appareil aura effectué une synchronisation, l'application "Company Portal" sera visible sur Windows et vous pourrez commencer à l'explorer. L'image ci-dessous montre la section "Appareils" où l'utilisateur peut avoir un aperçu de l'ensemble des appareils dont il est déclaré comme propriétaire.
Par ailleurs, à partir du moment où une application ou plusieurs applications sont mises en avant dans le Portail d'entreprise, elles sont visibles directement dans l'interface de celui-ci. Si l'application n'est pas installée et qu'elle est disponible pour un utilisateur, il peut décider de l'installer.
Pour forcer la synchronisation d'un appareil à partir du Portail d'entreprise, Au sein de cette application, qui doit être au préalable installée sur l'appareil, cliquez sur le bouton des paramètres en bas à gauche (1) afin d'accéder au bouton nommé "Synchroniser" (2). Ceci est facilement accessible par un utilisateur lambda.
Sachez que vous avez aussi la possibilité de modifier l'apparence du Portail d'entreprise, en jouant sur les paramètres de branding de votre organisation, directement à partir du Centre d'administration Intune. En cliquant sur ce lien, vous serez redirigé directement vers la page de configuration. Au-delà de l'apparence, vous pourrez aussi activer/désactiver certaines fonctionnalités, notamment celle-ci qui peut être gênante :
Pour en savoir plus, consultez cette documentation de Microsoft :
Suite à la lecture de cet article, vous en savez plus sur le Portail d'entreprise de Microsoft Intune et vous êtes désormais en mesure de procéder à son déploiement et à sa personnalisation. Son atout principal, c'est le fait de permettre la publication d'applications auprès des utilisateurs. L'étape de branding est simple à effectuer, mais elle est importante, car elle permet d'ajouter le logo de votre entreprise, les coordonnées, etc.
Connexion
