Microsoft affirme que la fonctionnalité DirectAccess est obsolète et qu'elle sera supprimée d'une future version de Windows. À la place, vous devez vous orienter vers la fonctionnalité "Always on VPN". Faisons le point.

Introduite dans Windows 7 et Windows Server 2008 R2, la fonctionnalité DirectAccess offre la possibilité à une machine intégrée à un domaine Active Directory d'être constamment connectée au réseau de l'entreprise, sans utiliser une connexion VPN classique. Le successeur de cette fonctionnalité d'accès à distance est connu depuis plusieurs années : il s'agit de la fonction Always on VPN disponible depuis Windows Server 2016 et Windows 10. Elle est également prise en charge sur les dernières versions de Windows Server et Windows 11.

Fonctionnant sur le même principe que DirectAccess (connexion au réseau de l'entreprise toujours active), Always on VPN est plus flexible et plus sécurisé puisque cette fonctionnalité prend en charge le MFA pour l'authentification, ainsi que divers protocoles VPN pour sécuriser les échanges (IKEv2, SSTP). De plus, Always on VPN présente la particularité de pouvoir être utilisé aussi bien par des machines intégrées au domaine Active Directory, que celles qui ne le sont pas.

Il y a quelques heures, Microsoft a ajouté DirectAccess à la liste des fonctionnalités obsolètes de Windows. Sur le site de l'entreprise américaine, voici ce que nous pouvons lire : "DirectAccess est obsolète et sera supprimé dans une prochaine version de Windows. Nous recommandons de migrer de DirectAccess vers Always On VPN."

Comment migrer de DirectAccess à Always on VPN ?

La documentation de Microsoft contient un guide spécial pour vous accompagner et vous conseiller dans la migration de DirectAccess vers Always on VPN. La firme de Redmond recommande aux organisations de déployer Always on VPN en parallèle de DirectAccess pour effectuer une transition en douceur.

Pour le moment, nous ne savons pas quand DirectAccess sera retiré de Windows... Aucune date n'est fournie par Microsoft. Mais, il est préférable d'anticiper ce changement pour éviter une interruption de service sur les accès distants.

Que pensez-vous de cette décision ?

Source

The post Windows : DirectAccess est obsolète, vous devez migrer vers Always On VPN first appeared on IT-Connect.

TunnelVision, c'est le nom de la nouvelle vulnérabilité et technique d'attaque mise au point par des chercheurs en sécurité et qui permet de détourner le trafic des tunnels VPN ! Voici ce qu'il faut savoir !

Lorsqu'un appareil se connecte à un réseau distant via un tunnel VPN, le trafic réseau de la machine passe par ce tunnel chiffré et sécurité. En fonction de la configuration du VPN, tout le trafic pourra passer par le tunnel VPN (full VPN) ou uniquement certains flux (split VPN).

Par ailleurs, le VPN peut être utilisé pour naviguer sur Internet tout en masquant son adresse IP publique : c'est l'une des "fonctions" des VPN grands publics. C'est ce cas d'usage qui est directement affecté par la technique évoquée dans cet article.

Les chercheurs en sécurité de chez Leviathan Security ont mis en ligne un nouveau rapport au sujet d'une technique d'attaque baptisée TunnelVision. D'après eux, cette technique est exploitable depuis 2002 et elle fonctionnerait avec l'ensemble des solutions VPN.

TunnelVision et l'option DHCP 121

Pour exploiter cette vulnérabilité associée à la référence CVE-2024-3661, un attaquant doit mettre en place une configuration bien particulière sur un serveur DHCP. En effet, il doit configurer l'option DHCP n°121 nommée "Classless static route" et dont l'objectif est de distribuer une ou plusieurs routes statiques supplémentaires au client DHCP, en plus de l'adresse IP, de la passerelle, etc.

Ainsi, l'attaquant peut créer ces routes avec une priorité plus élevée que celles définies par la connexion VPN, et ainsi, détourner le trafic VPN vers la passerelle de son choix. À ce sujet, les chercheurs précisent : "TunnelVision est une technique de fuite de VPN sur le réseau local qui permet à un attaquant de lire, d'interrompre et parfois de modifier le trafic VPN à partir d'une cible sur le réseau local." - L'attaquant doit se situer sur le même réseau local que sa victime, et il doit pouvoir modifier la configuration du serveur DHCP (ou utiliser un serveur Rogue DHCP).

Le fait de détourner le trafic ne semble pas empêcher le tunnel VPN d'être actif et cela n'a pas non plus alerté la fonctionnalité de protection "kill switch" intégrée à certains VPN : "Lors de nos tests, le VPN a toujours continué à signaler qu'il était connecté, et le kill switch n'a jamais été enclenché pour interrompre notre connexion VPN.", peut-on lire.

Quels sont les systèmes impactés ? Comment se protéger ?

Windows, Linux, iOS et MacOS sont des systèmes vulnérables à cette attaque. Android, quant à lui, n'est pas concerné. Pourquoi ? Et bien parce que l'option 121 du DHCP n'est pas prise en charge !

"Nous avons observé une mesure d'atténuation de la part de certains fournisseurs de VPN qui éliminent le trafic vers les interfaces non VPN par le biais de règles de pare-feu.", peut-on lire dans le rapport. La création de règles de pare-feu sur l'appareil local est donc une façon de se protéger de cette attaque. De plus, il peut s'avérer utile d'activer certaines protections comme le DHCP Snooping.

Enfin, sachez que TunnelVision ne dépend pas du protocole VPN utilisé, donc il n'y a pas un protocole à prioriser plus qu'un autre (OpenVPN, IPsec, WireGuard, etc.). Pour approfondir le sujet, vous pouvez consulter cette page sur GitHub.

Source

The post La vulnérabilité TunnelVision affecte tous les VPN et permet de détourner le trafic ! first appeared on IT-Connect.