Votre PC est sous Windows et vous utilisez l'application Telegram pour ce système d'exploitation ? Alors, sachez que Telegram a effectué une modification pour vous protéger d'une nouvelle faille de sécurité zero-day.
Telegram a corrigé une faille de sécurité zero-day pour protéger les utilisateurs de son application bureau pour Windows. En l'exploitant, un attaquant peut contourner les mécanismes de protection et exécuter des scripts Python sur la machine cible. In fine, ceci permettrait d'exécuter du code à distance sur la machine de l'utilisateur qui utilise une version vulnérable de l'application Telegram, même si cela implique une interaction de la part de l'utilisateur.
Une démonstration de l'exploitation de cette vulnérabilité a été publiée sur le réseau social X. Telegram a d'abord indiqué qu'il s'agissait d'un canular. Mais, le lendemain, un exploit PoC a été publié sur le forum de piratage XSS pour montrer qu'il était possible d'exécuter des scripts Python ayant l'extension ".pyzw" sur Windows,par l'intermédiaire de l'application Telegram. Ainsi, un attaquant pourrait utiliser l'icône d'une vidéo pour inciter l'utilisateur à cliquer sur un lien dans le but d'exécuter le script malveillant.
En principe, l'application Telegram devrait déclencher un avertissement pour "bloquer" l'exécution de ce type de fichiers, mais là ce n'est pas le cas. Précisons également que Python doit être installé sur l'ordinateur de l'utilisateur pour que le script soit exécuté, ce qui fait une condition supplémentaire.
Finalement, Telegram a reconnu l'existence de cette vulnérabilité et a pris la décision de la corriger. Toutefois, le correctif a été implémenté du côté des serveurs Telegram, donc les utilisateurs n'ont rien à faire : il n'y a aucune mise à jour installer. "Un correctif côté serveur a été appliqué pour s'assurer que ce problème ne se reproduise plus, de sorte que toutes les versions de Telegram Desktop (y compris les plus anciennes) n'ont plus ce problème.", a précisé Telegram.
En fait, Telegram s'appuie sur une liste d'extensions correspondante à tous les fichiers "à risques" et potentiellement malveillants. Celle-ci permet d'indiquer à l'application Telegram quand elle doit afficher l'avertissement de sécurité.
Dimanche 14 avril 2024, Palo Alto Networks a tenu sa promesse en mettant en ligne des premiers correctifs pour corriger la nouvelle faille de sécurité critique (CVE-2024-3400) découverte dans le système PAN-OS de ses firewalls. D'autres correctifs sont attendus dans les prochains jours. Faisons le point.
Rappel sur la CVE-2024-3400
Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique (CVE-2024-3400) associée à un score CVSS de 10 sur 10 ! C'est une vulnérabilité de type "injection de commande" et elle a été découverte dans la fonction GlobalProtect du système PAN-OS.
Désormais, des correctifs sont disponibles pour certaines versions de PAN-OS. Sinon, sans ce correctif, pour vous protéger, vous devez désactiver la télémétrie sur votre firewall, ou activer la protection contre la menace avec l'ID 95187 dans la fonction "Threat Prevention".
Il est important de rappeler également qu'il y a des tentatives d'exploitation de cette faille de sécurité depuis le 26 mars 2024. Les pirates l'utilisent pour déployer une porte dérobée sur le firewall Palo Alto, et ensuite, essaient de pivoter vers le réseau interne de l'entreprise.
Pour en savoir plus, et connaitre les versions de PAN-OS impactées, lisez nos articles sur cette alerte de sécurité :
Les firewalls Palo Alto qui exécute les versions suivantes de PAN-OS sont potentiellement vulnérables : PAN-OS 10.2, 11.0 et 11.1. Désormais, l'éditeur a mis en ligne des correctifs de sécurité et il a mis à jour son bulletin de sécurité.
Pour le moment, trois correctifs de sécurité sont disponibles :
PAN-OS 10.2.9-h1
PAN-OS 11.0.4-h1
PAN-OS 11.1.2-h3
Dans les prochains jours, d'autres correctifs sont attendus. Voici un tableau récapitulatif :
Version
Date de publication du correctif
10.2.8-h3
15/04/2024
10.2.7-h8
15/04/2024
10.2.6-h3
15/04/2024
10.2.5-h6
16/04/2024
10.2.4-h16
19/04/2024
10.2.3-h13
17/04/2024
10.2.1-h2
17/04/2024
10.2.2-h5
18/04/2024
10.2.0-h3
18/04/2024
11.0.3-h10
15/04/2024
11.0.2-h4
16/04/2024
11.0.1-h4
17/04/2024
11.0.0-h3
18/04/2024
11.1.1-h1
16/04/2024
11.1.0-h3
17/04/2024
Par ailleurs, rappelons deux choses :
L'exploitation de la vulnérabilité dépend de la configuration du firewall : "Ce problème s'applique uniquement aux pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec les configurations de la passerelle GlobalProtect et la télémétrie de l'appareil activées.", précise Palo Alto.
Cette vulnérabilité affecte uniquement le système PAN-OS, donc certaines versions spécifiques comme Cloud NGFW et Prisma Access ne sont pas impactées.
Si vous avez besoin d'aide pour installer la mise à jour, référez-vous à la documentation officielle de Palo Alto, notamment cette page.
Les dernières nouvelles au sujet de la CVE-2024-3400 ne sont pas bonnes : depuis le 26 mars 2024, un groupe de pirates exploite cette faille de sécurité zero-day présente dans le système PAN-OS des firewalls Palo Alto pour déployer une porte dérobée et s'introduire dans le réseau interne des organisations dont le matériel a été compromis.
Rappel sur la CVE-2024-3400
Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique (CVE-2024-3400) associée à un score CVSS de 10 sur 10 ! C'est une vulnérabilité de type "injection de commande" et elle a été découverte dans la fonction GlobalProtect du système PAN-OS.
Un correctif est attendu pour ce dimanche 14 avril, mais à l'heure où ces lignes sont écrites, le correctif n'a pas encore été publié par Palo Alto Networks. En attendant, pour vous protéger, vous devez désactiver la télémétrie sur votre firewall, ou activer la protection contre la menace avec l'ID 95187 dans la fonction "Threat Prevention".
Pour en savoir plus, et connaitre les versions de PAN-OS impactées, lisez cet article publié vendredi dernier sur notre site :
Une première tentative d'exploitation le 26 mars 2024
Dans son bulletin de sécurité, Palo Alto évoque le fait que cette vulnérabilité a déjà été exploitée par les cybercriminels, sans donner plus de précisions : "Palo Alto Networks a connaissance d'un nombre limité d'attaques qui exploitent cette vulnérabilité".
Néanmoins, si nous regardons ce rapport publié par la société Volexity, à l'origine de la découverte de cette vulnérabilité critique, nous apprenons qu'elle a été exploitée pour la première fois en mars 2024 : "La première preuve de tentative d'exploitation observée par Volexity jusqu'à présent remonte au 26 mars 2024, lorsque les attaquants ont semblé vérifier que l'exploitation fonctionnait correctement." - Le jour suivant, une autre tentative a été repérée par Volexity, puis, les pirates ont attendu le 10 avril 2024 pour déployer un payload.
L'acteur malveillant à l'origine de cette tentative d'exploitation est suivi par Veloxity sous le nom de UTA0218, et d'après eux, il est fort probable que ce soit un groupe de pirates sponsorisés par un État.
"Volexity estime qu'il est très probable que UTA0218 soit un acteur de menace soutenu par un État, compte tenu des ressources nécessaires pour développer et exploiter une vulnérabilité de cette nature, du type de victimes ciblées par cet acteur et des capacités affichées pour installer la porte dérobée Python et accéder aux réseaux des victimes", peut-on lire.
Une porte dérobée déployée, mais pas uniquement...
L'implant principal, appelé "Upstyle", correspond à une porte dérobée installée par l'intermédiaire d'un script Python associé à un fichier de configuration ("/usr/lib/python3.6/site-packages/system.pth"). Une fois que cette backdoor est déployée, les pirates peuvent l'exploiter pour exécuter des commandes sur le firewall compromis.
Comme le montre le schéma ci-dessous, les pirates transmettent les commandes à exécuter par l'intermédiaire de requêtes HTTP et ils génèrent volontairement une erreur. Ceci permet d'inscrire la requête, et donc la commande, dans le journal des erreurs du serveur Web du pare-feu. La porte dérobée va ensuite lire ce fichier journal et décoder la commande (base64) afin de l'exécuter.
Source : Volexity
En complément de la porte dérobée, d'autres payloads sont déployés sur le firewall : un reverse shell, un outil de suppression des logs, un outil pour exporter la configuration de PAN-OS ou encore l'outil de tunneling GOST.
Dans une attaque observée par Volexity, les pirates informatiques sont parvenus à pivoter vers le réseau interne et à voler différentes informations, parmi lesquelles la base de données Active Directory ("ntds.dit"), des journaux d'événements Windows, ou encore des données de navigateurs tels que Google Chrome et Microsoft Edge (identifiants et cookies).
Mon firewall Palo Alto a-t-il été compromis ?
Voilà une question que certains d'entre vous doivent se poser. Elle est légitime puisque cela fait plusieurs jours que cette vulnérabilité est exploitée par les cybercriminels et qu'il y a déjà eu plusieurs victimes.
Voici ce que nous dit Volexity :
"Il existe deux méthodes principales pour identifier la compromission d'un pare-feu concerné. La première méthode consiste à surveiller le trafic et l'activité du réseau émanant des dispositifs de pare-feu Palo Alto Networks. Volexity travaille toujours à la coordination avec Palo Alto Networks concernant la seconde méthode et ne la décrit donc pas pour l'instant.".
Au niveau des flux réseau, voici ce que vous devez vérifier dans les journaux :
- Vérifier si le pare-feu a effectué des requêtes "wget" vers Internet pour effectuer le téléchargement de ressources. En effet, les pirates utilisent cette commande pour récupérer des fichiers malveillants depuis leur serveur. Il s'agit de requête directe vers des adresses IP, notamment "172.233.228[.]93".
- Vérifier s'il y a eu des tentatives de connexions SMB et/ou RDP vers plusieurs systèmes de votre environnement, depuis l'appliance Palo Alto.
- Vérifier s'il y a eu des requêtes HTTP vers "worldtimeapi[.]org/api/timezone/etc/utc" à partir du pare-feu.
Nous vous tiendrons informés lorsque les correctifs seront mis en ligne.
Imaginez un instant : vous êtes installé confortablement dans votre canapé, accompagné par deux coussins très confortables, un de chaque côté pour poser vos coudes, et un plateau pour accueillir votre ensemble clavier-souris préféré, voire même un ordinateur portable. C'est la promesse des produits de chez Nerdytec, et plus particulièrement du Couchmaster CYCON² !
Un produit à la fois innovant et étonnant qui va vous permettre de vous installer très confortablement dans votre canapé, que ce soit pour travailler, naviguer sur le Web, ou encore passer des heures à jouer sur votre TV, sans galérer avec votre matériel sur les genoux ou posé sur un support peu adapté.
Voici à quoi ressemble le Couchmaster CYCON² de chez Nerdytec :
Le Couchmaster CYCON² est ce que l'on pourrait appeler un plateau pour le gaming ou un support ergonomique pour jouer ou travailler depuis son canapé, et la marque allemande Nerdytec en a fait sa spécialité. Tous les produits sont imaginés en Allemagne, dans les locaux de Nerdytec, et le modèle que nous vous présentons aujourd'hui, c'est l'un des best-sellers de la marque !
Voici quelques caractéristiques à son sujet :
6 ports USB 3.0 (2 externes & 4 internes), y compris un port de chargement rapide externe
Gestion optimisée des câbles
Grille de ventilation : non
Poches latérales pratiques pour différents accessoires (et votre snack)
Distance intérieure maximale des coussins : 75 cm
Dimensions des coussins (L x l x H) : 60 x 20 x 16 cm
Dimensions du support (L x l x H) : 82 x 33 x 3 cm
Lorsque j'ai reçu le colis, il n'était pas en parfait état et il semblait avoir souffert pendant le transport, mais heureusement, ce fut sans conséquence pour le matériel. À l'intérieur du carton, les coussins sont dans un plastique tandis qu'une seconde boite cartonnée contient le plateau et l'ensemble des accessoires.
À l'intérieur du carton, nous avons un guide avec les instructions d'installation, deux coussins latéraux, un plateau Nerdytec avec un hub USB 3.0 intégré, un tapis de souris gaming, un petit sac pour ranger votre souris, de la bande auto-grippante, un bloc d'alimentation et son câble, ainsi qu'un câble de connexion hub de 0,8 mètre et un câble d'extension USB 3.0 de 5 mètres. Autant vous dire qu'il y a tout ce qu'il faut pour s'installer confortablement !
Chaque coussin jouera le rôle d'un accoudoir, un peu comme ceux que l'on retrouve sur les canapés : à la fois ferme et confortable, car l'idée est bien de pouvoir poser son coude et une partie de l'avant-bras de chaque côté.
Chaque coussin est déhoussable, ce qui signifie que vous pouvez laver les housses en machine à 30 degrés. C'est un point positif.
Le plateau du Couchmaster inspire confiance et la qualité de fabrication est très bonne. Le design est tout de même travaillé, et chaque zone où vous allez poser votre poignée, le plastique laisse sa place à une texture plus agréable. Le tapis de souris gaming fournit avec le Couchmaster pourra être collé sur le plateau, soit à droite, soit à gauche, grâce au scotch double-face intégré au package. Sachez que ce plateau n'a pas d'éclairage ou d'éléments lumineux, ce qui sera peut-être perçu comme un point négatif pour certains.
Au centre, sur la partie supérieur du plateau, nous avons accès à deux ports USB-A pour connecter ce que l'on souhaite. Bien entendu, ces ports USB sont reliés à votre PC par l'intermédiaire du Hub USB intégré au Couchmaster.
Pour bien comprendre comment cela fonctionne, il convient de retourner le Couchmaster. Il y a deux compartiments accessibles de façon indépendante où l'on va retrouver différents ports USB, ainsi que le connecteur pour l'alimentation. En fait, pour faciliter la gestion des câbles et d'avoir plusieurs câbles qui trainent au sol dans votre salon, sachez que Nerdytec propose un système basé sur un seul câble spécialement conçu pour le Couchmaster CYCON² dans le but d'établir la connexion entre le PC et le Couchmaster en lui-même, tout en fournissant une alimentation électrique supplémentaire. Par ailleurs, ce câble est en deux parties donc vous pouvez facilement le déconnecter du Couchmaster sans avoir à ouvrir un compartiment.
Pour vous faire une idée plus précise des dimensions des coussins et du plateau, ainsi que l'espace maximal entre les deux coussins, voici un schéma proposé par la marque :
III. Utilisation au quotidien
Me voici en place avec mon ordinateur, installé confortablement sur le canapé, grâce aux coussins et au plateau du Couchmaster. Les coussins sont très confortables et agréables, et grâce à eux, cela devient facile de travailler (ou jouer) depuis son canapé, car nous sommes bien installés. Les coudes sont maintenus par les coussins, ce qui permet de se mettre à l'aise que ce soit pour utiliser un ordinateur portable ou un kit clavier et souris. Nous pouvons rester dans cette position plusieurs heures, sans ressentir de gêne.
Sans utiliser d'ordinateur fixe, j'ai tout de même fait quelques tests avec le système de gestion de câbles. Il me semble adapté à de nombreuses configurations et types de câbles, avec tout de même un point d'attention : je n'ai pas pu tester directement, mais compte tenu de la taille des trous pour faire passer les câbles, je pense qu'ils ne sont pas assez grands si vous avez un accessoire avec un câble ayant un noyau de ferrite.
En ce qui concerne l'ergonomie, en complément de mon ressenti et de mon avis, voici l'analyse fournie sur le site officiel de Nerdytec : "D'un point de vue ergonomique, le Couchmaster® CYCON² est particulièrement recommandé. Le physiothérapeute Roland Kellerbach de Cologne-Dellbrück s'exprime en ces termes : "Du point de vue de la santé, je peux dire que le Couchmaster offre la meilleure possibilité ergonomique d'utiliser le PC/l'ordinateur portable depuis le canapé. Grâce aux larges coussins, la musculature des épaules et de la nuque est soulagée pendant l'utilisation, ce qui prévient efficacement les tensions"."
Le seul bémol, mais ça, Nerdytec ne peut pas y faire grand-chose, c'est l'encombrement pour stocker les coussins et le plateau, ainsi que le temps de mise en place avec l'installation des deux coussins, du plateau, puis de l'ordinateur portable ou du clavier et de la souris. Mais, une fois que l'on est installé, on se dit que ça en vaut vraiment la peine ! En revanche, pour les câbles, l'installation est à effectuer une seule fois, donc nous ne perdons pas de temps avec ça à chaque fois.
IV. Conclusion
Si vous aimez jouer ou travailler depuis votre canapé, mais que vous ne parvenez pas à vous installer confortablement, ne cherchez plus : investissez dans un Couchmaster Cycon 2 (ou un autre modèle, selon votre configuration). Peut-être que pour certains d'entre vous, ce sera l'occasion de franchir le pas... C'est un produit vraiment cool et confortable à utiliser.
Le tarif de la version Couchmaster Cycon 2 montrée dans cet article : 179.99 €. Vous pouvez retrouver ce produit sur Amazon.fr via notre lien d'affilié :
De plus, sachez que le Couchmaster Cycon 2 est disponible en plusieurs éditions et coloris : CYPUNK (pour les fans de Cyberpunk), Fusion Grey, Titan Black Edition (version de luxe avec des éléments en titane et des coussins en cuir nappa véritable) et Black Edition.
Alerte chez Palo Alto Networks : une faille de sécurité zero-day, non patchée à l'heure actuelle, a déjà été exploitée dans le cadre de plusieurs cyberattaques ! Voici ce que l'on sait !
Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique associée à un score CVSS de 10 sur 10 ! Elle a été découverte par les chercheurs en sécurité de Volexity et elle est désormais associée à la référence CVE-2024-3400. Il s'avère que cette vulnérabilité de type "injection de commande" a été découverte dans la fonction GlobalProtect du système PAN-OS.
Dans la pratique, un attaquant, situé à distance, peut exploiter cette vulnérabilité pour exécuter des commandes sur le firewall, sans aucune interaction de la part d'un utilisateur, et sans disposer de privilèges spéciaux. Il est question ici d'exécuter des commandes en tant qu'administrateur.
À l'heure actuelle, cette faille de sécurité a déjà été exploitée : "Palo Alto Networks a connaissance d'un nombre limité d'attaques qui exploitent cette vulnérabilité", peut-on lire dans le bulletin de sécurité mis en ligne par l'éditeur de solutions de sécurité.
Quelles sont les versions de PAN-OS affectées ?
Les firewalls Palo Alto qui exécute les versions suivantes de PAN-OS sont potentiellement vulnérables : PAN-OS 10.2, 11.0 et 11.1. Ceci affecte uniquement PAN-OS, donc certaines versions spécifiques comme Cloud NGFW et Prisma Access ne sont pas impactées.
Voici le tableau récapitulatif publié par Palo Alto :
Il est important de préciser que l'exploitation de la vulnérabilité dépend de la configuration du firewall : "Ce problème s'applique uniquement aux pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec les configurations de la passerelle GlobalProtect et la télémétrie de l'appareil activées.", précise Palo Alto.
Comment se protéger de la CVE-2024-3400 ?
Pour le moment, aucun correctif n'est disponible ! Les correctifs, pour les différentes versions affectées, sont en cours de développement et sont attendus pour le dimanche 14 avril 2024, au plus tard.
Voici les versions qui seront publiées :
PAN-OS 10.2.9-h1
PAN-OS 11.0.4-h1
PAN-OS 11.1.2-h3
En attendant, et avant de partir en week-end, il est impératif de désactiver la télémétrie sur votre firewall, en suivant cette documentation officielle. Ceci empêche l'exploitation de la vulnérabilité.
Sachez que si vous avez un abonnement à la fonction "Threat Prevention", vous pouvez bloquer cette attaque en activant la protection contre la menace avec l'ID 95187. De plus, assurez-vous que cette protection soit activée sur l'interface GlobalProtect, en suivant cette page de la documentation.
Dans ce tutoriel, nous allons exploiter PowerShell pour créer un journal personnalisé et des événements personnalisés dans l'Observateur d'événements de Windows ou Windows Server, à l'aide de deux cmdlets : New-EventLog et Write-EventLog. En complément, nous verrons comment utiliser la classe .NET "EventLog" pour créer des entrées avancées.
Sur Windows, le système d'exploitation, les composants et les applications peuvent générer des événements qui sont inscrits dans les différents journaux centralisés dans l'Observateur d'événements. Ces journaux sont une mine d'informations pour les administrateurs systèmes, mais aussi pour les équipes en charge de la sécurité : une action suspecte peut être consignée dans un événement, qui représentera alors une trace intéressante.
L'intérêt ensuite est de collecter ces événements dans un puits de logs ou un SIEM afin de les analyser et de détecter les comportements suspects ou les anomalies sur une infrastructure.
Grâce à la commande Write-EventLog ou à l'utilisation de la classe EventLog, nous pouvons alimenter les journaux de Windows avec des événements personnalisés qui, eux aussi, pourront être exploités par une solution telle qu'un SIEM. Autrement dit, votre script PowerShell pourra créer des événements contenant les informations de votre choix.
Remarque : avant de pouvoir utiliser Write-EventLog, cette action était possible sous Windows grâce à l'utilisation de l'utilitaire en ligne de commande EVENTCREATE.exe.
II. Utiliser le cmdlet New-EventLog
Au sein de l'Observateur d'événements, vous pouvez créer un journal personnalisé, associé au nom de votre choix, à condition que celui-ci ne soit pas déjà utilisé. Cette étape est facultative, car nous pouvons créer des enregistrements dans certains journaux natifs, notamment dans le journal "Applications" de Windows.
Néanmoins, le fait de créer un journal personnalisé et d'y inscrire par la suite nos propres événements, permet "d'isoler" nos événements personnalisés. Ceci peut vouloir dire également qu'il faudra adapter la configuration de votre outil de collecte de log pour qu'il prenne en charge ce nouveau journal.
La commande suivante permet de créer un journal nommé "PowerShell-Demo", qui accepte deux sources : "Script-1" et "Script-2". Vous pouvez en ajouter autant que vous le souhaitez, et, vous pouvez ajouter des sources supplémentaires à un journal existant. Ceci est indispensable, car chaque événement de journal doit être associé à une source.
Ce journal sera immédiatement visible dans l'Observateur d'événements sous "Journaux des applications et des services".
D'ailleurs, pour ajouter une source supplémentaire, il suffit d'exécuter une nouvelle fois New-EventLog en indiquant le nom du journal et le nom de la source supplémentaire à ajouter. Voici un exemple pour ajouter la source "Script-3" :
Désormais, nous allons voir comment écrire un nouvel événement dans le journal d'événements que nous venons de créer. Nous pourrions aussi l'ajouter dans un autre journal (attention, certains sont protégés), tout se joue au niveau du paramètre "-LogName" de la commande Write-EventLog puisqu'il permet de préciser le journal cible.
Comme pour les autres cmdlets PowerShell, vous pouvez spécifier le nom du cmdlet suivi de chaque paramètre et de sa valeur, mais dans le cas présent, l'écriture proposée ci-dessous permet d'avoir une meilleure lisibilité.
$Event = @{
LogName = "PowerShell-Demo"
Source = "Script-1"
EntryType = "Error"
EventId = 10000
Message = "Cette alerte a été généré depuis PowerShell"
}
Write-EventLog @Event
Ce bout de code va créer un événement de type "Erreur" dans notre journal, associé à la source "Script-1" et l'ID "10000". Il contiendra le message "Cette alerte a été généré depuis PowerShell", comme vous pouvez le voir sur l'image ci-dessous. Essayez d'utiliser des ID différents pour vos types d'événements, et évitez aussi d'utiliser des ID déjà utilisé par Windows.
À la place du type "Error" permettant de générer une erreur, vous pouvez utiliser les valeurs suivantes : Warning, Informational, SuccessAudit, et FailureAudit. Sachez que cette commande prend en charge le paramètre "-ComputerName", ce qui permet de créer un événement dans le journal d'un ordinateur distant.
Pour consulter ce journal personnalisé, ou un autre journal, vous pouvez utiliser le cmdlet PowerShell "Get-EventLog". Bien que ce cmdlet soit très pratique, il ne permet pas d'accéder à tous les journaux, donc sachez qu'il existe aussi un second cmdlet prévu pour consulter les journaux : "Get-WinEvent".
Voici la commande à utiliser pour récupérer les logs de notre journal :
Get-EventLog -LogName "PowerShell-Demo"
Pour approfondir l'utilisation de ces cmdlets, vous pouvez consulter ces pages :
Pour aller plus loin dans l'écriture d'événements dans un journal Windows, il convient d'exploiter la classe EventLog directement depuis PowerShell. Celle-ci va nous permettre d'ajouter des données mieux structurées dans notre événement, notamment dans la section "EventData" visible à partir de la vue XML. C'est utile pour stocker plusieurs informations tout en permettant de récupérer de façon indépendante chaque information.
Voici un exemple :
Nous avons mis en pratique cette méthode dans ce tutoriel :
Ceci complexifie l'inscription d'un nouvel événement, car nous devons créer nos propres objets et nous passer de l'utilisation de Write-EventLog. Un premier objet "System.Diagnostics.EventInstance" permettra d'indiquer le numéro d'ID et le type d'événements, tandis qu'un second objet "System.Diagnostics.EventLog" permettra de préciser les données de l'événement.
Néanmoins, pour que l'utilisation reste simple, nous vous proposons d'utiliser cette fonction :
function Write-EventLogV2 {
<#
.SYNOPSIS
Crée un évènement dans l'observateur d'évènement
.DESCRIPTION
La fonction utilise la CmdLet WriteEvent pour créer un évènement à partir des paramètres d'entrée.
.PARAMETER dataUser
Nom utilisateur qui sera inscrit dans le contenu de l'évènement à créer
.PARAMETER dataDescription
Contenu de la description qui sera inscrite dans le contenu de l'évènement à créer
.PARAMETER ID
Event ID de l'évènement à créer
.PARAMETER evtLog
Journal de l'évènement à créer
.PARAMETER evtSource
Source de l'évènement à créer
.EXAMPLE
New-EventLog -dataUser "John" -dataDescription "new description"
.OUTPUTS
None
#>
param(
[Parameter(Mandatory=$true)]$dataUser,
$dataDescription="",
$ID=10000,
$evtLog="PowerShell-Demo",
$evtSource="Script-2"
)
# Charge la source d'événement dans le journal si elle n'est pas déjà chargée.
# Cette opération échouera si la source d'événement est déjà affectée à un autre journal.
if ([System.Diagnostics.EventLog]::SourceExists($evtSource) -eq $false) {
[System.Diagnostics.EventLog]::CreateEventSource($evtSource, $evtLog)
}
# Construire l'événement et l'enregistrer
$evtID = New-Object System.Diagnostics.EventInstance($ID,1)
$evtObject = New-Object System.Diagnostics.EventLog
$evtObject.Log = $evtLog
$evtObject.Source = $evtSource
$evtObject.WriteEvent($evtID, @($dataUser,"Description : $dataDescription"))
}
En entrée, cette fonction accepte deux messages ($dataUser et $dataDescription - vous pouvez renommer ces paramètres dont le nom a été choisi vis-à-vis du script d'origine), un numéro d'ID (par défaut, ce sera 10000), le nom d'un journal d'événement (par défaut, ce sera "PowerShell-Demo") ainsi qu'une source (par défaut, ce sera "Script-2").
De plus, par défaut, cette fonction génère des événements de type "Information". Si vous souhaitez changer le type d'événement, vous devez ajuster la valeur présente sur cette ligne :
En effet, la première valeur correspond à l'ID souhaité, ici associé à la variable $ID, tandis que la seconde valeur correspond au type d'événement. Le 1 correspond au type "Information".
Ce qui permettra de générer des événements similaires à celui-ci :
Si besoin, vous pouvez ajouter d'autres valeurs dans la seconde partie de "$evtObject.WriteEvent" pour avoir des lignes "<Data>" supplémentaires.
V. Conclusion
En suivant ce tutoriel, vous devriez être en mesure de créer vos propres événements personnalisés dans les journaux Windows, que ce soit dans un journal existant ou dans votre propre journal à l'aide de PowerShell ! Libre à vous d'utiliser ces cmdlets ou cette fonction dans vos scripts, et de les adapter à vos besoins ! En tout cas, ceci ouvre des possibilités très intéressantes !
Des chercheurs en sécurité soupçonnent les cybercriminels d'avoir utilisé l'IA générative dans le cadre d'une attaque pour générer un script PowerShell. Il a été utilisé pour distribuer un malware infostealer. Faisons le point !
En mars 2024, les chercheurs en sécurité de chez Proofpoint ont identifié une campagne malveillante ciblant des dizaines d'organisations allemandes et associées au groupe de pirates suivi sous le nom de TA547, et connu également sous le nom de Scully Spider. Il s'agirait d'un groupe actif depuis 2017 et appartenant à la catégorie des "initial access broker" (courtier d'accès initial).
"Outre les campagnes menées en Allemagne, d'autres organisations ont été ciblées récemment en Espagne, en Suisse, en Autriche et aux États-Unis.", peut-on lire dans le rapport de Proofpoint.
Lors de cette campagne, les pirates ont tenté d'usurper l'identité de la marque allemande Metro en envoyant des e-mails malveillants avec une facture, au format ZIP, en pièce jointe. Pour échapper aux analyses de sécurité, ce fichier ZIP est protégé par le mot de passe "MAR26". Il contient un fichier de raccourci malveillant (.LNK) qui, lorsqu'il est exécuté, déclenche l'exécution d'un script distant via PowerShell.
L'objectif final est d'infecter la machine avec le logiciel malveillant "Rhadamanthys", de type infostealer. Ce malware a pour objectif de voler des données sur chaque machine infectée, notamment des identifiants et des cookies.
Un script PowerShell généré avec une IA ?
Les chercheurs en sécurité ont procédé à l'analyse du script PowerShell utilisé par les cybercriminels. Et, ils ont été surpris de constater que chaque ligne de code était précédée par un commentaire, très bien rédigé, comme ceux intégrés par l'IA lorsqu'on lui demande de l'aide pour un bout de code.
Voici un extrait du script PowerShell en question :
Source : Proofpoint
Les chercheurs affirment que c'est une caractéristique typique d'un code PowerShell généré avec l'aide d'une IA générative, que ce soit ChatGPT, Gemini ou Microsoft Copilot. Bien que ce ne soit pas certain à 100%, il y a de fortes chances pour que les cybercriminels aient utilisé l'IA pour écrire ou réécrire le code.
Cela signifierait que dans le cadre de cette campagne malveillante, les pirates du groupe TA547 ont recouru à l'IA. Bien entendu, cela n'est qu'un exemple parmi d'autres et dans le cas présent, l'IA pouvait difficilement se douter qu'il s'agissait d'un code PowerShell utilisé à des fins malveillantes.
Le serveur Web des contrôleurs BMC (Baseboard Management Controller) utilisés par plusieurs fabricants de serveurs, dont Lenovo et Intel, est impacté par une faille de sécurité patchée il y a environ 6 ans ! Voici ce qu'il faut savoir sur cette menace potentielle.
Le Baseboard Management Controller (BMC) est un microcontrôleur intégré sur la carte mère de certains serveurs dont l'objectif est de faciliter la gestion à distance et la surveillance à distance du serveur. Ceci implique l'utilisation d'un serveur Web afin de publier l'interface de gestion. Dans le cas présent, Lighttpd est implémenté en tant que serveur Web.
Lors d'un scan récent sur des interfaces BMC, les chercheurs en sécurité de chez Binarly ont découvert que la version de Lighttpd utilisée contient une faille de sécurité. En l'exploitant, un attaquant pourrait exfiltrer les adresses de la mémoire des processus, ce qui faciliterait le contournement de certaines fonctions de sécurité comme l'ASLR (Address Space Layout Randomization).
Il s'avère qu'elle a été corrigée en août 2018, de façon relativement discrète, par les mainteneurs du projet Lighttpd, et cette faille de sécurité n'a même pas été associée à une référence CVE ! Il y a eu un manque de transparence de la part de l'équipe de Lighttpd.
De ce fait, les développeurs d'AMI MegaRAC BMC n'ont pas vu le correctif et ne l'ont pas intégré à leur produit... Résultat, nous avons encore un bel exemple d'un problème de sécurité qui affecte la chaine d'approvisionnement puisque cela impact les vendeurs de serveurs et leurs clients.
Voici un schéma très explicite intégré dans le rapport de Binarly :
Source : Binarly
Intel, Lenovo et Supermicro impactés !
Plusieurs fabricants et références de serveurs sont concernés par ce problème de sécurité, notamment Intel, Lenovo et Supermicro. Voici des précisions apportées par Binarly (avec des ID internes associés à ces problèmes de sécurité) :
BRLY-2024-002 : Vulnérabilité spécifique dans la version 1.4.45 de Lighttpd utilisée dans la version 01.04.0030 (la plus récente) du micrologiciel de la série M70KLP d'Intel, impactant certains modèles de serveurs Intel.
BRLY-2024-003 : Vulnérabilité spécifique dans Lighttpd version 1.4.35 dans le firmware Lenovo BMC version 2.88.58 (la plus récente) utilisé dans les modèles de serveurs Lenovo HX3710, HX3710-F, et HX2710-E.
BRLY-2024-004 : Vulnérabilité générale dans les versions du serveur web Lighttpd antérieures à 1.4.51, permettant la lecture de données sensibles depuis la mémoire du processus du serveur.
Certains systèmes Intel et Lenovo ont été commercialisés récemment et devraient bénéficier d'un correctif. Néanmoins, ce ne sera pas le cas pour tous les serveurs, car certains modèles ne sont plus pris en charge. Par exemple, l'Intel Server System M70KLP a été lancé au premier trimestre 2021 et abandonné en février 2024 (ce qui est très court, en fait !).
Malheureusement, d'après Binarly, il y a une quantité importante d'interfaces BMC vulnérables et accessibles sur Internet, qui correspondent à du matériel en fin de vie et qui resteront vulnérables...
Dans cet article, nous allons découvrir la plateforme de communication 3CX, capable de répondre à vos besoins en matière d'appels téléphoniques, de visioconférences, de messagerie instantanée et même de Live Chat depuis votre site Internet.
La société 3CX a été créée en 2005, à l'époque où la VoIP était une solution émergente, et désormais 3CX se présente comme un leader mondial dans les domaines des solutions de communication pour les entreprises. La solution européenne 3CX compte plus de 350 000 clients dans 190 pays, parmi lesquels Air France, Somfy, Mercedes-Benz, Coca-Cola ou encore le ClubMed.
3CX propose différentes offres pour répondre aux besoins des entreprises de toutes les tailles : que vous soyez indépendant, représentant d'une startup de quelques salariés, gérant d'une PME ou d'une entreprise internationale, il y a une offre adaptée à votre situation. D'ailleurs, aujourd'hui, nous allons évoquer les fonctionnalités et l'utilisation de la version gratuite de 3CX. La version 20, disponible depuis quelques semaines, est présentée dans cet article.
Tout ce que vous allez voir aujourd'hui, vous pouvez le tester et l'utiliser vous aussi, sans débourser un centime ! Comme vous pourrez le constater, la solution est très simple à déployer et elle présente l'avantage d'être accessible depuis différents types de terminaux (PC, smartphone, tablette, etc.).
L'offre "3CX FREE" est entièrement gratuite, sans limite de temps, et sa principale limite, c'est le nombre d'utilisateurs : 10 utilisateurs, au maximum. Si vous avez besoin de plus d'utilisateurs, vous devez passer sur un forfait payant. Honnêtement, les tarifs pratiqués sont raisonnables puisqu'il s'agit d'une facturation par système, et non par utilisateur.
La version gratuite de 3CX est proposée en tant que solution SaaS, c'est-à-dire directement dans le Cloud. Vous n'avez rien à installer. Pour autant, sachez qu'il existe une version de 3CX que vous pouvez héberger vous-même, sur votre propre serveur.
Voici un aperçu des différentes offres et des tarifs, à titre purement indicatif. Consultez cette page pour avoir plus d'informations.
Nous allons évoquer les fonctionnalités dont vous pouvez gratuitement bénéficier, et qui sont visibles sur l'image ci-dessus. Au-delà de prendre en charge les appels téléphoniques, la visioconférence, et la messagerie instantanée (chat), 3CX présente l'avantage de pouvoir s'intégrer à d'autres solutions : WhatsApp mais aussi directement sur votre site web avec un Live Chat pour WordPress (ou un autre CMS).
La solution 3CX peut être utilisée à partir d'un navigateur web, mais également via des applications officielles, que ce soit sur Windows, Android ou iOS. Ce qui est important de préciser, et qui apporte un gros plus à l'usage, c'est que vous pouvez facilement passer d'un appareil à un autre, mais aussi transférer les appels, les sessions de Live Chat très facilement entre vos utilisateurs.
Ci-dessous, les fonctionnalités principales disponibles avec l'offre gratuite :
Appels en interne
Visioconférence (audio, caméra, partage d'écran, partage de PDF, assistance à distance, tableau blanc, etc.) - Jusqu'à 25 participants
Messagerie instantanée
Live Chat avec intégration site web et WhatsApp (et Facebook Messenger également, dans la version payante)
Cette liste étant complétée par :
10 utilisateurs, soit 10 numéros internes
1 groupe d'appels
1 trunk SIP (pour les communications externes)
Annuaire téléphonique centralisé
Parquer un appel pour le récupérer depuis un autre appareil
Transfert d'appels et de session Live Chat
Historique des appels
Je tiens à préciser que la solution 3CX n'intègre pas le coût de vos communications. Vous devez connecter le trunk SIP de votre choix (c'est-à-dire associer votre abonnement opérateur) afin de pouvoir téléphoner vers n'importe quel numéro, et envoyer des SMS/MMS.
La solution de communication omnicanal de 3CX met un sérieux coup de vieux au PABX (autocommutateur) que l'on rencontre encore dans certaines entreprises...
Pour essayer 3CX et créer votre environnement gratuit dès maintenant, vous pouvez utiliser le lien ci-dessous ou accéder au site 3cx.fr et cliquer sur le bouton "Essayer" dans le menu. Ensuite, vous pouvez utiliser votre e-mail ou directement votre compte Google.
Vous recevrez un e-mail avec un code de vérification vous permettant de finaliser la création du compte.
Vous devrez alors compléter certaines informations, comme votre nom, votre prénom, etc... comme le montre l'image ci-dessous.
Puis, vous devez choisir quelle version de 3CX vous souhaitez utiliser. Ici, ce sera la version gratuite donc "3CX FREE". Ceci ne vous empêche pas de passer sur une version payante par la suite.
Une fois que la création de l'environnement est terminée, 3CX vous indique l'URL de connexion à votre instance ! Il y a également une autre information très importante, c'est le numéro d'extension ainsi que la plage d'extension pour les futurs utilisateurs. En fait, ceci correspond aux numéros internes que vous pouvez utiliser pour vous appeler entre utilisateurs d'une même organisation.
Le fait de cliquer sur "Connexion" permet d'accéder directement à la page de connexion où vous pourrez vous authentifier avec votre compte. D'ailleurs, ce compte est administrateur de la plateforme.
Voilà, bienvenue sur l'interface d'administration de 3CX ! Celle-ci regroupe plusieurs sections : équipe, chat, réunion, appels, panneau, contacts, messagerie vocale et paramètres (de votre compte). En complément, un bouton "Admin" est accessible dans le bas de la liste et il est visible uniquement pour les utilisateurs qui ont les droits.
Dans la suite de cet article, nous allons explorer plus en détails l'interface.
III. Utilisation de 3CX
A. Créer un nouvel utilisateur
3CX est une solution de communication, donc pour en tirer profit et exploiter tout son potentiel, nous devons créer au moins un second utilisateur. La console d'administration permet de créer un nouvel utilisateur manuellement, ou d'importer une liste à partir d'un fichier CSV.
Nous devons compléter la fiche de l'utilisateur avec son nom, son prénom, son e-mail, etc... Et lui associer un numéro d'extension (si celui proposé par 3CX ne convient pas). Cet utilisateur aura aussi un rôle qui définit son niveau de permission (Utilisateur ; Réceptionniste ; Administrateur du département ; Manager ; Propriétaire). Par ailleurs, la version 20 de 3CX ajoute la prise en charge du 2FA : c'est une bonne nouvelle, car lors de la première connexion, l'utilisateur devra configurer le 2FA.
Par ailleurs, chaque compte utilisateur est associé à un ensemble de paramètres pour la messagerie vocale,3CX Talk (liens directs pour le chat / une réunion avec cet utilisateur) ou encore les stratégies de transfert d'appels en fonction du statut de l'utilisateur.
Désormais, l'instance 3CX a deux utilisateurs. Ils peuvent communiquer par chat, faire une réunion, et même s'appeler par l'intermédiaire de l'application mobile 3CX ou du navigateur web. Néanmoins, le nouvel utilisateur doit encore finaliser la création de son compte.
L'utilisateur, quant à lui, a reçu un e-mail avec les informations sur son compte.
Il doit finaliser l'inscription en cliquant sur le bouton "Définissez un mot de passe".
Puis, après avoir défini le mot de passe, l'utilisateur doit configurer l'authentification à deux facteurs à partir d'une application comme Microsoft Authentification, FreeOTP, etc.
Voilà, les deux comptes utilisateurs sont prêts !
B. Les appels audio, les appels vidéos et le chat
Pour communiquer avec la solution 3CX, chaque utilisateur a accès à des applications mobiles pour Android et iOS, ainsi qu'une application Windows (PWA) et la possibilité d'utiliser la version Web depuis n'importe quel ordinateur. Sans oublier la possibilité de pouvoir utiliser un téléphone IP physique. Comme avec d'autres solutions, vous pouvez tout à fait passer d'un appareil à un autre.
L'application mobile peut être configurée facilement grâce à un QR code que chaque utilisateur pourra retrouver dans les paramètres de son compte.
L'application mobile donne accès au répertoire des contacts, à la possibilité de composer un numéro, ainsi qu'au chat et à la messagerie vocale. Le statut de chaque utilisateur est également visible, ce qui est pratique pour savoir si un collègue est disponible ou occupé avant de songer à l'appeler.
Ci-dessous, l'utilisateur Guy envoi le message "Bonjour" à Florian.
L'utilisateur "Florian", connecté à la version Web de 3CX, reçoit immédiatement une notification :
Le fait de cliquer sur "Répondre" permet d'être redirigé vers la fenêtre de chat où la conversation peut être engagée.
À partir de l'application mobile 3CX, l'utilisateur Guy peut aussi passer des appels audio ou vidéo. Il est également possible de transférer un appel, soit à l'aveugle ou supervisé et définir un statut.
L'utilisateur Florian peut prendre l'appel directement à partir de son navigateur Web puisqu'il reçoit une notification et qu'une sonnerie est émise pour le notifier de l'appel entrant. Il peut accepter l'appel, le refuser, ou renvoyer l'utilisateur vers la messagerie vocale.
Comme évoqué précédemment, vous pouvez aussi créer une nouvelle réunion en visio. Il peut s'agir d'une réunion avec des utilisateurs 3CX, mais aussi des invités externes. Nous retrouvons les fonctions habituelles, comme la possibilité de flouter l'arrière-plan, de partager un lien vers la réunion, de partager l'écran, de chater, d'enregistrer la réunion ou encore de partager un document. Même si cette fonctionnalité reste en retrait vis-à-vis de Microsoft Teams, c'est complet et surtout ce sont des fonctions gratuites.
C. La gestion des heures de bureau
L'interface d'administration de 3CX intègre une gestion complète des heures de bureau, des heures de pause, et des jours fériés. C'est l'occasion d'indiquer les heures d'ouverture et de fermeture de votre société, ce qui est important dans le processus de gestion des communications, notamment les appels.
La fonction "Jours fériés du bureau" s'avère très utile pour déclarer toutes les fermetures exceptionnelles, que ce soit pour un jour férié ou pour une autre raison.
Ces horaires et ces jours fériés vont directement influencer d'autres fonctionnalités de 3CX et déterminer comment les appels seront traités (renvois, transferts, messagerie vocale, etc.). Ceci va aussi jouer sur le statut des utilisateurs : le statut "Absent" pourra être associé à un utilisateur, de façon automatique, en dehors des heures de bureau. Il y a aussi un impact sur la fonctionnalité Live Chat que nous allons découvrir maintenant.
D. Le Live Chat avec WordPress
Nous allons maintenant explorer une autre fonctionnalité de 3CX : l'intégration du LiveChat avec WordPress. Elle est bien différente des fonctionnalités évoquées jusqu'ici, car elle va permettre de faciliter la communication avec vos clients par l'intermédiaire de votre site web. Que ce soit un site vitrine ou un site d'e-commerce, le Live Chat va permettre de mettre en place un moyen de communication plus moderne et plus direct pour échanger avec vos clients et/ou prospects.
Ici, un site de démonstration sous WordPress sera utilisé. La première étape consiste à installer l'extension officielle "3CX Free Live Chat" sur notre site WordPress. L'application est maintenue par 3CX directement.
Une fois que l'extension est installée, nous devons basculer sur le portail 3CX pour récupérer le lien vers notre Live Chat 3CX.
Voici les étapes à réaliser :
1- Cliquer sur "Admin" dans le menu latéral.
2 - Cliquer sur "Voix & Chat".
3 - Copier le lien sous "Information" car il va falloir l'ajouter sur le site WordPress.
4 - Cliquer sur les trois points verticaux puis sur "Modifier le lien Web".
Ici, nous devons effectuer deux actions. La première, c'est indiquer le nom du domaine du site WordPress, ou éventuellement l'adresse IP s'il s'agit d'un test en local comme dans cette démonstration. La seconde, c'est cliquer sur le lien "Configurez les heures de bureau du département ici".
En effet, ceci nous permet de configurer le fuseau horaire, ainsi que les horaires de bureau et les horaires de pause pour l'ensemble du département "IT-Connect" de l'organisation. Nous arrivons sur la page présentée précédemment, et celle-ci joue un rôle important avec le Live Chat, car sa disponibilité sera calée sur les horaires définis sur cette page.
Ensuite, il convient de rebasculer sur WordPress avec de paramétrer l'extension 3CX Live Chat. Nous devons ajouter l'URL précédemment copiée dans le champ de saisie correspondant à l'option "URL du 3CX Talk", comme sur l'exemple ci-dessous. Pour que le Live Chat soit accessible sur l'intégralité du site, il convient de cocher aussi l'option "Activer sur toutes les pages". Sinon, nous pouvons sélectionner une ou plusieurs pages.
Désormais, lorsqu'un internaute navigue sur le site WordPress, il peut contacter le support ou le service client via le Live Chat ! Par défaut, cet échange par chat se fait de façon anonyme, c'est-à-dire que 3CX ne collecte pas le nom ni même l'adresse e-mail de l'utilisateur. Ceci est personnalisable dans les options de la fonctionnalité.
Les messages envoyés par l'internaute sont visibles à partir de la version Web de 3CX ou à partir des applications.
La session de chat avec l'internaute en Live Chat vient s'ajouter en tant que conversations. Ce qui est très pratique, c'est qu'il est possible de transférer la session de Live Chat à un autre utilisateur. Dans l'exemple ci-dessous, Florian a transféré la session à Guy.
De son côté, Guy reçoit une notification et il peut prendre le relai sur la discussion :
Pour l'internaute, tout est transparent. Voici un aperçu :
Nous pouvons modifier les paramètres pour demander à l'internaute de préciser son nom et son adresse e-mail. Ainsi, un formulaire est présenté à l'utilisateur avant qu'il puisse commencer à communiquer via le Live Chat :
Désormais, cet utilisateur est identifié par son nom et nous pouvons même l'ajouter en tant que contact. Sachez également que l'adresse e-mail peut être récupérée, ce qui permet de recontacter l'utilisateur par e-mail.
IV. Conclusion
La version gratuite de 3CX conviendra sans aucun doute aux petites organisations (TPE/PME) et aux startups, car elle regroupe un ensemble de fonctionnalités utile et pratique pour faciliter la communication entre les utilisateurs. Le Live Chat, parfaitement intégré à la solution 3CX, est un gros plus pour cette solution. Même si ce n'est pas inclus dans la démonstration, vous pouvez tout à fait appeler des utilisateurs externes, que ce soit sur téléphone fixe ou mobile, après avoir connecté votre trunk SIP à votre instance 3CX.
Par la suite, si les besoins de l'organisation sont plus importants, elle pourra basculer sur une offre payante pour accueillir plus d'utilisateurs et bénéficier de fonctionnalités supplémentaires. Ceci est facilité par le fait que les tarifs de la solution sont raisonnables.
Enfin, j'insiste sur le fait que la solution 3CX est très facile à déployer et simple à configurer. Il n'est pas nécessaire d'être expert en téléphonie pour utiliser 3CX.
Cet article contient une communication commerciale.
Dans quelques jours, Microsoft va participer à l'Open Source Summit 2024, mais pourquoi ? Bien que cela puisse surprendre, sachez qu'au final, c'est plutôt évident et cohérent.
L'Open Source Summit North America est un événement organisé par la Fondation Linux et l'édition 2024 se déroulera du 16 au 18 avril prochain, à Seattle, aux États-Unis. Microsoft va participer à cet événement mondial, tout en étant un sponsor "Platinum", au même titre que Docker et Red Hat. D'ailleurs, au passage, AWS et Google sont des sponsors "Diamond" de cet événement.
Bien que Microsoft soit toujours associé à une étiquette d'"éditeur de solutions propriétaires", notamment parce que son système d'exploitation Windows est un OS propriétaire, la position de l'entreprise américaine a évoluée depuis environ 10 ans. Depuis 2014 et l'arrivée en Satya Nadella en tant que Directeur général, pour être plus précis. Si Microsoft a commencé à adopter l'open source dans ses activités principales et à participer à différents projets, c'est grâce à lui.
Microsoft est impliqué dans de nombreux projets Open Source
À l'occasion de sa participation à l'Open Source Summit, Microsoft discutera de ses contributions à la communauté open source. Aujourd'hui, Microsoft se félicite de participer au développement de Linux, à des langages de programmation tels que PHP, Python et Node.js, mais aussi à PostgreSQL ou encore à ses propres solutions open source comme .NET Core, Visual Studio Code et TypeScript.
"En outre, l'open source est au cœur de notre stratégie produit et constitue un élément fondamental de notre culture. Aujourd'hui, plus de 60 000 employés de Microsoft utilisent GitHub et nous gérons plus de 14 000 dépôts publics couvrant tout, des meilleures pratiques et de l'ensemble de nos systèmes de documentation aux projets innovants tels que PowerTools et PowerShell.", peut-on lire sur le site de Microsoft.
La firme de Redmond partagera également ses meilleures pratiques pour l'utilisation des technologies open source et les tendances émergentes dans ce domaine. D'ailleurs, en interne, Microsoft a eu équipe en charge de veiller sur la bonne utilisation des logiciels libres : "Le Microsoft Open Source Programs Office (OSPO) veille à ce que nous utilisions correctement les logiciels libres, à ce que nous fournissions des solutions sécurisées à nos clients et à ce que nous participions de manière authentique aux communautés de logiciels libres."
Pour Microsoft, l'intérêt est aussi d'assurer une compatibilité et une prise en charge avec ses solutions telles que Microsoft Intune ou encore le Cloud Azure au sein duquel les organisations peuvent exécuter des machines virtuelles sous Linux. "Microsoft prend en charge les principales distributions Linux et collabore étroitement avec Red Hat, SUSE, Canonical et l'ensemble de la communauté Linux.", précise Microsoft.
Chrome Enterprise Premium, c'est le nom de la nouvelle version du navigateur Chrome destinée aux entreprises ! Elle est payante et elle permet de bénéficier de fonctionnalités de sécurité supplémentaires !
Google a effectué du changement dans son offre destinée aux entreprises, en introduisant la première version payante de son navigateur Google Chrome. Ainsi, Chrome Enterprise reste gratuit et devient Chrome Enterprise Core, tandis que Chrome Enterprise Premium est payant : 6 dollars par mois et par utilisateur.
Cette nouvelle version vise à renforcer la sécurité des appareils directement au niveau du navigateur. Une application stratégique "où se déroulent presque toutes les activités et interactions de grande valeur au sein de l'entreprise", précise Google. Cette version améliorée de Chrome Enterprise Core offre des fonctionnalités de sécurité avancées supplémentaires :
- Les contrôles d'entreprise permettent d'appliquer les règles, de gérer les mises à jour et les extensions logicielles afin de les aligner sur les règles de l'entreprise, et de prendre en charge les protocoles RDP, SCP, SSH et autres protocoles TCP.
- Les informations et les rapports de sécurité prennent en charge les rapports d'événements, les rapports sur les périphériques et les capacités d'analyse pour une visibilité à l'échelle de l'entreprise, et peuvent s'intégrer à d'autres solutions de sécurité de Google, ainsi que des solutions tierces.
- Les contrôles d'accès contextuels peuvent être étendus aux applications web, aider à appliquer l'accès continu Zero Trust aux applications SaaS et web grâce au contrôle d'accès conditionnel, et atténuer les risques d'exfiltration de données pour les applications approuvées et non approuvées.
- La protection contre les menaces et les données assure l'inspection du contenu et la prévention de la perte de données, la lutte contre les logiciels malveillants et le phishing grâce à l'IA, le filtrage dynamique des URL et à la catégorisation des sites.
Chrome Enterprise Core vs Chrome Enterprise Premium
Ce tableau comparatif montre bien les différences entre la version gratuite et la version payante de Chrome Enterprise :
Google est convaincu que cette nouvelle version permettra de renforcer la sécurité des appareils d'une organisation et d'améliorer la détection des menaces. La firme de Mountain View a introduit le témoignage de la société Roche à ce sujet : "Une fois la solution activée, nous avons pu identifier et stopper une tentative d'exfiltration d'une grande quantité d'informations d'entreprise en quelques heures."
Qu'en pensez-vous ? Seriez-vous prêts à partir sur une version payante de Google Chrome ?
Des chercheurs en sécurité ont découvert une vulnérabilité qu'ils considèrent comme le "premier exploit natif Spectre v2" qui affecte les systèmes Linux fonctionnant avec de nombreux processeurs Intel récents ! En exploitant cette vulnérabilité, un attaquant pourrait lire des données sensibles dans la mémoire. Voici ce qu'il faut savoir !
La vulnérabilité Spectre et l'exécution spéculative
Avant tout, commençons par quelques mots sur la vulnérabilité Spectre en elle-même, ainsi que sur l'exécution spéculative.
Découverte au sein des processeurs Intel et AMD il y a plusieurs années, Spectre et sa copine Meltdown sont parmi les vulnérabilités les plus populaires. Ces termes font aussi référence à des techniques d'attaques visant à exploiter les failles de sécurité en question. Spectre affecte de nombreux processeurs dotés de l'exécution spéculative et corriger cette faille de sécurité matérielle n'est pas simple, car cela affecte, de façon importante, les performances du CPU.
L'exécution spéculative vise à améliorer les performances de la machine grâce au processeur qui va chercher à deviner la prochaine instruction à exécuter. La puissance des processeurs modernes permet de prédire plusieurs chemins qu'un programme peut emprunter et les exécuter simultanément. Cela ne fonctionne pas toujours, mais quand c'est le cas, cela booste les performances. Malgré tout, cela représente un risque, car le cache du CPU peut contenir des traces avec des données sensibles (mots de passe, informations personnelles, code logiciel, etc.), et celles-ci sont potentiellement accessibles par un attaquant lorsqu'une vulnérabilité est découverte.
Il y a deux méthodes d'attaques nommées Branch Target Injection (BTI) et Branch History Injection (BHI).
L'exploitation de Spectre V2 sur Linux
Récemment, une équipe de chercheurs du groupe VUSec de VU Amsterdam a fait la découverte de Spectre V2, une nouvelle variante de l'attaque Spectre originale, associée à la référence CVE-2024-2201. Vous pouvez retrouver leur rapport sur cette page.
Le CERT/CC a mis en ligne un bulletin de sécurité à ce sujet, dans lequel nous pouvons lire ceci : "Un attaquant non authentifié peut exploiter cette vulnérabilité pour faire fuir la mémoire privilégiée du CPU en sautant spéculativement vers un gadget choisi.", c'est-à-dire un chemin de code.
Dans le cas présent, le nouvel exploit, appelé Native Branch History Injection (en référence à l'attaque BHI), peut être utilisé pour faire fuir la mémoire arbitraire du noyau Linux à une vitesse de 3,5 kB/sec en contournant les mesures d'atténuation existantes de Spectre v2/BHI.
Pour se protéger, le CERT/CC recommande d'appliquer les dernières mises à jour publiées par les éditeurs et précise ceci : "Les recherches actuelles montrent que les techniques d'atténuation existantes, à savoir la désactivation de l'eBPF privilégié et l'activation de l'IBT, sont insuffisantes pour empêcher l'exploitation de BHI contre le noyau/l'hyperviseur."
De son côté, Intel a mis à jour ses recommandations d'atténuation pour Spectre v2 et propose désormais de désactiver la fonctionnalité "Extended Berkeley Packet Filter" non privilégiée (eBPF), d'activer les fonctionnalités "Enhanced Indirect Branch Restricted Speculation" (eIBRS) et "Supervisor Mode Execution Protection" (SMEP).
Voici une vidéo de démonstration d'exploitation de cette vulnérabilité :
Qui est affecté par la vulnérabilité Spectre V2 ?
Le noyau Linux étant affecté, cette vulnérabilité va forcément impacter de nombreuses distributions. L'équipe de développement du noyau Linux mène actuellement des travaux pour trouver une solution. Mais, en fait, l'impact dépend aussi du matériel, car la vulnérabilité Spectre V2 affecte les processeurs Intel, et non les processeurs AMD.
D'un point de vue du système d'exploitation, si nous visitons le site de Debian, nous pouvons voir que les différentes versions sont vulnérables (Sid, Bookworm, Bullseye, Buster, etc.). SUSE Linux est également impactée, comme le mentionne cette page. Du côté de Red Hat Linux Enterprise, on affirme que l'eBPF non privilégié est désactivé par défaut, de sorte que le problème n'est pas exploitable dans les configurations standard.
Une liste publiée sur la page du CERT/CC permet d'accéder facilement aux liens des différents éditeurs et d'effectuer le suivi dans les prochains jours.
Finalement, cette nouvelle découverte souligne la difficulté de trouver un équilibre entre l'optimisation des performances et la sécurité, puisque ceci pourrait contraindre les utilisateurs à se passer de certaines fonctionnalités relatives au CPU.
Loire-Atlantique : la ville de Saint-Nazaire et son agglomération sont actuellement victimes d'une cyberattaque qui s'est déroulée dans la nuit du 9 au 10 avril 2024. Voici ce que l'on sait.
À cause d'une cyberattaque qui s'est déroulée dans la nuit du 9 au 10 avril 2024, les services de la Ville de Saint-Nazaire et de son agglomération sont paralysés : les agents sont injoignables, que ce soit par e-mail, ou par téléphone, depuis ce mercredi matin. De plus, les serveurs sont inaccessibles, tous les partages de fichiers et les applications métiers. Le site Internet de la ville, probablement hébergé ailleurs, reste accessible et un communiqué de presse a été publié.
Cette cyberattaque qualifiée d'attaque de "grande ampleur" impacte Saint-Nazaire, mais aussi les communes de Montoir-de-Bretagne, Donges, La Chapelle-des-Marais et Pornichet, puisqu'elles partagent les mêmes serveurs informatiques. De plus, la Sonadev et l’ADDRN (Agence pour le développement durable de la région nazairienne) sont également touchées par cette cyberattaque.
Depuis ce matin, les services informatiques sont sur le pont pour analyser l'ampleur de cette cyberattaque et rétablir les services impactés : "Les agents de la direction des systèmes d’information sont toutes et tous mobilisés pour rétablir au plus vite les outils de travail et le réseau sécurisé", peut-on lire.
Pour le moment, aucune information n'a été publiée quant à l'origine de cette attaque et nous ne savons pas non plus s'il s'agit d'un ransomware. Si vous disposez d'informations supplémentaires, n'hésitez pas à commenter cet article ou à me contacter.
BatBadBut, c'est le nom d'une nouvelle faille de sécurité critique découverte dans la bibliothèque Rust ! Elle pourrait être exploitée par un attaquant pour exécuter des commandes sur les machines sous Windows ! Faisons le point.
Cette vulnérabilité associée à la référence CVE-2024-24576 est considérée comme critique : son score CVSS est de 10 sur 10, ce qui représente le niveau de sévérité maximal.
Pour autant, cette faille de sécurité peut être exploitée uniquement dans des scénarios spécifiques : "La bibliothèque standard Rust n'échappait pas correctement les arguments lors de l'invocation de fichiers batch (avec les extensions bat et cmd) sous Windows à l'aide de l'API Command", peut-on lire dans le bulletin de sécurité publié sur le site de Rust, le 9 avril 2024. Ceci explique que la vulnérabilité soit exploitable uniquement sur Windows.
Pour exploiter cette vulnérabilité, l'attaquant doit contrôler les arguments transmis au processus créé au moment de l'invocation du fichier batch pour exécuter les commandes shell arbitraires, en contournant le mécanisme d'échappement (escaping).
Le chercheur en sécurité RyotaK de chez Flatt Security a fait la découverte de cette vulnérabilité présente dans toutes les versions de Rust avant la version 1.77.2. Si vous utilisez Rust, vous devez donc effectuer la mise à jour vers 1.77.2 car cette version corrige cette faille de sécurité (voir cette page).
Rust ne serait pas le seul langage affecté par BatBadBut
RyotaK a surnommé cette vulnérabilité BatBadBut, et d'après lui, Rust n'est pas le seul langage de programmation affecté : tout dépend de comment est géré la fonction CreateProcess de Windows.
"CreateProcess() crée implicitement cmd.exe lors de l'exécution de fichiers batch (.bat, .cmd, etc.), même si l'application ne les a pas spécifiés dans la ligne de commande. Le problème est que cmd.exe a des règles de parsing compliquées pour les arguments de la commande, et que les exécutions des langages de programmation ne parviennent pas à échapper correctement les arguments de la commande.", précise-t-il dans un rapport publié sur le site de Flatt Security.
Pour le moment, tous les langages de programmation affectés n'ont pas résolu le problème, et il y a un travail à réaliser également du côté développement pour mieux gérer l'échappement.
Voici un tableau récapitulatif publié par RyotaK :
Si vous êtes développeur, le rapport de RyotaK pourra vous apporter des détails techniques intéressants, notamment pour améliorer votre code afin de gérer ce problème de sécurité.
Mardi 9 avril 2024, Microsoft a publié la mise à jour KB5036893 pour les machines sous Windows 11 23H2 ! Elle apporte 29 modifications et permet aussi d'activer les nouveautés "Moment 5" pour l'ensemble des utilisateurs ! Faisons le point.
Depuis le 1er mars 2024, la mise à jour de fonctionnalités Moment 5 de Windows 11 est disponible. Pourtant, elle n'était pas distribuée à tous les utilisateurs, car il s'agissait d'une mise à jour optionnelle. Désormais, la nouvelle mise à jour KB5036893 va activer ces nouvelles fonctionnalités pour tout le monde. Pour en savoir plus sur les nouveautés qu'elle contient, vous pouvez lire notre article sur le sujet.
Mis à part cela, voici certains changements opérés par Microsoft :
Nouveauté : cette mise à jour modifie l'expérience de la zone de recherche Windows pour les utilisateurs de l'Espace économique Européen. Ceci doit être un changement en lien avec le Digital Markets Act, et pourrait vous permettre de choisir une alternative à Bing pour les recherches Web (à confirmer).
Nouveauté : cette mise à jour affecte Windows Hello for Business. Les administrateurs peuvent maintenant utiliser la gestion des appareils mobiles (MDM) pour désactiver l'invite qui apparaît lorsque les utilisateurs se connectent à une machine Entra-joined.
Nouveauté : cette mise à jour améliore l'hôte de la session Bureau à distance. Vous pouvez désormais configurer sa politique de "redirection du presse-papiers" pour qu'elle fonctionne dans un seul sens, de l'ordinateur local vers l'ordinateur distant. Vous pouvez également inverser cet ordre.
Correctif : cette mise à jour résout un problème qui empêche certaines applications et fonctionnalités d'être disponibles. Ce problème survient après la mise à niveau vers Windows 11.
Correctif : cette mise à jour résout un problème qui affecte les ressources réseau. Vous ne pouvez pas y accéder à partir d'une session "Bureau à distance". Cela se produit lorsque vous activez la fonction "Remote Credential Guard" et que la machine tourne sous Windows 11, version 22H2 ou supérieure.
Correctif : cette mise à jour résout un problème affectant certains NPU qui ne s'affichent pas dans le Gestionnaire des tâches de Windows.
Correctif : cette mise à jour résout un problème qui affecte le service de stratégie de groupe. Il échoue lorsque vous utilisez LGPO.exe pour appliquer une stratégie d'audit au système.
Pour consulter la liste de tous les changements, vous pouvez consulter cette page du site Microsoft.
À l'occasion de son Patch Tuesday d'Avril 2024, Microsoft a corrigé 150 failles de sécurité dans plusieurs produits et services, ainsi que deux failles zero-day dans Windows. Pour approfondir le sujet, voici nos articles :
Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.
Ce mardi 9 avril 2024, Microsoft a publié la mise à jour KB5036892 pour Windows 10 21H2 et Windows 10 22H2 dans le but d'apporter 23 changements et plusieurs nouveautés ! Faisons le point !
Au-delà d'intégrer des correctifs de sécurité, cette nouvelle mise à jour cumulative obligatoire pour Windows 10 apporte différents changements. Voici ceux mis en avant par Microsoft :
Nouveauté : cette mise à jour ajoute Windows Spotlight au fond d'écran, dans le but d'utiliser de nouvelles images récupérées sur Bing en tant que fond d'écran. Cette fonctionnalité peut être activée dans les paramètres de fond d'écran du système.
Nouveauté : cette mise à jour ajoute plus de contenu à votre écran de verrouillage. En plus de la météo, des informations sur les sports, la circulation et les finances s'afficheront. Cette fonctionnalité peut être activée dans les paramètres d'écran de verrouillage du système.
Nouveauté : cette mise à jour modifie l'expérience de la zone de recherche Windows pour les utilisateurs de l'Espace économique Européen. Ceci doit être un changement en lien avec le Digital Markets Act, et pourrait vous permettre de choisir une alternative à Bing pour les recherches Web (à confirmer).
Nouveauté : cette mise à jour affecte Windows Hello for Business. Les administrateurs peuvent maintenant utiliser la gestion des appareils mobiles (MDM) pour désactiver l'invite qui apparaît lorsque les utilisateurs se connectent à une machine Entra-joined.
Correctif : cette mise à jour résout un problème qui affecte le clavier tactile. Il arrive qu'il ne s'ouvre pas.
Il est à noter qu'après l'installation de cette mise à jour, Windows 10 va vous inviter à passer à Windows 11, à condition que votre appareil soit éligible pour la mise à niveau. Ce message s'affichera au moment de la connexion à une session.
Pour en savoir plus sur tous les bugs corrigés, consultez la page dédiée à la mise à jour KB5035941 publiée le 26 mars 2024. Il s'agit de la mise à jour optionnelle donnant un aperçu des changements apportés par Microsoft avec la nouvelle mise à jour KB5036892 et, elle fait office de "journal des modifications".
À l'occasion de son Patch Tuesday d'Avril 2024, Microsoft a corrigé 150 failles de sécurité dans plusieurs produits et services, ainsi que deux failles zero-day dans Windows. Pour approfondir le sujet, voici nos articles :
Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.
Pour rappel, le support de Windows 10 21H2 Enterprise, Windows 10 Enterprise multi-session et Windows 10 Education prendra fin en juin prochain :
À l'occasion de son Patch Tuesday d'avril 2024, Microsoft a corrigé deux failles de sécurité zero-day dans Windows. Elles sont déjà connues des attaquants et exploitées dans le cadre de cyberattaques. Faisons le point sur ces deux menaces !
Pour rappel, le Patch Tuesday d'avril 2024 de Microsoft permet de corriger au total 150 failles de sécurité, ainsi que les deux zero-day évoquées dans cet article.
CVE-2024-26234 - Vulnérabilité dans le pilote de Proxy de Windows (spoofing)
En décembre 2023, l'équipe de chercheurs en sécurité Sophos X-Ops a fait la découverte de cette faille de sécurité dans le pilote de Proxy de Windows. Elle a été reportée à Microsoft par l'intermédiaire de Christopher Budd. Cette vulnérabilité permet d'usurper l'identité de l'éditeur de Microsoft, car elle permet de signer un pilote ou un exécutable avec le certificat "Microsoft Hardware Publisher". Un certificat valide et approuvé par le système d'exploitation Windows.
C'est en effectuant l'analyse d'un exécutable nommé "Catalog.exe" émanant de "Catalog Thales" et décrit comme "Catalog Authentication Client Service" que Sophos a fait la découverte de ce problème de sécurité. Il s'agit sans aucun doute d'une tentative d'usurpation d'identité du groupe Thales, tentée par les pirates.
"Toutefois, après avoir consulté nos données internes et les rapports de VirusTotal, nous avons découvert que le fichier était auparavant intégré à un fichier d'installation pour un produit appelé LaiXi Android Screen Mirroring", peut-on lire dans le rapport publié par Sophos. Ceci est cohérent vis-à-vis d'une découverte effectuée également par les équipes de Stairwell, comme nous pouvons le voir dans ce rapport.
Sophos n'est pas parvenu à savoir si cette application provenait d'un éditeur légitime ou non, mais "nous sommes convaincus que le fichier que nous avons examiné est une porte dérobée malveillante.", précise leur rapport.
Ensuite, Sophos a pris contact avec l'équipe du Microsoft Security Response Center dans le but de signaler ce problème de sécurité. Microsoft a pris la décision de révoquer le certificat de signature de code utilisé par les pirates, grâce à la mise à jour de la liste de révocation (d'où la CVE-2024-26234 et le correctif associé.
CVE-2024-29988 - Vulnérabilité dans la fonction SmartScreen de Windows (bypass)
La vulnérabilité CVE-2024-29988 est présente dans la fonction de sécurité SmartScreen de Windows. Elle met en défaut le mécanisme de protection visant à protéger l'utilisateur contre l'exécution de fichiers potentiellement dangereux. La protection SmartScreen peut être contournée par cette vulnérabilité. Ainsi, elle ouvre la porte à l'exécution de malwares.
Ce problème de sécurité n'est pas nouveau, car il s'avère que la vulnérabilité CVE-2024-29988 permet de contourner le correctif CVE-2024-21412 précédemment mis au point par Microsoft (correctif publié en février 2024), qui lui-même permettait de bypasser le correctif CVE-2023-36025. Il s'avère que le précédent patch n'a pas corrigé totalement la vulnérabilité. Elle a été découverte par Peter Girnus de l'équipe Trend Micro Zero Day Initiative, ainsi que Dmitrij Lenz et Vlad Stolyarov de l'équipe Google Threat Analysis Group.
D'après Dustin Childs de l'équipe Trend Micro Zero Day Initiative (voir cette page), cette vulnérabilité est activement utilisée dans des attaques pour déployer des logiciels malveillants sur les machines Windows, en échappant aux systèmes de détection EDR/NDR et contournant la fonction "Mark of the Web" sur laquelle s'appuie SmartScreen, grâce à l'utilisation d'un fichier ZIP.
D'ailleurs, le groupe de pirates Water Hydra a exploité la vulnérabilité CVE-2024-21412 et il exploite désormais la CVE-2024-29988 dans le but d'infecter l'appareil des victimes avec le malware DarkMe, qui est un cheval de Troie d'accès à distance (RAT). Ce groupe cible en priorité les forums et canaux Telegram de forex.
Le mardi 9 avril 2024, Microsoft a dévoilé son nouveau Patch Tuesday qui va permettre de corriger 150 failles de sécurité, ainsi que 2 zero-day ! Faisons le point sur ce "très gros Patch Tuesday" d'avril 2024 !
Même si ce Patch Tuesday corrige 150 vulnérabilités dans les différents produits de Microsoft, il n'y a que 3 failles de sécurité critiques alors que 67 d'entres elles permettent une exécution de code à distance (RCE). Les trois failles de sécurité critiques ont été corrigées dans Microsoft Defender for IoT : CVE-2024-29053, CVE-2024-21323 et CVE-2024-21322.
Bien d'autres produits et services de chez Microsoft sont concernés par ce nouveau Patch Tuesday, notamment Azure (Azure Arc, Azure Migrate, Azure Monitor, Azure SDK, etc.), Microsoft Office (Outlook, Excel, SharePoint), le rôle "Serveur DNS" (7 vulnérabilités), le rôle "Hyper-V", SQL Server, le rôle "Serveur DHCP" (4 vulnérabilités) et Windows (BitLocker, Windows Defender Credentials Guard, Kerberos, le composant LSASS, le Secure Boot ou encore le noyau de Windows). De plus, Microsoft a corrigé 5 failles de sécurité dans son navigateur Edge.
Deux failles de sécurité zero-day
Microsoft a corrigé deux failles de sécurité zero-day et il s'avère qu'elles sont activement exploitées dans des attaques de logiciels malveillants. Pour en savoir plus sur cette vulnérabilité, vous pouvez lire cet article où nous apportons des détails supplémentaires :
CVE-2024-26234 - Vulnérabilité dans le pilote de Proxy de Windows (spoofing)
La faille de sécurité CVE-2024-26234 a été remontée à Microsoft par Christopher Budd de chez Sophos. D'ailleurs, Sophos a indiqué que cette vulnérabilité était associée à un pilote malveillant étant signé avec un certificat "Microsoft Hardware Publisher" valide, ce qui lui permet d'être approuvé par le système d'exploitation Windows.
Ce pilote malveillant et signé a été utilisé dans le cadre de cyberattaques pour déployer une porte dérobée (backdoor) sur les machines compromises. Sans surprise, compte tenu de l'origine de ce problème de sécurité, toutes les versions de Windows et Windows Server sont affectées (à partir de Windows Server 2008), y compris les plus récentes.
CVE-2024-29988 - Vulnérabilité dans la fonction SmartScreen de Windows (bypass)
Microsoft semble avoir des difficultés à corriger une faiblesse de longue date dans la fonction de sécurité SmartScreen de Windows. En effet, Microsoft a déjà publié plusieurs correctifs, mais à chaque fois, le patch parvient à être contourné. Ainsi, la faille de sécurité CVE-2024-29988 permet de bypasser le correctif CVE-2024-21412, qui lui-même permettait de bypasser le correctif CVE-2023-36025. Ceci permet d'ouvrir des fichiers malveillants sur la machine sans déclencher le filtre SmartScreen, c'est-à-dire qu'il n'y a pas de fenêtre d'avertissement pour demander à l'utilisateur de confirmer l'ouverture du fichier.
Le groupe de pirates Water Hydra a fait usage de cette vulnérabilité dans SmartScreen dans le cadre de cyberattaques ayant pour objectif d'infecter l'appareil des victimes avec le malware DarkMe, qui est un cheval de Troie d'accès à distance (RAT).
Versions affectées : Windows 10 Version 1809 et versions supérieures et Windows Server 2019 et versions supérieures.
Les mises à jour pour Windows 10 et Windows 11
Pour en savoir plus sur les nouvelles mises à jour pour Windows 10 et Windows 11, retrouvez nos deux articles :
Google a finalisé son nouveau réseau "Localiser mon appareil" et le déploiement est en cours sur certains smartphones ! Voici ce qu'il faut savoir sur cette nouveauté à destination des utilisateurs d'Android !
Il y a près d'un an, à l'occasion de sa conférence Google I/O 2023, la firme de Mountain View avait dévoilé la nouvelle version de son réseau "Localiser mon appareil", ou "Find my device" en anglais, dans le but de proposer quelque chose d'équivalent au réseau "Localiser" d'Apple. Il va être capable de s'appuyer sur des millions d'appareils Android (sous Android 9 ou version ultérieure), en s'appuyant sur le Bluetooth.
Google souhaite que ce réseau fonctionne sur tous les appareils Android équipés des services Google Play. En utilisant les smartphones comme balises relais, il va permettre à terme de localiser d'autres appareils à proximité, notamment des trackers Bluetooth, des écouteurs sans-fil, des enceintes sans-fil, ou encore des montres connectées.
Pour que ce projet puisse aboutir, Google et Apple ont dû travailler main dans la main afin d'intégrer les protections nécessaires pour détecter les trackers Bluetooth indésirables (un mouchard placé dans un sac, alors qu'il ne vous appartient pas, par exemple). Ces travaux semblent finalisés puisque Google a commencé à déployer le nouveau réseau "Localiser mon appareil" sur certains smartphones Android.
Le déploiement a commencé aux États-Unis et au Canada
Ces dernières heures, Google a lancé son nouveau réseau "Localiser mon appareil" aux États-Unis et au Canada. En Europe, nous allons devoir attendre.
Dans un premier temps, il permet de localiser les smartphones et tablettes Android égarés, puis Google devrait ajouter la prise en charge des casques audio un peu plus tard... Quant à la prise en charge des trackers Bluetooth tiers, elle est prévue pour le mois de mai 2024, notamment pour ceux de Pebblebee et Chipolo. D'autres fabricants devraient également proposer des trackers compatibles.
Source : Google
Si vous utilisez un Pixel 8 ou Pixel 8 Pro, sachez que Google a prévu un petit bonus : la possibilité de localiser l'appareil même lorsqu'il est éteint ou qu'il n'a plus de batterie. De façon générale, pour utiliser cette fonctionnalité, l'application "Localiser mon Appareil" doit être utilisée. Il y a plusieurs modes de fonctionnement, notamment pour indiquer si vous souhaitez participer ou non à ce réseau.
Enfin, Google a mis en ligne un article complet pour aborder la sécurité et la confidentialité de son réseau "Localiser mon appareil". L'entreprise américaine souhaite rassurer ses utilisateurs et elle affirme que les données de localisation sont chiffrées de bout en bout. Vous pouvez aussi retrouver l'annonce de Google sur cette page.
Connexion
