FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 17 janvier 2022Flux principal

Microsoft a corrigé une vulnérabilité wormable dans Windows HTTP

17 janvier 2022 à 16:07

À l'occasion du Patch Tuesday de janvier 2022, Microsoft a corrigé la vulnérabilité CVE-2022-21907 au sein de l'implémentation du protocole HTTP. Cette faille critique est wormable, ce qui signifie qu'elle est exploitable par un ver informatique.

La CVE-2022-21907 est une faille de sécurité de type "exécution de code à distance" au sein de l'implémentation du protocole HTTP (http.sys), et elle touche les versions récentes de Windows (desktop) et Windows Server. Par "versions récentes", j'entends Windows 10 à partir de la version 1809 (sauf la version Windows 10 version 1909), Windows 11, Windows Server 2019 et Windows Server 2022. Pour les deux versions de Windows Server, les installations "core" c'est-à-dire sans interface graphique sont également touchées.

Le fichier http.sys est utilisé par les serveurs Web IIS (Internet Information Services) pour être en écoute et traiter les requêtes HTTP. Une personne malveillante pourrait envoyer une requête malicieuse à destination du serveur Web afin d'exploiter cette faille de sécurité. En exploitant cette faille de sécurité, l'attaquant peut réussir à exécuter du code malveillant sur le serveur cible. Néanmoins, http.sys n'est pas un composant de IIS, mais de Windows, donc un autre programme peut très bien s'appuyer sur ce composant "http.sys" et exposer la machine.

La question que l'on se pose, c'est : comment protéger ses serveurs et ses postes ? La solution est simple, c'est d'installer les dernières mises à jour de Windows puisque cette faille de sécurité est corrigée dans le Patch Tuesday de janvier 2022, mais attention aux dommages collatéraux.

En effet, même s'il y a peu de chance que vous soyez passé à côté de l'information, sachez que les dernières mises à jour pour Windows 10, Windows 11 et Windows Server ont créé d'énormes problèmes sur les postes de travail (VPN) et surtout les serveurs (contrôleur de domaine, Hyper-V, volumes ReFS).

Microsoft explique que, par défaut, Windows Server 2019 et Windows 10 version 1809 ne sont pas vulnérables, à moins que la fonctionnalité HTTP Trailer Support soit activée sur la machine. Si c'est le cas, il faut supprimer la clé de Registre "EnableTrailerSupport" sous "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters".

Si vous ne souhaitez pas installer la mise à jour dès maintenant (ce que je peux comprendre) et que vous êtes sûr qu'aucun service Web ne tourne sur vos machines, vous pouvez bloquer temporairement "http.sys" à l'aide d'une clé de Registre spécifique afin de protéger vos machines. La marche à suivre est expliquée par Sophos sur cette page (section "What to do ?").

Cette faille de sécurité peut être exploitée sans interaction de la part de l'utilisateur, ce qui signifie qu'un serveur infecté pourrait lui-même infecter une autre machine vulnérable, et ainsi de suite... C'est pour cela que l'on dit que la vulnérabilité est wormable.

Source

The post Microsoft a corrigé une vulnérabilité wormable dans Windows HTTP first appeared on IT-Connect.

Comment mettre en place le MFA sur Office 365 ?

17 janvier 2022 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment mettre en place l'authentification multifacteur (MFA) au sein d'Office 365. Les informations de cet article pourront vous aider également si vous utilisez Azure AD sans Office 365.

Je vais commencer par quelques rappels sur l'authentification multifacteur et les licences nécessaires (ou non), avant de parler de la mise en œuvre technique du MFA avec Office 365.

II. Rappel sur l'authentification multifacteur

Lorsqu'un utilisateur se connecte à un compte, que ce soit sur Office 365 ou un autre site, et bien il doit saisir son mot de passe personnel afin de s'authentifier. Grâce à l'authentification multifacteur, l'utilisateur devra définir une seconde méthode d'authentification afin de se connecter à son compte : le mot de passe seul ne suffira plus. Par exemple, l'utilisateur devra saisir son mot de passe puis un code reçu par SMS (en guise de second facteur d'authentification).

Même si l'on parle d'un avenir sans mot de passe, il est fortement recommandé de mettre en place l'authentification multifacteur afin de renforcer la sécurité des accès.

Pour utiliser l'authentification multifacteur, il faut :

  • Un élément que vous connaissez : votre mot de passe
  • Un élément unique que vous possédez : votre numéro de téléphone portable pour recevoir un code par SMS, une application d'authentification, une clé de sécurité (celles de chez Yubico sont assez populaires !) ou un jeton matériel
  • Un élément biométrique que vous possédez : l'empreinte digitale ou la reconnaissance faciale

Vous l'aurez compris, il faudra utiliser la combinaison de votre mot de passe et de l'un des facteurs évoqués ci-dessus. Parmi les méthodes d'authentification disponibles chez Microsoft, vous avez plusieurs choix possibles :

  • L'application d'authentification Microsoft Authenticator (ou équivalent) pour générer des codes à usage unique
  • Le numéro de téléphone afin de recevoir un code à usage unique par SMS
  • Le numéro de téléphone afin de recevoir un appel téléphonique automatique pour confirmer l'authentification via l'appui sur une touche spécifique
  • La clé de sécurité (ou le jeton matériel) qui doit être connecté sur votre poste afin de valider l'authentification

III. Office 365 : faut-il une licence pour le MFA ?

Sur le Cloud Microsoft, de nombreuses fonctionnalités sont soumises à l'utilisation d'une licence spécifique. Dans certains cas, les licences additionnelles permettent de débloquer des options supplémentaires. En fait, c'est le cas du MFA puisque c'est une fonctionnalité gratuite, mais avec des options limitées.

Pour bénéficier de fonctionnalités ou de plus de méthodes d'authentification, il faut recourir à des licences spécifiques. Avec Office 365, on est plutôt bien servi, ce qui n'est pas forcément le cas pour une utilisation d'Azure AD sans Office 365.

Sur son site, Microsoft propose un tableau de synthèse qui permet d'y voir plus clair à ce sujet, voici le lien : Microsoft Docs - Licensing MFA

Office 365 : licensing MFA
Office 365 : licensing MFA

Sur un tenant Office 365, l'utilisation d'une licence Azure AD Premium P1 ou P2 permettra d'accéder à des fonctionnalités supplémentaires, comme les rapports d'utilisation du MFA. Cette licence doit être attribuée aux utilisateurs en plus de leur licence Office 365, ce qui va forcément ajouter des coûts supplémentaires. En fait, tout dépend des fonctionnalités dont vous avez besoin. Malgré tout, je tiens à (re)préciser que le MFA en lui-même est inclus de base avec les licences Office 365.

Note : la licence Azure AD Premium P1 intègre d'autres fonctionnalités intéressantes comme le portail de réinitialisation du mot de passe en libre-service.

Au sein d'Office 365, l'authentification multifacteur s'applique à toutes les applications Office 365. Par exemple, cela s'applique au portail Office 365, à la connexion via le client OneDrive ou encore au sein d'Outlook. Par contre, l'authentification sur un poste Windows avec un compte Office 365 ne sera pas protégée par le MFA.

Passons maintenant à la mise en œuvre du MFA.

IV. MFA et les options de sécurité par défaut

Dans la documentation de Microsoft, on peut lire : "Si votre locataire (tenant) a été créé le 22 octobre 2019 ou à une date ultérieure, il est possible que les paramètres de sécurité par défaut soient activés dans votre locataire.". Avec les paramètres de sécurité par défaut, le MFA est automatiquement activé sur l'ensemble des utilisateurs. Lors de la mise en route d'un tenant Office 365, il est courant de désactiver cette option... Je vous invite à vérifier l'état de cette option via le portail Microsoft Azure.

Sur ce portail, accédez à Azure Active Directory et cliquez sur "Propriétés" dans le menu à gauche.

Ensuite, descendez dans la page, tout en bas, afin de trouver le lien "Gérer les paramètres de sécurité par défaut". Cliquez sur le lien, un panneau latéral va s'ouvrir et vous allez voir l'état de l'option "Activer les paramètres de sécurité par défaut". Afin de réaliser un déploiement progressif du MFA auprès de vos utilisateurs, cette option doit être désactivée sinon vous n'avez pas le contrôle.

Paramètres de sécurité par défaut : MFA
Paramètres de sécurité par défaut : MFA

Par exemple, lorsque cette option est activée, un message s'affiche à la connexion "Microsoft a activé les paramètres de sécurité par défaut pour garantir la sécurité de votre compte.".

Nous allons voir comment gérer le MFA au niveau des utilisateurs Office 365.

V. Configurer le MFA sur Office 365

Cette fois-ci, rendez-vous sur le portail Office 365 (ou voir ci-dessous la seconde copie d'écran). Sous le menu "Utilisateurs", cliquez sur "Utilisateurs actifs" et une fois que la page est chargée, cliquez sur le bouton "Authentification multifacteur". Un nouvel onglet dédié au MFA va s'ouvrir.

Accès à la configuration du MFA via Office 365
Accès à la configuration du MFA via Office 365

Ce menu est également accessible à partir du portail Azure. Pour cela, au sein d'Azure Active Directory, cliquez sur "Utilisateurs" puis "Tous les utilisateurs". Sur la droite, un bouton "MFA par utilisateur" sera proposé dans le même esprit que sur l'interface Office 365.

Accès à la configuration du MFA via Azure AD
Accès à la configuration du MFA via Azure AD

Avant d'activer le MFA sur un ou plusieurs utilisateurs, nous allons regarder les paramètres. Pour cela, cliquez sur l'onglet "Paramètres du service". J'attire votre attention sur plusieurs paramètres :

  • Mots de passe application : je vous recommande de désactiver cette option afin d'empêcher la génération de mots de passe d'application, car cela permet de contourner le MFA. Attention tout de même, si vous avez besoin de vous authentifier sur des appareils spécifiques ou des applications qui ne prennent pas en charge le MFA, vous êtes contraint de laisser l'option activée.
  • Mémoriser multi-factor authentication sur un appareil approuvé : dans un monde idéal, il faudrait que l'utilisateur se réauthentifie avec son mot de passe et son second facteur à chaque fois. À l'usage, c'est différent et cela risque d'être contraignant pour les utilisateurs surtout s'il s'agit du poste qu'un utilisateur utilise tous les jours... En activant cette option, vous pouvez autoriser l'ajout du poste dans la liste de confiance de l'utilisateur pour une durée spécifique (modifiable et par défaut de 90 jours). Ainsi, il pourra se connecter uniquement avec son mot de passe pendant X jours sur ce poste.
Configuration de l'authentification multifacteurs dans Office 365
Configuration de l'authentification multifacteur dans Office 365

Ces paramètres sont modifiables ultérieurement. Une fois votre choix effectué, cliquez sur "Enregistrer".

Basculez sur l'onglet "Utilisateurs", car c'est à cet endroit que vous allez pouvoir activer ou désactiver le MFA sur un ou plusieurs utilisateurs.

Plusieurs options sont possibles pour gérer le MFA :

En sélectionnant les utilisateurs dans la liste et en cliquant sur "Activer" à droite, comme sur l'exemple ci-dessous avec un seul compte.

Activer le MFA sur un utilisateur dans Office 365
Activer le MFA sur un utilisateur dans Office 365

Une fenêtre de confirmation va apparaître où il sera nécessaire de cliquer sur "Activer multi-factor authentication". Le lien "https://aka.ms/MFASetup" permet aux utilisateurs d'enregistrer leurs facteurs additionnels, mais de toute façon ce sera proposé à la prochaine connexion Web.

Le MFA va être activé uniquement sur l'utilisateur que j'ai sélectionné, en complément de ceux où le MFA est potentiellement déjà actif. Pour avoir ce contrôle par utilisateur, je vous rappelle qu'il faut désactiver les options de sécurité par défaut.

Pour éviter de le faire en mode graphique avec des cases à cocher, vous pouvez utiliser le mode "Bulk" qui s'appuie sur un CSV. Pour cela, il faut cliquer sur le bouton "Mettre à jour en bloc" et télécharger un modèle de CSV qu'il faudra ensuite charger. Ce fichier est assez simple, il suffit d'indiquer deux champs : le nom d'utilisateur et le statut souhaité pour le MFA. Voici l'exemple officiel :

Username, MFA Status
[email protected], Enabled
[email protected], Disabled
[email protected], Disabled
[email protected], Enabled
[email protected], Enabled

Une autre alternative consiste à utiliser PowerShell, mais j'aborderais ce point au sein d'un article dédié. 🙂

Lorsque l'utilisateur se connectera la prochaine fois, il devra définir un second facteur d'authentification, par exemple un numéro de téléphone afin de recevoir un SMS. Si vous avez activé l'option qui permet d'approuver les appareils, une option supplémentaire sera proposée au moment de s'authentifier :

Office 365 - Connexion MFA avec approbation d'un appareil
Office 365 - Connexion MFA avec approbation d'un appareil

VI. Conclusion

Suite à la lecture de ce tutoriel, vous êtes en mesure de mettre en place l'authentification multifacteur sur votre tenant Office 365. Même s'il est possible d'aller plus loin, en activant certaines fonctionnalités ou en s'appuyant sur PowerShell, cela vous permettra d'activer le MFA auprès d'un ou plusieurs utilisateurs.

Finalement, le plus compliqué ce n'est pas la partie technique, mais plutôt la gestion du changement auprès des utilisateurs. Pensez à bien communiquer auprès de vos utilisateurs avant l'activation, car ils auront besoin d'un minimum d'encouragement et d'accompagnement pour appréhender cette nouvelle sécurité.

Pour vous roder, vous pouvez activer le MFA sur les comptes avec des privilèges élevés dans un premier temps. Ensuite, sur un groupe pilote de quelques utilisateurs afin d'y aller progressivement. Rassurez-vous, tout va bien se passer ! 🙂

D'autres articles seront publiés au sujet du MFA sur Office 365 : restez connectés !

The post Comment mettre en place le MFA sur Office 365 ? first appeared on IT-Connect.

Le groupe de hackers REvil démantelé : 14 personnes arrêtées

17 janvier 2022 à 08:50

C'est une information très importante en matière de cybersécurité : le FSB a procédé à l'arrestation de 14 membres du groupe de hackers REvil, à l'origine de nombreuses cyberattaques notamment avec un ransomware du même nom.

Pour venir à bout du groupe de hackers REvil, il y a eu une collaboration entre les États-Unis et la Russie (ce qui pourrait surprendre) ! En effet, ce sont les autorités américaines qui ont pris contact avec le FSB, c'est-à-dire le Service fédéral de sécurité de la Fédération de Russie, afin de permettre le démantèlement du groupe de hackers REvil.

Depuis plusieurs mois, ce groupe de cybercriminels est dans le viseur de nombreux pays. D'ailleurs, en novembre dernier, les États-Unis annonçaient la couleur puisqu'une récompense pouvant atteindre 10 millions de dollars était promise à tout individu qui permettrait d'identifier ou de localiser une personne ayant une position clé au sein du groupe criminel REvil. Cela fait un moment que la pression monte et que l'étau se resserre, ce qui a permis d'identifier les membres et de planifier une vaste opération d'arrestations.

Lors de cette opération, le FSB a interpelé 14 membres du groupe REvil et 25 lieux de résidence ont été perquisitionnés, principalement dans les villes de Moscou et Saint-Pétersbourg. Sur les lieux, ils ont pu saisir une quantité d'argent en liquide assez impressionnante : pas moins de 460 millions de roubles (soit plus de 5 millions d'euros), 600 000 dollars et 500 000 euros. Ce n'est pas tout, puisque des objets et voitures de luxe ont pu être saisis, des portefeuilles cryptographiques, ainsi du matériel informatique bien sûr. Au sein de la vidéo ci-dessous, vous pouvez voir un aperçu de cette opération menée sur le terrain par le FSB :

Même si cette arrestation est une excellente nouvelle, car le groupe REvil a fait de nombreuses victimes et beaucoup de tords à certaines entreprises, il reste encore énormément de travail compte tenu de la quantité de groupes de cybercriminels toujours en activité.

The post Le groupe de hackers REvil démantelé : 14 personnes arrêtées first appeared on IT-Connect.

CES 2022 : Ecovacs Deebot X1 Omni, un robot multifonction

17 janvier 2022 à 07:00

À l'occasion du CES de Las Vegas, Ecovacs Robotics a présenté son nouvel aspirateur robot haut de gamme : le Deebot X1 Omni. Un modèle qui a remporté le prix de l'innovation au CES 2022 !

L'année commence bien pour Ecovacs Robotics : son nouvel aspirateur robot, le Deebot X1 Omni, a déjà reçu une récompense. On peut dire que cela récompense le travail d'Ecovacs puisque l'entreprise cherche toujours à innover pour proposer des appareils toujours plus aboutis. Quelles sont les nouveautés réservées par Ecovacs pour son nouveau modèle phare ?

Ecovacs Deebot X1 Omni

Tout d'abord, on peut voir qu'il y a du travail au niveau de la finition et du design, notamment au niveau de la station de charge. Pour cela, Ecovacs a collaboré avec une célèbre marque dans le domaine de l'audiovisuel : Bang & Olufsen. Surprenant, d'un côté.

Comme le modèle Deebot Ozmo T8, le Deebot X1 Omni est équipé d'un capteur laser et de la technologie AIVI 3D qui va lui permettre d'identifier et de reconnaître les objets, notamment les câbles, les chaussures, etc.... En fait, la véritable nouveauté de ce robot est ailleurs et elle se nomme YIKO.

Qu'est-ce que YIKO ? Et bien, il s'agit d'une intelligence artificielle directement intégrée au robot afin de le rendre pilotable à la voix sans passer par Amazon Alexa ou Google Assistant. Autrement dit, votre robot peut reconnaître votre voix et être piloté à distance par la voix, sans s'appuyer sur un service externe, car il intègre cette fonction via YIKO.

Ensuite, Ecovacs a fait évoluer la station de charge puisqu'il a repris le principe introduit sur le Yeedi Mop Station (une marque de chez Ecovacs), à savoir une station avec deux réservoirs d'eau : un pour l'eau propre et un pour l'eau usagée. Grâce à l'eau propre, les patins de lavage du système OZMO Turbo 2.0 sont nettoyés tandis que le second réservoir sert à collecter l'eau utilisée pour ces opérations de nettoyage. Les patins de lavage sont là pour véritablement laver le sol grâce à une rotation pouvant atteindre 180 tours par minute.

En complément, et ça la station du modèle Yeedi ne l'avait pas, cette station de charge intègre un réservoir pour collecter la poussière (ce que l'on connaissait sur d'autres modèles Deebot).

Disponible à partir d'avril 2022, l'Ecovacs Deebot X1 Omni sera disponible au prix de 1 499 euros.

The post CES 2022 : Ecovacs Deebot X1 Omni, un robot multifonction first appeared on IT-Connect.

Le ransomware Qlocker s’en prend encore aux NAS QNAP

17 janvier 2022 à 07:37

Qlocker est de retour ! Une seconde campagne d'attaques, à l'échelle mondiale, est en cours afin de compromettre puis chiffrer le contenu des NAS QNAP !

En avril 2021, Qlocker avait déjà fait parler de lui, car il avait fait plusieurs centaines de victimes, en seulement quelques jours. Résultat, les pirates informatiques avaient empoché environ 260 000 dollars en 5 jours grâce à Qlocker et aux rançons payées par les victimes (environ 500 dollars à chaque fois, pour chaque victime). Pour compromettre les NAS, il exploite des vulnérabilités connues et corrigées par QNAP. Le problème, c'est que certains NAS ne sont pas patchés par leur propriétaire : à partir de là, l'appareil devient vulnérable s'il est exposé sur Internet.

Pour rappel : le ransomware Qlocker présente la particularité de s'appuyer sur un outil que l'on connaît tous pour chiffrer les données : 7-Zip. En effet, Qlocker utilise 7-Zip pour déplacer les données au sein d'archives 7z protégées par un mot de passe.

Depuis le 6 janvier 2022, Qlocker est de retour et des attaques contre les NAS QNAP exposés sur Internet sont menées au niveau mondial. Lorsque les données de votre NAS se retrouvent chiffrées par Qlocker, un fichier nommé !!!READ_ME.txt est déposé et ce dernier contient les informations "utiles" comme l'adresse à utiliser pour payer la rançon. Le montant de la rançon se situe entre 0,02 et 0,03 bitcoin, soit entre 750 et 1120 euros. Le montant de la rançon est plus élevé que l'année dernière.

En s'appuyant sur les données du site ID-Ransomware, on peut voir un regain d'activité pour Qlocker, ce qui correspond au début de la campagne 2022.

Qlocker 2022 QNAP

L'année dernière, lors de la première campagne d'attaque, QNAP avait réagi en publiant un outil baptisé Qlocker Inspector. Une fois installé, ce paquet va analyser le journal de Malware Remover dans le but de récupérer le mot de passe permettant de déverrouiller l'archive 7-Zip créé par Qlocker. Pour le moment, nous ne savons pas s'il fonctionne pour les victimes de "Qlocker version 2022".

Quoi qu'il en soit, pensez à maintenir le système du NAS bien à jour, tout comme les paquets qu'il faut maintenir à jour. Pour renforcer la sécurité de votre NAS QNAP, vous pouvez suivre les conseils du fabricant disponibles sur cette page : Sécurisation QNAP. Cela est d'autant plus important que les appareils QNAP sont régulièrement la cible d'autres ransomwares comme eChoraix.

Source

The post Le ransomware Qlocker s’en prend encore aux NAS QNAP first appeared on IT-Connect.
À partir d’avant-hierFlux principal

Microsoft retire les mises à jour de janvier pour Windows Server

14 janvier 2022 à 07:51

De nombreuses machines sous Windows Server plantent suite à l'installation des mises à jour de janvier 2022, alors pour limiter les dégâts Microsoft a pris la décision d'arrêter la diffusion des mises à jour problématiques.

En début de semaine, Microsoft a publié les mises à jour de janvier 2022 pour ses différents OS et logiciels, et tout ne se passe pas comme prévu une fois les mises à jour installées sur certains serveurs. Pour rappel, voici les trois problèmes :

  • Le service Hyper-V ne démarre plus donc il n'est plus possible de lancer les machines virtuelles
  • Les contrôleurs de domaine redémarrent en boucle
  • Les volumes ReFS sont inaccessibles sur les serveurs

Alors que tout semble plutôt bien se passer pour Windows Server 2016, ce n'est pas le cas pour Windows Server 2012, Windows Server 2012 R2, Windows Server 2019 et Windows Server 2022. De ce fait, trois mises à jour sont identifiées comme étant problématiques :

  • Windows Server 2012 R2 : KB5009624
  • Windows Server 2019 : KB5009557
  • Windows Server 2022 : KB5009555

Suite aux nombreux retours et au mécontentement des utilisateurs, Microsoft a pris la décision d'arrêter la diffusion des mises à jour de janvier pour Windows Server, y compris pour Windows Server 2016. On peut imaginer que la firme de Redmond souhaite stopper l'hémorragie... Et se donner un peu de temps pour trouver une solution fiable.

Même si les mises à jour semblent toujours disponibles via le Microsoft Catalog, il est fortement recommandé de temporiser avant de passer à l'installation. Si c'est déjà trop tard, la seule solution consiste à désinstaller la mise à jour qui pose problème.

Les mises à jour pour Windows 10 et Windows 11 semblent toujours diffusées, même si elles font planter les connexions VPN L2TP.

Ne reste plus qu'à attendre des informations officielles de la part de Microsoft au sujet de ces différents bugs. Il faut avouer que l'on aimerait aussi des explications pour savoir ce qu'il s'est passé exactement.

Source

The post Microsoft retire les mises à jour de janvier pour Windows Server first appeared on IT-Connect.

Ce matin, Firefox ne fonctionne plus : comment régler le problème ?

13 janvier 2022 à 11:33

Chose assez surprenante ce matin : tous les utilisateurs de Firefox ne peuvent plus accéder au moindre site à partir de leur navigateur ! Que se passe-t-il ?

La cause se situe au sein de Firefox 96, la toute dernière version du navigateur et de ce fait cela touche tout le monde, ou en tout cas toutes les personnes qui utilisent ce navigateur. Avec un autre navigateur, pas de soucis.

Rassurez-vous, ce ne sera pas utile de basculer sur Chrome ou Edge puisqu'il existe une solution, enfin même deux solutions ! Pour arriver jusqu'ici et trouver la solution, il sera peut-être utile de dégainer un autre navigateur malgré tout.

Pour solutionner ce problème, voici deux solutions à tester :

Firefox - Désactiver la collecte de données

Ouvrez le navigateur Firefox et saisissez l'adresse suivante dans la barre d'adresse (raccourcis vers les préférences dans la section "Vie privée et sécurité") :

about:preferences#privacy

Descendez dans la page jusqu'à la section "Collecte de données par Firefox et utilisation" et désactivez les différentes options, comme ceci :

Bug Firefox 96

Redémarrez le navigateur et le tour est joué.

Firefox - Désactiver HTTP/3

Cette fois-ci, dans la barre d'adresse saisissez ceci pour accéder à la configuration avancée :

about:config

Cliquez sur "Accepter le risque et poursuivre" puis recherchez la préférence suivante :

network.http.http3.enabled

Passez ce paramètre sur "false" en double-cliquant dessus afin de désactiver HTTP/3 dans le navigateur.

Il suffit de redémarrer le navigateur et tout doit fonctionner comme avant !

On ne s'est pas ce qu'il s'est passé exactement, mais pour le moment, le principal est de retrouver un navigateur opérationnel. Quoi qu'il en soit, pensez à réactiver HTTP/3 (si vous avez choisi cette solution) d'ici quelques jours (heures ? ou semaines ?) quand Firefox aura résolu ce problème.

Mise à jour du 14 janvier 2022

Ce matin, j'ai reçu l'e-mail suivant qui donne quelques explications quant à la cause de ce dysfonctionnement :

"Hier, Firefox ne répondait plus à la suite d'une modification des paramètres par défaut d'un de nos fournisseurs de services cloud, déclanchant un bug HTTP/3.

Nous avons désactivé cette configuration et confirmons que le problème est résolu. Si le problème persiste, veuillez redémarrer votre navigateur. Nous sommes désolés pour ces désagréments."

Source

The post Ce matin, Firefox ne fonctionne plus : comment régler le problème ? first appeared on IT-Connect.

SysJoker, la porte dérobée capable de cibler Linux, macOS et Windows

13 janvier 2022 à 11:11

Des chercheurs en sécurité ont fait la découverte d'une nouvelle porte dérobée baptisée SysJoker et qui présente la particularité de pouvoir cibler Linux, macOS et Windows.

D'après les informations du site VirusTotal, le premier échantillon de SysJoker a été chargé courant 2021, ce qui correspond également au moment où le domaine du serveur C2 a été enregistré.

Écrit en C++, le logiciel malveillant SysJoker dispose de plusieurs variantes afin de s'adapter au système d'exploitation cible, en fonction de s'il s'agit de Windows, Linux ou macOS. Même si les choses devraient changer rapidement maintenant que l'on parle de lui (si ce n'est pas déjà fait), SysJoker est capable d'agir sur les machines sans être détecté par les moteurs de détection antivirus.

Sur Windows, SysJoker s'appuie sur une DLL qui va exécuter des commandes PowerShell afin de réaliser les actions suivantes :

  • Récupérer le ZIP "SysJoker" depuis un dépôt GitHub
  • Décompresser le contenu du ZIP dans "C:\ProgramData\RecoverySystem\"
  • Exécuter la charge utile sur la machine

Après une courte pause, il s'exécute sur la machine sous la forme d'un processus nommé "igfxCUIService.exe" et correspondant à Intel Graphics Common User Interface Service afin d'être discret. Ensuite, le malware va exécuter des commandes sur la machine afin de collecter des données. Il en profitera également pour créer une clé de Registre afin d'être persistant et exécuté à chaque démarrage de Windows (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run). Enfin, les informations collectées seront exportées vers un serveur C2 dont l'adresse est susceptible d'évoluer avec le temps. En fait, SysJoker récupère une liste de serveurs C2 à partir d'un fichier "domain.txt" hébergé directement sur Google Drive et dont le lien est codé en dur dans le code du malware.

SysJoker
Source : Intezer

Grâce à cette porte dérobée, les pirates peuvent exécuter des commandes à distance depuis le serveur C2, ou installer des souches malveillantes supplémentaires sur la machine infectée.

Sur Linux et macOS, SysJoker effectue des opérations similaires et adaptées à ces deux systèmes.

Sur Linux le malware SysJoker va créer ses fichiers sous "/.Library/" tandis que pour être persistant, il va créer une tâche planifiée (cron) : @reboot (/.Library/SystemServices/updateSystem). 

Sur macOS, les fichiers sont créés sous "/Library/" et la persistance est mise en place via LaunchAgent au sein du chemin suivant : /Library/LaunchAgents/com.apple.update.plist.

Même si la liste peut évoluer, voici les domaines C2 partagés par la société Intezer et que vous pouvez bloquer :

  • https[://]bookitlab[.]tech
  • https[://]winaudio-tools[.]com
  • https[://]graphic-updater[.]com
  • https[://]github[.]url-mini[.]com
  • https[://]office360-update[.]com
  • https[://]drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
  • https[://]drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

Retrouvez l'analyse complète de la société Intezer sur leur blog : SysJoker.

Source

The post SysJoker, la porte dérobée capable de cibler Linux, macOS et Windows first appeared on IT-Connect.

Windows 11 Build 22533 : quoi de neuf ?

13 janvier 2022 à 10:09

Microsoft continue de travailler sur le développement de Windows 11 afin de peaufiner son nouveau système d'exploitation. Windows 11 Build 22533 est disponible, quels sont les changements ?

Une fois de plus, les changements seront visuels et cette fois-ci ce sont les indicateurs de changement du volume et de la luminosité qui vont bénéficier d'une mise à jour visuelle. Windows 11 utilise toujours l'interface de Windows 8 pour ces indicateurs, alors ils méritaient bien d'être modernisés pour que ce soit plus homogène avec le reste du système.

Désormais, en changeant le volume avec les touches du clavier, c'est une interface comme celle-ci qui va s'afficher :

Windows 11 Build 22533

En complément, ce nouvel indicateur visuel s'adaptera en fonction du thème sélectionné par l'utilisateur, ce qui n'est pas le cas de l'interface actuelle.

Par ailleurs, le menu accessible via le raccourci clavier "Windows + X" ou un clic droit sur le menu Démarrer va être mis à jour afin de remplacer le terme "Applications et fonctionnalités" par "Applications installées". Quant à l'application "Horloge", il sera possible de la désinstaller simplement, car jusqu'ici ce n'était pas le cas.

Enfin, l'application "Votre Téléphone" qui permet d'interagir avec son smartphone depuis Windows 11 va évoluer aussi. Une nouvelle interface va être proposée pour la gestion d'un appel téléphonique depuis son ordinateur, avec toujours l'objectif de moderniser et d'uniformiser les éléments graphiques au niveau du système.

Cette nouvelle Build de Windows 11 est disponible via le canal Dev du programme Windows Insiders.

Source

The post Windows 11 Build 22533 : quoi de neuf ? first appeared on IT-Connect.

La mise à jour KB5009543 de Windows 10 bloque les VPN L2TP

13 janvier 2022 à 09:53

En ce début de semaine, Microsoft a publié les nouvelles mises à jour mensuelles pour ses différents OS, dont Windows 10 et Windows 11. Visiblement, certaines mises à jour bloquent les connexions VPN L2TP.

Après la mise à jour de leur machine, certains utilisateurs ont eu une mauvaise surprise : leur connexion VPN initialisée à partir du client VPN Windows ne fonctionne plus ! Un message s'affiche pour notifier l'utilisateur que la connexion VPN n'a pas pu être initialisée : "Can't connect to VPN. The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer".

Au sein de l'observateur d'événements de Windows, cela se traduit par la présence d'un message d'erreur avec le code 789.

Bug VPN L2TP KB5009543 Windows 10

Ce bug touche seulement les utilisateurs qui s'appuient sur le client VPN natif de Windows. Si votre VPN s'appuie sur un logiciel tiers comme OpenVPN, vous ne devriez pas rencontrer ce problème. Néanmoins, les clients VPN sont très nombreux sur le marché alors il n'est pas à exclure que des clients VPN tiers soient touchés par ce bug. Des tests s'imposent avant de déployer cette mise à jour.

Les mises à jour qui posent problème sont les suivantes :

  • KB5009566 pour Windows 11
  • KB5009543 pour Windows 10

Pour le moment, la seule solution consiste à faire machine arrière et à désinstaller la mise à jour sur votre machine :

Windows 11 : 
wusa /uninstall /kb:5009566

Windows 10 : 
wusa /uninstall /kb:5009543

Pour le moment, c'est le seul effet de bords connu suite à l'installation de ces nouvelles mises à jour. Compte tenu du nombre important de failles de sécurité corrigées, il vaut mieux essayer de les installer si vous n'êtes pas touché parce bug lié au VPN.

Côté Windows Server, ce n'est pas la fête non plus, car il y a d'énormes problèmes suite à l'installation des mises à jour, notamment sur Windows Server 2012 R2, Windows Server 2019 et Windows Server 2022. Voir cet article pour plus d'informations.

Source

The post La mise à jour KB5009543 de Windows 10 bloque les VPN L2TP first appeared on IT-Connect.

Mise à jour pour Windows Server : DC reboot en boucle, Hyper-V HS, etc.

13 janvier 2022 à 08:03

Aïe ! Tout ne se passe pas comme prévu pour les mises à jour de janvier à destination de Windows Server ! Suite à l'installation, certains serveurs rencontrent d'énormes problèmes : les contrôleurs de domaine rebootent en boucle tandis que les serveurs Hyper-V ne parviennent plus à lancer les VMs. Faisons le point.

A l'occasion de la sortie du Patch Tuesday de janvier 2022, Microsoft a corrigé 97 vulnérabilités et 6 failles zero-day. Jusque là, rien d'anormal. Résultat, plusieurs KB sont disponibles via les canaux habituels pour les différentes versions de Windows, notamment :

  • Windows Server 2012 R2 : KB5009624
  • Windows Server 2019 : KB5009557
  • Windows Server 2022 : KB5009555

Suite à l'installation des mises à jour, les administrateurs systèmes ont rencontrés divers problèmes sur les serveurs. Ce qui gênant, c'est les rôles sont touchés sont généralement critiques, notamment les contrôleurs de domaine et les serveurs Hyper-V.

Les contrôleurs de domaine redémarrent en boucle

Les contrôleurs de domaine Active Directory redémarrent en boucle : après chaque démarrage, le système redémarre au bout de quelques minutes ! Ce bug semble toucher Windows Server 2019 et Windows Server 2022, mais pas forcément Windows Server 2012 R2 d'après les premières remontées.

D'après les informations publiées par le site Bleeping Computer, ce serait lié au processus LSASS.exe qui part en vrille : il surcharge le CPU puis finit par s'arrêter, ce qui cause un redémarrage de la machine. Au sein de l'observateur d'événements de Windows, un event est ajouté suite à chaque plantage, avec notamment cette phrase : "The system process 'C:\WINDOWS\system32\lsass.exe' terminated unexpectedly with status code -1073741819. The system will now shut down and restart.". C'est assez clair.

Hyper-V : impossible de démarrer les VMs !

Autre problème majeur rencontré sur les serveurs Hyper-V où il est impossible de démarrer les machines virtuelles ! En fait, suite à l'installation de la mise à jour, le service Hyper-V ne démarre plus donc il n'est plus possible de démarrer les VMs de ce serveur. Le message suivant s'affiche lorsque l'on essaie de démarrer une VM : "Impossible de démarrer l'ordinateur virtuel car l'hyperviseur n'est pas en cours d'exécution".

D'après les premiers retours obtenus hier, ce problème semble toucher Windows Server 2012 et Windows Server 2012 R2, mais visiblement il pourrait toucher aussi les versions plus récentes, notamment Windows Server 2019 et 2022. Si vous avez des infos à ce sujet, n'hésitez pas à laisser un commentaire.

Le Patch Tuesday contient quatre correctifs de sécurité pour Hyper-V donc ce doit être suite à la correction de ces bugs. Pour rappel, il s'agit des CVE suivantes : CVE-2022-21901, CVE-2022-21900, CVE-2022-21905, and CVE-2022-21847.

Volumes ReFS inaccessibles

Le troisième et dernier problème constaté concerne les volumes qui s'appuient sur le système de fichiers ReFS. Suite à l'installation de la mise à jour, le volume ReFS devient totalement inaccessible ou alors il apparaît au format RAW, comme s'il n'était pas formaté. Visiblement, ce bug touche Windows Server 2012 R2.

Là encore, si l'on regarde le contenu du Patch Tuesday, on remarque qu'il y a eu sept vulnérabilités corrigées au sein de ReFS. C'est probablement l'un de ces correctifs qui est à l'origine de ce bug.

Quelle solution ?

Pour le moment, il n'y a pas de solution officielle de la part de Microsoft et donc la seule solution, c'est de désinstaller la mise à jour (cela fonctionne pour les trois cas évoqués ci-dessus). Cela s'effectue simplement via la commande suivante (numéro de la KB à adapter en fonction de la version de votre OS) :

wusa /uninstall /kb:5009624

Vous pouvez lire mon article sur la désinstallation d'une mise à jour par GPO pour agir sur plusieurs postes.

Bon courage !

Source

The post Mise à jour pour Windows Server : DC reboot en boucle, Hyper-V HS, etc. first appeared on IT-Connect.

Comment auditer un site WordPress avec WPScan ?

12 janvier 2022 à 13:00

I. Présentation

Dans ce tutoriel, nous allons voir comment réaliser un audit de sécurité sur un site WordPress à l'aide de l'outil WPScan, afin d'identifier les failles de sécurité, mais aussi les défauts de configuration.

Afin de réaliser un audit de sécurité d'un site Web, il existe divers outils de sécurité : Nikto, Wapiti, WPScan, etc... Aujourd'hui, nous allons nous intéresser à WPScan, un outil spécifique dédié à l'analyse de sites WordPress.

WordPress étant un CMS utilisé par des millions de sites, il attire forcément le regard des pirates informatiques qui vont chercher à trouver des vulnérabilités au sein du CMS en lui-même, mais aussi dans les extensions et thèmes populaires.

WPScan peut être utile pour auditer son propre site afin d'identifier d'éventuelles faiblesses connues, avant que quelqu'un le fasse avant vous. Cet outil est intéressant en complément des opérations de maintenance effectuées régulièrement, notamment pour maintenir à jour les différents éléments (WordPress, les thèmes et les plugins).

Par ailleurs, WPScan peut-être utilisée dans le cadre de prestation d'audit afin d'analyser le site d'un client. Je ne vais pas vous le cacher et vous l'avez surement deviné, ce type d'outil peut aussi être utilisé à des fins malveillantes.

Attention : n'utilisez pas ce genre d'outil sur des sites web qui ne vous appartiennent pas, à moins d'avoir eu le consentement du propriétaire au préalable.

II. Les fonctionnalités de WPScan

WPScan intègre différentes fonctionnalités que l'on va pouvoir activer ou non en fonction des paramètres utilisés au moment d'exécuter l'outil. Voici quelques-unes des fonctionnalités de WPScan :

  • Récupération du Header HTTP
  • Détection de la possibilité de s'inscrire ou non sur le site
  • Détection de la version de WordPress
  • Analyse du fichier d'exploration robots.txt
  • Récupération d'informations sur le thème, notamment le nom
  • Récupération d'informations sur les extensions
  • Identification de vulnérabilités au sein des extensions détectées
  • Détection de fichiers de configuration de sauvegarde
  • Etc.

Certaines fonctionnalités sont soumises à l'utilisation de l'API WPScan. Les requêtes à destination de cette API sont limitées dans la version gratuite : 25 requêtes par jour sur l'API, tout en sachant qu'une analyse d'un site nécessite généralement plusieurs appels vers l'API WPScan. En fonction des besoins et du nombre d'analyses à effectuer, il faudra peut-être songer à prendre un abonnement payant.

Les différents abonnements de l'API WPscan
Les différents abonnements de l'API WPScan

Avant d'aller plus loin, sachez que WPScan est développé en Ruby et que c'est un projet soutenu par Automattic, l'entreprise propriétaire de WordPress.

III. Installation de WPScan

Pour suivre ce tutoriel, vous avez besoin d'une machine avec Kali Linux puisque WPScan est préinstallé sur cette distribution Linux orientée sécurité.

Pour l'installer sur une autre distribution Linux, je vous invite à vous référer au GitHub du projet : WPScan - GitHub.

Si vous envisagez d'utiliser l'API WPScan (même en version gratuite), vous devez créer un compte sur leur site officiel : WPScan. La création d'un compte ne nécessite pas d'enregistrer une carte bancaire, ce qui est une bonne nouvelle.

IV. Utilisation de WPScan

Sur Kali Linux, l'outil WPScan est un binaire disponible dans "/usr/bin" alors il suffira de l'appeler par son petit nom dans un terminal Linux. Pour afficher l'aide complète de WPScan, la commande suivante doit être utilisée :

wpscan --hh

À partir de là, toutes les options seront affichées à l'écran. Voyons quelques exemples d'utilisation de WPScan.

La première à chose à savoir, c'est qu'il faut inclure le paramètre "--url" pour spécifier le nom de domaine du site à analyser.

wpscan --url www.domaine.fr

Sans aucun autre paramètre, WPScan va effectuer une analyse rapide du site et retourner quelques éléments : header HTTP, contenu du fichier robots.txt, état de la fonction d'inscription du site, détection de la version de WordPress, identification de certains plugins, etc.

Ensuite, il y a une option qui est particulièrement intéressante, c'est l'option "--enumerate" (ou "-e") puisqu'elle permet de spécifier ce qu'il faut analyser (dans le cas d'une analyse ciblée). Par exemple, la valeur "vp" permet de détecter les plugins vulnérables, tandis que la valeur "vt" recherchera la présence d'un thème vulnérable. On peut préciser plusieurs valeurs (mais certaines sont incompatibles entre elles ; voir l'aide), comme ceci :

wpscan --url www.domaine.fr --enumerate vp,vt

Pour que le résultat de cette commande soit complet et pertinent, il faut que l'on utilise l'API de WPScan. En effet, les informations liées aux vulnérabilités sont obtenues après sollicitation de l'API. Sans cela, WPScan va analyser le site distant, récupérer le maximum d'information au sujet des plugins et thèmes, mais il ne vous donnera pas d'informations sur les vulnérabilités détectées.

À partir de votre compte WPScan, vous devez récupérer votre "API Token" afin de l'utiliser avec votre instance WPScan.

Récupérer le jeton d'accès à l'API WPScan
Récupérer le jeton d'accès à l'API WPScan

Comment préciser le token de l'API au sein de la commande WPScan ? Pour cela, il y a deux possibilités : soit dans la commande directement via le paramètre "--api-token" suivi de la valeur, ou dans un fichier de configuration. La première option me semble préférable dans le cas de l'utilisation gratuite pour gérer au mieux ses 25 requêtes quotidiennes.

Ainsi, dans une requête cela donne :

wpscan --url www.domaine.fr --enumerate vp,vt --api-token VotreJetonAPI

Si vous souhaitez stocker ce jeton d'API dans un fichier de configuration pour ne pas avoir à le préciser à chaque fois, créez ce fichier :

nano ~/.wpscan/scan.yml

Précisez le contenu suivant (en modifiant le jeton) :

cli_options:
  api_token: VotreJetonAPI

Il suffit ensuite d'enregistrer le fichier. Si vous ne précisez pas de jeton d'API en utilisant WPScan, celui-ci sera utilisé systématiquement, sinon si vous précisez un jeton dans la ligne de commande, il sera utilisé à la place de celui dans le fichier de configuration. C'est bon à savoir.

Suite à l'analyse effectuée, vous pouvez voir s'il y a des vulnérabilités ou non au sein des plugins détectés sur le site. Néanmoins, il se peut que certains plugins ne soient pas détectés. Voici un exemple :

WPScan : découverte de vulnérabilités dans les plugins WordPress
WPScan : découverte de vulnérabilités dans les plugins WordPress

Sur la copie d'écran ci-dessus, on peut voir le plugin "NextScripts: Social Networks Auto-Poster". En recherchant sur le site de WordPress, on peut voir qu'il s'agit d'une extension qui permet de publier les nouveaux articles automatiquement sur les réseaux sociaux. C'est également précisé qu'il y a 6 vulnérabilités détectées, avec à chaque fois des informations.

Néanmoins, il faut prêter attention à une ligne en particulier : "The version could not be determined". Cela signifie que WPScan a détecté le plugin mais qu'il n'a pas pu récupérer la version installée. En fait, les vulnérabilités listées sont celles connues pour ce plugin, mais cela ne veut pas dire que le site analysé est vulnérable : tout dépend de la version installée.

À la fin de chaque analyse, plusieurs statistiques sont indiquées, notamment l'état de l'API. Sur l'exemple ci-dessous, on peut voir que cette analyse a consommé 8 requêtes d'API, et qu'il m'en reste 17 à consommer.

WPScan : statistiques sur l'analyse
WPScan : statistiques sur l'analyse

Par défaut, le mode de détection est défini sur "mixed", cela signifie qu'en fonction des éléments à détecter, le scan sera plus ou moins agressif (et donc visible). Pour passer en mode agressif (ou tout en mode passif ; "passive"), on peut utiliser l'option "--detection-mode" :

wpscan --url www.domaine.fr --detection-mode aggressive

Terminons l'utilisation de WPScan en prenant un exemple : l'énumération des utilisateurs WordPress.

L'outil WPScan permet d'énumérer les utilisateurs existants sur un site WordPress, et il faut savoir que par défaut WordPress autorise l'énumération des utilisateurs. Pour énumérer les utilisateurs, il y a plusieurs possibilités : à partir des permaliens via les pages auteur, à partir de l'API REST de WordPress (active par défaut) ou encore du flux RSS. Les comptes associés au flux RSS et aux pages liées aux auteurs sont visibles un peu par tout le monde de par leur visibilité sur les articles d'un site. Par contre, l'API REST de WordPress peut-être très bavarde si elle n'est pas bloquée et réellement donner une liste de comptes, ce qui est dangereux.

Cette énumération des utilisateurs s'effectue seulement avec la valeur "u" de l'option "--enumerate", comme ceci :

wpscan --url www.domaine.fr --enumerate u
WPScan : énumération des utilisateurs WordPress
WPScan : énumération des utilisateurs WordPress

Grâce à ces quelques exemples, vous avez connaissance des options basiques de WPScan. Libre à vous d'explorer l'aide pour aller plus loin dans l'utilisation de cet outil.

V. Conclusion

Une analyse de votre propre site web WordPress avec l'outil WPScan va peut-être vous faire prendre connaissance de certains défauts de configuration.

En complément d'un bon suivi des mises à jour, vous devez mettre en place des mécanismes de protection sur votre site WordPress. Certains plugins de sécurité permettent de vous guider en ce sens, notamment pour masquer des informations sensibles, désactiver l'accès à l'API REST, etc. Pour gérer spécifiquement l'accès à l'API REST, il y a le plugin "Disable JSON API" qui permet une gestion avancée.

Dernièrement, j'ai publié deux articles qui peuvent vous aider à renforcer la sécurité de votre site WordPress :

Si vous avez une question liée à la sécurité de WordPress, n'hésitez pas à laisser un commentaire sur cet article.

The post Comment auditer un site WordPress avec WPScan ? first appeared on IT-Connect.

Mises à jour de janvier 2022 : Windows 10 KB5009543 et KB5009545

12 janvier 2022 à 09:48

Microsoft a publié les mises à jour cumulatives de janvier 2022 pour les différentes versions de Windows 10 encore sous support, notamment les mises à jour KB5009543 et KB5009545 pour les versions récentes.

Ces mises à jour ont pour objectif de corriger des bugs et d'améliorer les performances. Comme au sein de la mise à jour Windows 11, la mise à jour pour Windows 10 corrige un bug dans la méthode de saisie en japonais. Un autre bug a été corrigé et il concerne l'écriture d'attributs dans l'Active Directory via le protocole LDAP à partir de Windows 10.

Au sein de Windows 10 version 21H2, il y a 78 failles de sécurité corrigées si l'on se réfère au site Microsoft MSRC.

Windows 10 KB5009543 et KB5009545

Voici la liste des KB en fonction des versions de Windows 10 :

- Windows 10 versions 20H2, 21H1 et 21H2 : KB5009543
- Windows 10 version 1909 : KB5009545
- Windows 10 version 1903 : Fin de support
- Windows 10 version 1809 : KB5009557
- Windows 10 version 1803 : Fin de support
- Windows 10 version 1709 : Fin de support
- Windows 10 version 1703 : Fin de support
- Windows 10 version 1607 : KB5009546
- Windows 10 version 1507 : KB5009585

Il est à noter que la mise à jour KB5009543 n'est pas disponible pour Windows 10 version 2004 car cette version n'est plus sous support pour les versions Famille et Pro. Néanmoins, si vous utilisez Windows 10 Entreprise ou Éducation, cette mise à jour sera disponible.

Ces mises à jour sont disponibles via Windows Update, les serveurs WSUS ou encore le site Microsoft Catalog pour un téléchargement manuel. Nous verrons dans les prochains jours si ces mises à jour ont des effets de bords indésirables. Espérons que l'année 2022 commence plus sereinement de ce point de vue là !

Source

The post Mises à jour de janvier 2022 : Windows 10 KB5009543 et KB5009545 first appeared on IT-Connect.

Windows 11 KB5009566 : la mise à jour cumulative de janvier 2022

12 janvier 2022 à 08:49

Microsoft a publié la mise à jour KB5009566 pour Windows 11 afin de corriger des bugs connus, d'améliorer les performances et de corriger des failles de sécurité.

Alors que Microsoft a publié un Patch Tuesday très complet avec 97 vulnérabilités corrigées et 6 zero-day, intéressons-nous dans cet article à la mise à jour KB5009566 pour Windows 11.

Comme le mois dernier, Microsoft fournit très peu d'informations au sujet des changements apportés par cette mise à jour. C'est dommage et j'espère que cela évoluera par la suite.

Ce que l'on sait, c'est qu'il corrige un bug dans la méthode de saisie en japonais, ce qui ne devrait pas impacter beaucoup de francophones. Pour ceux qui espéraient un correctif pour le bug qui touche les écrans HDR et qui impacte le rendu des couleurs (par exemple, le blanc est remplacé par du jaune), et bien il faudra encore patienter. En effet, c'est précisé sur le site de Microsoft que le problème est toujours là et qu'un correctif devrait être publié courant janvier.

Pour la partie sécurité, il faut se référer aux Patch Tuesday et aux différentes failles de sécurité corrigées pour identifier celles qui concernent Windows 11. En effectuant un filtre sur le site MSRC de Microsoft, on constate que la mise à jour KB5009566 corrige 66 vulnérabilités dans Windows 11.

Windows 11 KB5009566

Cette mise à jour cumulative est dès à présent disponible via les canaux habituels, à commencer par Windows Update sur votre ordinateur. Après l'installation de cette mise à jour, le numéro de Build sur votre machine va évoluer et devenir 22000.434.

Source

The post Windows 11 KB5009566 : la mise à jour cumulative de janvier 2022 first appeared on IT-Connect.

Patch Tuesday – Janvier 2022 : 97 vulnérabilités corrigées et 6 zero-day

12 janvier 2022 à 08:22

Pour ce premier Patch Tuesday de l'année 2022, nous avons le droit à une belle fournée de correctifs puisque Microsoft a corrigé 97 vulnérabilités et 6 failles zero-day.

Sans compter les 29 vulnérabilités corrigées dans le navigateur Edge, Microsoft a corrigé 97 failles de sécurité dont 9 considérées comme critiques et 88 comme importantes. Deux types de failles sortent du lot puisque nous retrouvons 41 vulnérabilités de type élévation de privilèges et 29 vulnérabilités de type exécution de code à distance.

Si l'on s'intéresse aux vulnérabilités critiques, voici la liste obtenue :

  • CVE-2022-21846 : exécution de code à distance dans Microsoft Exchange (qui d'ailleurs est concerné aussi par deux autres failles)
  • CVE-2022-21840 : exécution de code à distance dans Office
  • CVE-2022-21917 : exécution de code à distance dans la librairie Windows Codecs
  • CVE-2021-22947 : exécution de code à distance dans Curl (il s'agit d'une zero-day)
  • CVE-2022-21857 : élévation de privilèges dans l'Active Directory
  • CVE-2022-21898 : exécution de code à distance dans DirectX
  • CVE-2022-21912 : exécution de code à distance dans DirectX
  • CVE-2022-21907 : exécution de code à distance dans l'implémentation du protocole HTTP
  • CVE-2022-21833 : élévation de privilèges via un lecteur IDE d'une machine virtuelle

Comme souvent, de nombreux produits sont concernés par ce Patch Tuesday : .NET Framework, Hyper-V, Windows Defender, Windows IKE Extension, Windows Installer, le noyau Windows, Windows RDP, Windows ReFS, composant Win32K, etc.

Six failles zero-day : aucune exploitée activement

Microsoft a corrigé six failles zero-day, c'est-à-dire des vulnérabilités déjà connues publiquement, mais qui n'étaient pas encore patchée. La bonne nouvelle, c'est que ces vulnérabilités ne semblent pas exploitée activement par les pirates, en tout cas pour le moment, car cela pourrait rapidement changer.

Voici la liste des zero-day :

  • CVE-2021-22947 - Exécution de code à distance dans Curl
  • CVE-2021-36976 - Exécution de code à distance dans Libarchive
  • CVE-2022-21919 - Elévation de privilèges via le service Windows User Profile
  • CVE-2022-21836 - Spoofing via le gestionnaire de certificats Windows
  • CVE-2022-21839 - Déni de service dans la liste de contrôle d'accès du suivi d’événements pour Windows
  • CVE-2022-21874 - Exécution de code à distance dans l'API de l'outil Windows Security Center

Il est à noter que Curl et Libarchive sont des outils externes à Windows et qu'ils ont déjà été patchés par leur éditeur respectif. Néanmoins, la version patchée n'était pas encore disponible pour Windows.

Attention : suite à l'installation de la mise à jour de janvier "KB5009624" sur Windows Server 2012 et Windows Server 2012 R2, des utilisateurs se plaignent qu'Hyper-V ne fonctionne plus ! L'installation de ce correctif fait planter le service Hyper-V donc les machines virtuelles ne peuvent plus démarrer ! Reste à voir si cela touche d'autres versions de Windows.

D'autres articles à suivre dans la journée au sujet des nouvelles mises à jour publiées par Microsoft, notamment pour Windows 10 et Windows 11 :

Source

The post Patch Tuesday – Janvier 2022 : 97 vulnérabilités corrigées et 6 zero-day first appeared on IT-Connect.

Les protocoles TCP et UDP pour les débutants

11 janvier 2022 à 16:55

I. Présentation

Dans ce tutoriel, nous allons découvrir les protocoles UDP et TCP, deux protocoles indispensables lorsque l'on s'intéresse au fonctionnement des réseaux informatiques.

Les protocoles TCP et UDP sont présents au sein de la couche "Transport" (ou couche n°4) du modèle OSI, ce qui va permettre de déterminer comment les données seront échangées entre deux hôtes. L'objectif de cet article est de vous proposer une introduction à ces deux protocoles afin de comprendre l'essentiel, tout en illustrant mes propos avec des analyses de trames réseau obtenues à partir du logiciel Wireshark.

Note : si vous souhaitez effectuer des analyses de trame pour tester de votre côté, vous devez installer Wireshark sur votre machine. Voici le lien vers le site officiel : Télécharger Wireshark.

II. Le protocole TCP

TCP signifie Transmission Control Protocol, et il s'agit d'un protocole orienté connexion. Le protocole TCP est très utilisé lorsque l'on utilise des protocoles IP, c'est pour cela que l'on parle aussi de TCP/IP.

Avec le protocole TCP, avant que des données soient échangées entre les deux hôtes, l'hôte source va créer une session de connexion avec l'hôte distant afin de le prévenir qu'il va recevoir des données. Pour cela, un premier échange aura lieu entre les deux hôtes (voir détails ci-dessous).

Une fois que la connexion est établie, l'échange de  données peut commencer. Pendant cet échange de données, les paquets (correspondants aux données) sont envoyés dans l'ordre, et le protocole TCP va s'assurer que tous les paquets sont bien transmis, et si ce n'est pas le cas, il est capable de renvoyer les paquets manquants. C'est l'un des avantages du protocole TCP.

Cette connexion sera maintenue jusqu'à ce qu'elle soit fermée, ce qui signifie qu'elle sera active à minima jusqu'à la fin de l'échange de données entre les deux hôtes. Elle peut être maintenue afin d'être prête dès que les deux hôtes auront besoin de communiquer ensemble.

En complément du contrôle des flux et de la gestion des erreurs, le protocole TCP est capable de contrôler la congestion du réseau sur lequel les paquets sont échangés. Un algorithme de contrôle de congestion est utilisé et en cas de surcharge du réseau, le flux TCP sera adapté en conséquence.

Il faut retenir que TCP va permettre d'établir une connexion fiable entre les deux hôtes pour s'assurer que les données sont correctement reçues par l'hôte distant.

A. Les protocoles qui utilisent TCP

TCP est le protocole de transport le plus utilisé sur Internet et chaque protocole applicatif a besoin d'utiliser un protocole de transport, dont TCP et UDP font partie. Il est difficile d'établir une liste exhaustive des protocoles qui s'appuient sur TCP pour le transport.

Néanmoins, voici la liste de quelques protocoles populaires qui s'appuient sur TCP :

  • Les protocoles HTTP et HTTPS, notamment pour charger le contenu des sites Internet
  • Le protocole SMTP pour envoyer des e-mails
  • Le protocole NFS pour transférer des données (sur certaines versions uniquement)
  • Le protocole SMB pour transférer des données
  • Les protocoles SSH et Telnet pour la gestion à distance d'un équipement
  • Le protocole RDP pour l'administration d'un hôte via le Bureau à distance
  • Le protocole LDAP pour interroger un annuaire comme l'Active Directory

Vous l'avez compris, TCP est un protocole que l'on utilise tous les jours au travers d'applications diverses et variées. Vous verrez également qu'UDP joue un rôle important au quotidien.

B. Fonctionnement d'une connexion TCP

Pour établir une connexion TCP, trois étapes sont nécessaires alors on parle d'un processus "three-way handshake". Ces trois étapes correspondent à trois paquets TCP : SYN, SYN-ACK et ACK. Ces termes correspondent à des flags (des marqueurs) que l'on peut retrouver au sein des paquets TCP.

L'initialisation d'une connexion TCP entre deux hôtes se schématise de cette façon :

TCP three-way handshake

Le paquet TCP SYN correspond à une demande d'initialisation de connexion envoyée par un client à un serveur, tout en sachant que SYN signifie "Synchronized". Ensuite, le serveur répond avec un paquet TCP SYN-ACK pour initier la connexion dans l'autre sens (SYN) et indiquer au client qu'il a bien reçu la demande de connexion (ACK pour Acknowledge). Enfin, le client répond au serveur avec un paquet TCP ACK pour accuser réception de la demande de connexion (Acknowledge). La connexion TCP est établie en mode full-duplex, c'est-à-dire dans les deux sens.

Note : des numéros de séquence sont associés aux différents échanges TCP afin de pouvoir suivre les connexions. En cas de perte de paquets, c'est grâce à ce suivi des numéros de séquence, incrémenté au fur et à mesure de l'échange, que TCP est capable de réémettre les paquets manquants. Chaque échange contient deux numéros : un numéro de séquence et un numéro d'acquittement (ack).

Pour fermer une connexion TCP, il y a deux méthodes : la méthode propre (ou normale, disons) qui consiste à envoyer un paquet TCP FIN à l'hôte distant pour lui demander de fermer la connexion aussi de son côté. En attendant sa réponse, on reste à l'écoute, notamment le temps qu'il indique que la connexion peut être fermée et les ressources libérées. Le serveur va envoyer un paquet TCP ACK puis ensuite TCP FIN (lorsque la connexion sera prête à être fermée côté serveur), et enfin le client répondra par TCP ACK : la connexion sera fermée des deux côtés.

Lorsque la connexion TCP ne peut pas être terminée proprement (par exemple : une coupure réseau entre les deux hôtes, un bug pendant la session, etc.), il existe une autre solution qui consiste à forcer la fermeture de la connexion TCP via un paquet TCP RST. On peut dire que l'on essaie d'avertir l'hôte distant que l'on ne répondra plus à ses requêtes pour cette connexion et qu'elle va être fermée.

C. TCP : capture de trafic HTTP

Pour voir dans la pratique comment se déroul une session TCP, on peut utiliser un logiciel de capture de paquets réseau, tel que Wireshark. Pour générer une connexion TCP, nous allons nous connecter sur un site Internet via le protocole HTTP (ou HTTPS).

Au lancement du logiciel, il est nécessaire de cliquer sur le menu "Capture" puis "Options" afin de sélectionner l'interface réseau, ici "Ethernet0", mais aussi pour définir un filtre. Pour que notre capture ne soit pas polluée et que l'on récupère uniquement ce qui concerne la connexion au site Internet, on va ajouter un filtre sur l'adresse IP du serveur qui héberge le site Internet (en l'occurrence une machine virtuelle sur mon réseau local dans cet exemple). Ce filtre sur l'adresse IP "192.168.100.120", aussi en source et destination sera :

ip src 192.168.100.120 or ip dst 192.168.100.120

Le filtre "ip src" permet de définir un filtre sur l'adresse IP source, tandis que le filtre "ip dst" permet de filtrer sur l'adresse IP de destination. Le fait d'indiquer "or" permet d'inclure une condition "ou" afin de capture les échanges entre notre machine locale et le serveur Web distant.

Une fois que c'est fait, cliquez sur "Démarrer" pour débuter la capture.

Wireshark : filtre sur une adresse IP source et destination
Wireshark : filtre sur une adresse IP source et destination

Dans le même temps, on accède au site Internet situé à l'adresse "192.168.100.120" à partir d'un navigateur. Au sein de Wireshark, on peut voir une dizaine de paquets apparaître. Il est temps d'arrêter la capture afin de l'analyser en cliquant sur le bouton "stop" en haut à gauche.

Wireshark : communication en HTTP entre un client et un serveur web
Wireshark : communication en HTTP entre un client et un serveur web

La colonne "Protocol" donne des indications sur le protocole repéré au sein de chaque paquet capturé. On remarque la présence de deux protocoles HTTP et TCP.

Wireshark : paquets TCP et HTTP lors de la connexion à un site Internet via HTTP
Wireshark : paquets TCP et HTTP lors de la connexion à un site Internet via HTTP

On remarque également que les premiers paquets sont uniquement en TCP : cet échange de quelques paquets TCP correspond à l'initialisation de la connexion afin de permettre le transfert de données dans les deux sens.

On peut voir le paquet n°1 (le numéro de paquet est indiqué sur la première colonne) où notre hôte local (192.168.100.101) envoie une requête TCP "SYN" à destination du serveur Web (192.168.100.120). Ensuite, le paquet n°2 correspond à la réponse du serveur Web à notre hôte local afin d'initier la connexion, d'où le TCP "SYN, ACK" pour lui dire qu'il a bien reçu sa demande. Enfin, le paquet n°3 correspond à une nouvelle réponse TCP "ACK" de l'hôte local vers le serveur Web : la connexion est établie.

Wireshark : plusieurs connexions TCP initiées
Wireshark : plusieurs connexions TCP initiées

Note : il ne faut pas confondre les numéros de paquets Wireshark avec les numéros de séquences et d'acquittement évoqués précédemment. Les numéros de paquets dans Wireshark n'ont pas de réelles significations, si ce n'est permettre de classer les paquets chronologiquement.

En regardant la capture d'écran ci-dessus, on peut avoir l'impression que la connexion TCP est initialisée plusieurs fois. Disons que c'est bien le cas dans le sens où plusieurs connexions TCP sont montées en parallèle afin de transférer plusieurs fichiers en même temps : ce qui est fort utile sur les pages où il y a de nombreux éléments, à savoir des images, des feuilles de style CSS, etc.

Au sein de Wireshark, chaque connexion TCP est associée à un numéro de stream que l'on peut afficher en regardant le champ "Stream index".

Wireshark : le champ "Stream index" d'une connexion TCP
Wireshark : le champ "Stream index" d'une connexion TCP

Une fois la connexion TCP établie, les données sont transférées. Chaque paquet HTTP est suivi d'un paquet TCP "ACK" : l'hôte local demande la ressource au serveur Web (paquet n°7), et ce dernier lui répond "OK, j'ai bien reçu ta demande" (paquet n°8) et il commence à lui retourner les données (paquet n°9). Ensuite, l'hôte local confirme au serveur Web qu'il a bien reçu les données via une réponse TCP "ACK" (paquet n°10).

En complément, au sein de chaque paquet HTTP, on peut voir qu'il y a un en-tête TCP, ce qui prouve que le protocole HTTP utilise bien le protocole TCP pour le transport des données.

Présence d'une en-tête TCP dans les paquets HTTP
Présence d'un en-tête TCP dans les paquets HTTP

Passons maintenant à la découverte du protocole UDP.

III. Le protocole UDP

UDP signifie User Datagram Protocol, et il s'agit d'un protocole de communication sans connexion. Le protocole UDP est une alternative au protocole TCP.

Lorsque le protocole UDP est utilisé pour transporter les données, il va envoyer les données d'un hôte source vers un hôte de destination, sans chercher à savoir si l'hôte de destination a bien reçu l'ensemble des données. Autrement dit, il n'y a pas de vérification des erreurs : si l'on envoie un fichier via UDP, on ne sait pas si l'hôte distant a reçu entièrement ce fichier ou s'il l'a reçu partiellement.

Note : lorsque l'on parle du protocole UDP, on évoque le principe du "fire and forget" c'est-à-dire "tire et oublie" puisqu'avec UDP on envoie les paquets puis on ne s'en occupe plus, comme si on avait oublié qu'un paquet avait été envoyé.

Puisque l'on ne vérifie pas que l'hôte distant a bien reçu les données, on économise des ressources, mais aussi du temps, donc le protocole UDP est plus rapide que le protocole TCP.

L'en-tête d'un segment UDP contient très peu de champs : le port source, le port de destination, la longueur totale du segment, la somme de contrôle (pour vérifier l'intégrité du segment envoyé par le réseau) et les données.

A. Les protocoles qui utilisent UDP

Voici quelques exemples de protocoles qui utilisent UDP comme protocole de transport, tout en sachant que cette liste n'est pas exhaustive.

  • Le protocole DNS pour la résolution des noms (même si TCP peut être utilisé dans de rares cas)
  • Le protocole SNMP pour la supervision des équipements
  • Le protocole NTP pour la mise à jour de la date et l'heure via le réseau
  • Le protocole TFTP pour le transfert de fichiers simplifié

Au quotidien, on utilise le protocole DNS pour naviguer sur Internet afin de résoudre les noms des sites que l'on souhaite visiter. Cette résolution de noms s'effectue via le protocole de transport UDP.

Lorsque l'on regarde un flux vidéo en streaming, ce flux est transporté via le protocole UDP, car cela permet d'alléger la charge côté serveur et que c'est adapté à cet usage. Pour lire un flux diffusé par un serveur, le protocole UDP est idéal. Généralement, les protocoles qui utilisent UDP le font, car si un paquet est perdu ce n'est pas critique pour le reste de la transmission. Par exemple, s'il y a une perte d'une image lors de la lecture d'un flux en streaming, cela n'est pas grave et passera inaperçu.

B. UDP : capture de trafic DNS

Sur le même principe que pour le protocole TCP, nous allons réaliser une capture de paquets avec Wireshark. Cette fois-ci, le protocole DNS sera étudié afin de visualiser l'usage du protocole de transport UDP.

Au sein de Wireshark, cliquez sur "Capture" puis "Options". On va créer un filtre pour capturer uniquement les paquets à destination du serveur DNS configuré sur ma machine locale et correspondant à l'adresse IP "192.168.100.11".

À la place du filtre "ip dst", on peut utiliser "dst host" pour spécifier un hôte cible y compris en indiquant un nom DNS directement plutôt qu'une adresse IP. Ce qui donne le filtre suivant :

dst host 192.168.100.11

Mais, on aurait pu utiliser :

ip dst 192.169.100.11

Afin de capturer l'échange complet, avec les réponses du serveur DNS, il faudrait ajouter une condition sur l'adresse IP source. Pour s'intéresser uniquement à l'UDP et remarquer sa présence, ce n'est pas indispensable.

ip src 192.168.100.11 or ip dst 192.168.100.11

Il ne reste plus qu'à cliquer sur "Démarrer".

Wireshark : filtre sur une adresse IP destination
Wireshark : filtre sur une adresse IP destination

Pendant ce temps, à l'aide d'une console on va générer une requête DNS via l'outil "nslookup" sur un nom de domaine. Pour ma part, je vais tout simplement requêter sur le nom de mon domaine Active Directory.

nslookup it-connect.local

En arrière-plan, on remarque la présence des paquets DNS dans Wireshark.

Wireshark : communication DNS entre un client et un serveur
Wireshark : communication DNS entre un client et un serveur

Si l'on regarde le paquet n°8, on voit que mon hôte local a interrogé le serveur DNS pour obtenir une réponse pour le domaine "it-connect.local". Le paquet suivant ne correspond pas à la réponse du serveur DNS, car je n'ai pas inclus les réponses dans mon filtre Wireshark.

En regardant l'en-tête du paquet correspondant à ma requête DNS, on remarque la présence d'un en-tête UDP puisque c'est indiqué "User Datagram Protocol". On remarque également que cet en-tête contient beaucoup moins de champs différents : il n'y a pas de suivi sur le transfert des données ni de connexion, donc c'est plus léger.

Wireshark : présence d'un en-tête UDP dans les paquets DNS
Wireshark : présence d'un en-tête UDP dans les paquets DNS

IV. TCP vs UDP

En reprenant les caractéristiques principales, voici ce que l'on obtient si l'on compare les protocoles TCP et UDP :

TCP UDP
Fiabilité Elevée Faible
Vitesse Faible Elevée
Détection des erreurs Oui Non
Correction des erreurs Oui Non
Contrôle de la congestion Oui Non
Accusé de réception (ACK) Oui Uniquement la somme de contrôle

Si l'on veut faire une comparaison avec la vie réelle, on peut prendre l'exemple d'un courrier que l'on expédie par voie postale. Si l'on envoie ce courrier en prenant l'option "lettre recommandée avec accusé de réception", on sera capable de savoir si le destinataire a bien reçu ou non le courrier puisque l'on va recevoir une preuve dans sa boite aux lettres quelques jours plus tard. Cet accusé de réception nous assure que le courrier est arrivé à destination. On peut considérer en quelque sorte que cela correspond au fonctionnement du protocole TCP.

Par contre, si l'on envoie ce courrier simplement en tant que "lettre verte" ou "lettre prioritaire", nous n'avons aucun moyen de savoir si le destinataire a bien reçu le courrier via ce mode d'expédition. Cette fois-ci, on se rapproche du fonctionnement du protocole UDP. On peut imaginer qu'un jour nous allons recevoir une réponse à notre courrier, car souvent un courrier implique une réponse, tout comme le serveur DNS répond aux requêtes DNS qui lui sont envoyées, mais cela est lié au fonctionnement du protocole de couche supérieure (DNS) plutôt qu'au protocole d'UDP, ce dernier étant là uniquement pour transporter la requête.

Désormais, vous connaissez les grands principes des protocoles TCP et UDP. Si la sécurité informatique vous intéresse, je vous recommande de lire cet article sur les scans de port en exploitant le protocole TCP.

Pour finir, sachez que ce ne sont pas les seuls protocoles de transport disponibles et il y a un protocole assez récent qui est de plus en plus à la mode : le protocole QUIC. Probablement le sujet d'un prochain article.

The post Les protocoles TCP et UDP pour les débutants first appeared on IT-Connect.

Apple corrige la faille de sécurité Powerdir, découverte par Microsoft

11 janvier 2022 à 16:37

Microsoft a découvert une faille de sécurité au sein de macOS qui permet de contourner les protections du composant TCC (Transparence, Consentement et Contrôle). Une vulnérabilité appelée Powerdir.

Avant de parler de la vulnérabilité, commençons cet article par une bonne nouvelle : cette faille de sécurité est corrigée au sein de macOS 12.1, disponible depuis la mi-décembre. Si vous n'avez pas encore fait la mise à jour, cela devrait peut-être vous inciter à prendre le temps de le faire.

La fonctionnalité TCC de macOS n'est pas récente puisqu'elle a été introduite pour la première fois en 2012, au sein d'OS X Moutain Lion. L'intérêt de cette fonctionnalité est de permettre aux utilisateurs de gérer les autorisations accordées aux différents logiciels installés sur macOS : accès au micro, à la webcam, aux informations de géolocalisation, etc... C'est à cet endroit que cela se configure. En complément, Apple a introduit des fonctions de sécurité notamment pour éviter l'exécution de code arbitraire et l'accès à la fonction TCC est limité.

Aperçu de la fonction TCC de macOS
Aperçu de la fonction TCC de macOS

Les chercheurs en sécurité de l'équipe Microsoft 365 Defender Research ont découvert cette vulnérabilité nommée Powerdir et associée à la référence CVE-2021-30970. En fait, TCC s'appuie sur deux bases de données SQLite pour stocker les autorisations : une base de données spécifique à l'utilisateur (~/Library/Application Support/com.apple.TCC/TCC.db) et une base de données au niveau du système (/Library/Application Support/com.apple.TCC/TCC.db).

Ce n'est pas la première fois qu'une vulnérabilité est corrigée dans TCC. Microsoft rappelle dans son article plusieurs références : CVE-2020-9771, CVE-2020-9934 et CVE-2021-30713. D'ailleurs, c'est en regardant de plus près le correctif pour la faille CVE-2020-9934 que les chercheurs sont parvenus à trouver une nouvelle manière de bypasser TCC, en manipulant les bases de données.

En utilisant cet exploit, un attaquant peut modifier les autorisations de n'importe quelle application. Par exemple, l'attaquant peut accorder des autorisations à une application pour qu'elle accède au micro et à la webcam du Mac, que ce soit une application malveillante ou une application existante. Ci-dessous, un exemple de l'outil Powerdir qui s'en prend à Teams (cet outil permet l'exploitation de cette vulnérabilité).

Faille Powerdir de macOS
Faille Powerdir de macOS

Utilisateurs de macOS : à vos mises à jour !

Source

The post Apple corrige la faille de sécurité Powerdir, découverte par Microsoft first appeared on IT-Connect.

WordPress 5.8.3 : une mise à jour de sécurité à installer d’urgence !

11 janvier 2022 à 08:31

Depuis quelques jours, WordPress 5.8.3 est disponible et cette mise à jour permet de corriger 4 vulnérabilités au sein de ce CMS utilisé sur des millions de sites.

Parmi ces quatre vulnérabilités, il y en a trois considérées comme importante. Tout d'abord, nous retrouvons la vulnérabilité CVE-2022-21661 qui est une injection SQL via WP_Query et elle affecte toutes les versions de WordPress, sauf la nouvelle version 5.8.3. Cette vulnérabilité n'est pas exploitable directement via le coeur de WordPress mais en passant par certains plugins ou thèmes.

Ensuite, nous avons la vulnérabilité CVE-2022-21662 qui est une faille XSS pouvant permettre l'installation d'une porte dérobée sur le site ou d'en prendre le contrôle. Pour exploiter cette faille de sécurité qui affecte toutes les versions de WordPress sauf la 5.8.3, il faut disposer d'un compte ayant les autorisations de publier des articles sur le site. Par exemple, il faut disposer du rôle "Auteur" sur le site cible.

La troisième vulnérabilité, associée à la référence CVE-2022-21663, est probablement la moins grave puisqu'elle est très difficile à exploiter. Enfin, disons qu'il faut des prérequis qui peuvent surprendre : pour exploiter cette vulnérabilité, il faut des droits de super administrateur, et elle concerne uniquement les sites Multisite de WordPress (gestion de plusieurs sites depuis une même interface). Comme l'explique Wordfence sur son site, dans certains cas, relativement rares, même le super administrateur n'est pas autorisé à exécuter du code arbitraire donc c'est là que l'exploitation de cette faille peut avoir du sens.

Enfin, un peu dans le même esprit que la première vulnérabilité évoquée dans cet article, la vulnérabilité CVE-2022-21664 est une injection SQL via WP_Meta_Query. Elle affecte WordPress pour les versions comprises entre la 4.1 et la 5.8.2.

Voilà, vous en savez un peu plus sur cette mise à jour de sécurité WordPress, et si ce n'est pas déjà fait, je vous invite à l'installer sur votre site !

Source

The post WordPress 5.8.3 : une mise à jour de sécurité à installer d’urgence ! first appeared on IT-Connect.

Android : le malware FluBot évolue et cible l’Europe

10 janvier 2022 à 13:00

Le malware FluBot continue d'évoluer et d'être distribué sur les appareils Android au travers de nouvelles campagnes d'attaques, notamment en Europe qui est une cible privilégiée. Méfiance.

Pour rappel, FluBot est un Cheval de Troie bancaire qui s'installe sur les appareils Android et qui est capable de dérober des identifiants de connexion en affichant son propre formulaire de connexion en superposition de celui de votre banque. Ce n'est pas tout, il intègre d'autres fonctionnalités lui permettant d'envoyer ou d'intercepter les SMS (notamment pour récupérer les codes de vérification à usage unique), de désinstaller des applications, de désactiver Play Protect, de prendre des captures d'écran, etc.

Dans sa dernière version, FluBot a fait évoluer son algorithme de génération de domaine (DGA - Domain Generation Algorithm), et il génère des domaines à la volée afin de communiquer avec les serveurs C2. Le système DGA utilise près de 30 domaines TLD différents. De cette manière, il devient presque impossible de bloquer FluBot grâce à du filtrage DNS. En complément, FluBot se connecte au serveur C2 grâce à la méthode du DNS tunneling over HTTPS afin que les données soient masquées dans des requêtes DNS et que le flux soit chiffré.

FluBot est distribué par SMS et ce message peut vous inviter à télécharger une mise à jour de sécurité pour votre appareil, ou encore une mise à jour d'Adobe Flash Player. Bien sûr, tout cela est faux et l'objectif est que vous téléchargiez le logiciel malveillant sur votre appareil.

Comme l'explique F5 Labs au travers d'un schéma, une fois qu'une personne est victime de FluBot, la liste des contacts de l'appareil est exploitée afin d'envoyer des SMS malveillants et lui permettre de se diffuser.

Source : F5 Labs

En ce moment, FluBot semble particulièrement apprécier les SMS qui invitent à télécharger une mise à jour de Flash Player. Résultat, une application "Flash Player" apparaît bien sur le smartphone Android mais il s'agit en fait de FluBot. Voici un exemple sur le smartphone d'une victime polonaise :

Source : CSIRT KNF

Pour finir, je tiens à (re)dire qu'il vaut mieux éviter d'installer les packages APK en provenance d'Internet, à moins d'être sûr de l'origine du package (certains éditeurs distribuent des applications sous ce format directement plutôt que par les magasins d'applications habituels).

Source

The post Android : le malware FluBot évolue et cible l’Europe first appeared on IT-Connect.
❌