FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

VMware : une faille critique affecte tous les serveurs vCenter 6.7 et 7.0

22 septembre 2021 à 13:56

VMware a publié un bulletin de sécurité pour informer ses clients de la présence d'une faille de sécurité critique au sein de toutes les installations de vCenter Server en version 6.7 et 7.0.

Pour rappel, le vCenter est un serveur de gestion pour faciliter l'administration et la configuration d'un ensemble de serveurs VMware et des machines virtuelles associées.

Au moment d'évoquer cette vulnérabilité, Bob Plankers, Technical Marketing Architect chez VMware, précise qu'elle peut être exploitée par quelqu'un qui est capable de contacter le serveur vCenter sur le réseau (port 443), peu importe la configuration, qui est en place sur le serveur vCenter. Pour se convaincre que cette faille est réellement critique, il suffit de regarder son score CVSS 3.1 : 9.8 / 10.

Cette faille de sécurité se situe au sein du service Analytics et elle permet à un pirate d'exécuter des commandes ou un programme sur l'hôte vCenter grâce au chargement d'un fichier malveillant. L'attaquant n'a pas besoin d'être authentifié sur le serveur pour exploiter la faille et il n'y a aucune interaction requise de la part des utilisateurs, contrairement à certains cas. Cela rend la vulnérabilité facilement exploitable.

Par conséquent, il est fortement recommandé d'installer le correctif dès que possible afin de se protéger contre cette vulnérabilité référencée avec le nom CVE-2021-22005. Un serveur VMware vCenter 7.0 doit être mis à jour vers la version 7.0 U2c pour être protégé, tandis que pour un serveur vCenter 6.7, il faut viser la version 6.7 U3o.

Il est à noter que certaines versions ne sont pas affectées par cette vulnérabilité, notamment la version vCenter Server 6.5.

Pour ceux qui ne sont pas en mesure d'appliquer le correctif dès maintenant, VMware a publié une procédure pour atténuer la vulnérabilité. Cela consiste à modifier un fichier de configuration et à redémarrer les services. Tout cela est expliqué sur cette page.

Source

The post VMware : une faille critique affecte tous les serveurs vCenter 6.7 et 7.0 first appeared on IT-Connect.

Ransomwares : voici les vulnérabilités exploitées par les pirates en 2021

20 septembre 2021 à 18:17

Des chercheurs en sécurité ont créé une liste des vulnérabilités les plus exploitées par les pirates pour pénétrer le réseau d'une entreprise dans le but d'exécuter un ransomware. Une excellente initiative !

Tout a commencé sur Twitter, ce week-end, suite à l'annonce passée par un membre de l'équipe de Recorded Future. Ensuite, d'autres chercheurs en sécurité ont participé à la constitution de cette liste très utile et qui s'est agrandie très rapidement ! Au final, cette liste est constituée de 42 vulnérabilités réparties au sein de 17 produits différents.

Source : Twitter / Allan Liska

Une synthèse intéressante pour obtenir une liste des vulnérabilités exploitées par les groupes de hackers en 2021. Elle présente l'avantage de permettre d'identifier facilement les produits que l'on utilise au sein de son infrastructure ou chez ses clients.

Nous retrouvons des vulnérabilités connues et qui ont fait beaucoup parler d'elles ces derniers mois. Par exemple, il y a la vulnérabilité dans le moteur MSHTML d'Internet Explorer (et qui touche Office), corrigée dernièrement à l'occasion du Patch Tuesday de Septembre 2021.

On peut également citer la vulnérabilité PetitPotam, exploitée par le ransomware LockFile, ainsi que le ransomware eChoraix qui s'est attaqué aux NAS QNAP et Synology.

Sans oublier les trois failles de sécurité nommées "ProxyShell" et qui touchent les serveurs de messagerie Microsoft Exchange. D'ailleurs, fin août il y a eu des attaques ciblées en France où les pirates cherchaient à exploiter ces failles de sécurité. Encore plus récemment, c'est le ransomware Conti qui s'appuyait sur ses vulnérabilités.

On retrouve aussi la faille de sécurité CVE-2018-13379 de FortiOS et qui a beaucoup fait parler d'elle il y a quelques jours, malgré qu'elle soit corrigée par Fortinet depuis bien longtemps.

Si vous suivez régulièrement l'actualité sur le site, vous avez déjà entendu parler de certaines de ces vulnérabilités, même si le nom "CVE" n'est pas spécialement parlant.

Source

The post Ransomwares : voici les vulnérabilités exploitées par les pirates en 2021 first appeared on IT-Connect.

Quelles sont les nouveautés de Kali Linux 2021.3 ?

16 septembre 2021 à 07:52

Offensive Security a mis en ligne Kali Linux 2021.3 ! Découvrons ensemble les nouveautés principales de cette nouvelle mouture.

Pour rappel, Kali Linux est une distribution basée sur Debian qui intègre de nombreux outils liés à la sécurité informatique, que ce soit pour de l'audit, de l'analyse, mais aussi des tests de pénétration. Au-delà des améliorations apportées à la distribution directement, c'est le site Kali Tools qui s'est refait une beauté.

Les nouveaux outils de Kali Linux 2021.3

Commençons par la liste des nouveaux outils intégrés à Kali Linux 2021.3, puisque nous avons le droit à quelques nouveautés comme lors de la sortie de la version 2021.2.

  • Berate_ap : outil pour créer des points d'accès Wi-Fi malveillants (rogue AP MANA)
  • CALDERA : un framework conçu pour créer des simulations d'attaques, entre autres
  • EAPHammer : outil pour attaquer les réseaux Wi-Fi "WPA2-Enterprise"
  • HostHunter : outil de reconnaissance pour détecter les noms d'hôtes via les techniques d'OSINT
  • RouterKeygenPC : un outil pour générer les clés Wi-Fi WPA/WEP par défaut de certains routeurs
  • Subjack : un outil pour analyser et détecter les sous-domaines vulnérables
  • WPA_Sycophant : un outil pour attaquer un réseau Wi-Fi grâce à une attaque par relai
Kali Linux 2021.3
Kali Linux 2021.3

OpenSSL : tous les protocoles obsolètes sont actifs

Tout d'abord, Offensive Security a revu l'intégration d'OpenSSL au sein de Kali Linux. Alors que sur une machine de production il est préférable de ne pas activer les protocoles non sécurisés comme TLS 1.0 et TLS 1.1, sur cette distribution Linux, c'est différent. Afin de pouvoir cibler des périphériques obsolètes, il est nécessaire de les activer, c'est ce qui est fait avec cette nouvelle version.

En résumé, au sein de Kali Linux 2021.3, OpenSSL est configuré de manière à être compatible avec un plus grand nombre de configurations.

La virtualisation mieux supportée

Si vous utilisez Kali Linux dans une machine virtuelle, sachez que les développeurs ont amélioré le support dans les différents environnements de virtualisation (VMware, VirtualBox, Hyper-V). L'image Live peut être utilisée sur une VM et bénéficier de fonctions d'intégration sans installer les VMware Tools (ou équivalent). Par exemple, vous pouvez bénéficier du copier-coller nativement, ou redimensionner la fenêtre de la VM sans avoir à gérer la résolution manuellement.

Enfin, sachez que cette nouvelle version supporte mieux les architectures ARM puisque différents bugs ont été corrigés.

Rendez-vous sur le site Kali Linux pour obtenir tous les détails.

The post Quelles sont les nouveautés de Kali Linux 2021.3 ? first appeared on IT-Connect.

LockBit 2.0 s’attaque aux domaines Active Directory avec une GPO !

30 juillet 2021 à 07:30

Le redoutable ransomware LockBit est de retour, dans une nouvelle version encore plus performante que la précédente. Il s'attaque aux entreprises à partir de l'annuaire Active Directory et des stratégies de groupe.

LockBit est un ransomware qui existe depuis septembre 2019 et qu'il est possible d'utiliser en tant que ransomware-as-a-service. Son créateur cherche "à recruter" des hackers pour réaliser des attaques et chiffrer les serveurs d'entreprises, partout dans le monde. Au niveau de la répartition des gains, il y aurait environ 20% pour le créateur de LockBit et le reste pour les hackers à l'origine de l'attaque.

Sur le site du ransomware, il est précisé que LockBit 2.0 est le plus rapide au monde pour chiffrer les données. Les fonctionnalités du malware sont également listées sur le site, et nous pouvons lire que les développeurs ont automatisé la distribution du ransomware dans un domaine Windows (Active Directory), sans avoir recours à des scripts.

Par ailleurs, LockBit 2.0 intègre des fonctionnalités classiques comme l'analyse des ports ouverts sur les serveurs et les machines, notamment dans le but de détecter des partages SMB, DFS ou WebDav.

Source : Twitter - @Intel_by_KELA

Dans la pratique, dès lors que LockBit 2.0 dispose des droits administrateur sur un domaine Active Directory, il va créer une stratégie de groupe (GPO). Avec cette GPO, il va désactiver Microsoft Defender (protection en temps réel, les alertes, l'envoi des échantillons à Microsoft, etc.) sur l'ensemble des machines rattachées au domaine Active Directory et exécuter le ransomware à partir d'une tâche planifiée. La tâche planifiée est configurée de manière à outrepasser l'UAC afin d'exécuter des actions avec les droits admin sur la machine locale.

L'exécutable du ransomware étant copié au préalable à travers le réseau à partir d'une liste de machines récupérées auprès de l'annuaire Active Directory.

D'après le site Bleeping Computer et le chercheur en sécurité Vitali Kremez, après la création de la GPO, le ransomware va forcer le rafraîchissement des GPO sur l'ensemble des machines. Cela s'effectue à l'aide de PowerShell et de la commande suivante :

powershell.exe -Command "Get-ADComputer -filter * -Searchbase '%s' | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}"

Ce serait la première fois qu'un ransomware utilise une GPO pour se diffuser au travers d'un réseau, de manière automatisée.

Pour finir, une fois qu'un périphérique est chiffré, le ransomware va exécuter une action de "print bombing", c'est-à-dire qu'il va envoyer des impressions en masse sur toutes les imprimantes connectées à la machine. Cela va permettre d'attirer l'attention de la victime et de l'avertir que sa machine est victime de LockBit 2.0, tout en intégrant un ID à utiliser pour payer la rançon.

Source

The post LockBit 2.0 s’attaque aux domaines Active Directory avec une GPO ! first appeared on IT-Connect.
❌