La disparition du Boeing de la compagnie Malaysia Airlines a suscité un véritable engouement dans les médias et notamment sur la toile… Les pirates l’ont bien compris et se sont engouffrés dans la brèche afin d’attirer les internautes dans leurs filets dans un seul but : Répandre des virus sur la toile.

La moindre information concernant la disparition du Boeing peut attirer de nombreuses personnes, cela donne lieu à de faux articles de presse ou de vidéos publiées directement sur YouTube. En fin de compte, vous êtes invité à cliquer sur un lien qui envoie vers un site malveillant où se trouvent des virus…

Méfiez-vous car ces hackers utilisent des titres accrocheurs comme “Le vol de Malaysia Airlines retrouvé !“. Bien évidemment, les internautes les moins avertis tombent dans le panneau.

Un seul conseil : Consultez l’information sur des sites fiables afin d’être sur d’avoir des sources fiables !

Cette semaine le trafic du serveur DNS de Google très connu et accessible à l’adresse IP 8.8.8.8 a été détourné.

Selon BGPmon , le serveur DNS de Google a été détourné hier pendant une durée de 22 minutes.

Ce serveur est très utilisé puisqu’il gère environ 150 milliards de requêtes par jour. De ce fait, pendant la durée de l’attaque, des millions d’utilisateurs d’Internet, y compris des institutions financières et même les gouvernements ont été redirigés vers la division British Telecom au Venezuela et au Brésil.

Les hackers ont exploité une vulnérabilité bien connue au sein du protocole de routage BGP (Border Gateway Protocol), qui est notamment utilisé pour le routage de l’information sur les réseaux opérateurs.

Ce détournement a permit aux attaquants de rediriger le trafic vers un routeur qu’ils contrôlaient. Ce type d’attaque est difficile à détecter puisque le trafic finit toujours par atteindre sa destination, même s’il empreinte un chemin différent du chemin habituel, comme nous l’ont démontré en 2008 les deux chercheurs en sécurité Tony Kapela et Alex Pilosov.

Malheureusement, ce n’est pas la première fois que le trafic du DNS de Google est détourné. La dernière fois c’était en 2010 vers la Roumanie et l’Autriche.

I. Présentation

Les stratégies de groupe et notamment les paramètres de Préférences permettent d’automatiser la configuration des ordinateurs clients d’un domaine, aussi bien au niveau Ordinateur qu’au niveau Utilisateur.

Certaines préférences permettent une action possédant un champ “mot de passe“, comme par exemple lorsque l’on souhaite changer le mot de passe d’un utilisateur local, mapper un lecteur réseau, créer une tâche planifiée, etc.

Cependant, stocker les mots de passe dans les objets GPO ce n’est pas une bonne idée… voyons pourquoi.

II. Le stockage des mots de passe

Les objets GPO sont stockés dans le répertoire “SYSVOL“, ce dernier étant disponible pour les postes clients de votre domaine pour “publier” les GPO, et, il est également répliqué entre vos différents contrôleurs de domaine.

Les paramètres de type “Préférences” d’un objet GPO sont représenté par un ou plusieurs fichiers au format XML contenant l’ensemble des paramètres “Préférences” à déployer sur les postes clients ciblés, selon ce que vous avez configuré dans la GPO via l’interface graphique.

Par sécurité, ce mot de passe n’est pas stocké en clair dans le fichier XML, il est chiffré. Chiffré oui, enfin, d’après les informations fournies par Microsoft le chiffrement/déchiffrement utilise AES-32 bits ce qui n’est pas fiable, pas sécurisé.

D’ailleurs, lorsqu’un mot de passe est indiqué dans un objet GPO, une pop-up apparaît avec indiqué : “Ce mot de passe est stocké avec l’objet de stratégie de groupe dans SYSVOL et est détectable, bien qu’il soit masqué“.

Si l’on édite un fichier XML contenant un mot de passe, on verra qu’il apparaît sous l’attribut “cpassword” comme ceci :

Dans l’exemple ci-dessus, il s’agit d’un paramètre préférence qui modifie le mot de passe de l’utilisateur “Invité“ sur les ordinateurs du domaine.

Sur son Developer Network, Microsoft donne des précisions concernant le chiffrement des mots de passe des fichiers de préférences pour les GPO. Si vous souhaitez obtenir des détails sur la clé AES-32 bits utilisée, consultez le chapitre “2.2.1.1.4 Password Encryption” de la page suivante : Password Encryption

III. Les risques

Sur un domaine, tous les utilisateurs authentifiés ont un accès en lecture à SYSVOL afin de pouvoir lire les objets GPO, les scripts de connexion, etc… Comme le précise Microsoft sur son Technet :

“A password in a preference item is stored in SYSVOL in the GPO containing that preference item. To obscure the password from casual users, it is not stored as clear text in the XML source code of the preference item. However, the password is not secured. Because the password is stored in SYSVOL, all authenticated users have read access to it. Additionally, it can be read by the client in transit if the user has the necessary permissions.”

De ce fait, si un pirate réussis à s’authentifier sur votre domaine grâce à un compte utilisateur, il pourra ensuite accéder en lecture au SYSVOL, récupérer la valeur “cpassword” chiffrée dans un fichier XML et la déchiffrer. A la suite de cela, il sera en possession d’un mot de passe (cela sera plus ou moins grave selon le mot de passe concerné…).

De plus, il est à noter que depuis 2012 un module “Group Policy Preferences Password” est présent dans MetaSploit, afin d’exploiter ce manque de sécurité.

La description du module est la suivante : “This module enumerates the victim machine’s domain controller and connects to it via SMB. It then looks for Group Policy Preference XML files containing local user accounts and passwords and decrypts them using Microsofts public AES key. Tested on WinXP SP3 Client and Win2k8 R2 DC.”

Un pirate avec MetaSploit et un compte sur le domaine pourra scanner l’Active Directory et ainsi parvenir à obtenir le mot de passe chiffré via le fichier XML dans SYSVOL et il n’aura plus qu’à le déchiffrer.

IV. Paramètres de préférences concernés

Plusieurs paramètres de préférences proposent un champ “Mot de passe” :

- Propriétés des utilisateurs locaux
- Création d’une source de données
- Mappage d’un réseau réseau
- Service Windows
- Tâche planifiée

V. Quels objets GPO contiennent des mots de passe ?

Afin de savoir quels sont les objets GPO de votre domaine qui contiennent un mot de passe, vous pouvez les scruter un par un via la console de gestion des stratégies de groupe, en sélectionnant l’objet GPO puis en cliquant sur l’onglet “Paramètres” afin d’afficher un résumé.

Sinon, vous pouvez développer un script PowerShell pour vérifier cela, mais il en existe surement sur internet (voir sur le script center).

Ensuite, si vous souhaitez retirer la valeur de mots de passe que vous aviez indiqué dans l’objet GPO, deux choix s’offrent à vous :

- Via l’interface graphique, supprimer la valeur du champ “Mot de passe”
- Via l’édition du fichier XML, supprimer la valeur de l’attribut “cpassword” et enregistrer

En conclusion de ce tutoriel, j’ajouterais qu’il est préférable d’éviter toute utilisation des mots de passe dans une stratégie de groupe. Cela est trop dangereux en terme de sécurité, il est préférable d’attendre que Microsoft sécurise ce système afin de pouvoir l’utiliser sereinement.

I. Présentation

Dans un autre tutoriel, j’expliquais la mise en place de l’agrégation de lien avec le protocole LACP sur des commutateurs HP ProCurve. Cet article quant à lui concerne l’équivalent mais avec des commutateurs Cisco, on appelle cela “EtherChannel“.

Rappel concernant LACP :

Le protocole LACP permet la mise en place d’agrégat de liens qui permet de regrouper plusieurs liens physiques en un seul lien logique et ainsi améliorer les performances en termes de bande-passante, de haute disponibilité et de répartition de charge.

LACP signifie Link Aggregation Control Protocol est un protocole de niveau 2 qui a pour référence IEEE “802.3ad“.

Il existe une alternative au protocole LACP par l’intermédiaire du protocole PAgP qui est un protocole propriétaire Cisco.

II. Conditions requises

Pour la mise en place de l’EtherChannel sous Cisco, les conditions suivantes doivent être respectées :

- Support de l’EtherChannel sur les interfaces de l’équipement

- Même mode duplex (full duplex / half duplex)

- Même vitesse

- La plage de VLANs autorisés doit être la même des deux côtés sinon l’EtherChannel passera en mode Desirable.

III. Architecture

Voici l’architecture mise en place dans cet exemple :

On partira du principe où sur chaque switch, ce sont les ports fastEthernet 0/1 et 0/2 qui sont utilisés pour l’agrégation.

Pour la réalisation de cet exemple, j’utiliserais le logiciel Cisco Packet Tracer.

IV. Configuration des switchs

La procédure de configuration des switchs est identique, il faudra saisir le jeu de commandes suivant sur les deux switchs :

# Passage en mode configuration
Sw1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
# Sélectionner la plage d'interfaces
Sw1(config)#interface range fastEthernet 0/1 - 2
# Création d'un groupe EtherChannel n°1 avec le protocole LACP (mode active)
Sw1(config-if-range)#channel-group 1 mode active
Creating a port-channel interface Port-channel 1
Sw1(config-if-range)#exit
# Accès au paramétrage du port-channel créé
Sw1(config)#interface port-channel 1
# Passer le port-channel en mode trunk pour pouvoir faire passer plusieurs VLANs
Sw1(config-if)#switchport mode trunk

 Note : A la place du mode “active” il est possible d’indiquer le mode “passive” pour le second switch, il sera alors en attente que le switch à l’autre extrémité lui envoie un signal lui indiqué qu’il est actif en LACP. Pour que l’EtherChannel fonctionne avec LACP, il faut être active/active ou active/passive.

Si vous souhaitez ajouter explicitement la liste des VLANs autorisés :

# VLANs autorisés (exemple VLAN 10 et VLAN 20) - OPTIONNEL
Sw1(config-if)#switchport trunk allowed vlan 10,20

Et indiquer un VLAN natif :

# VLANs natif - OPTIONNEL
Sw1(config-if)#switchport trunk native vlan 99

Lors de la création du groupe de ports pour l’EtherChannel, les interfaces concernées seront redémarrées :

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to up

Pour visualiser l’état des différents channel-group configurés, utilisez la commande suivante :

show etherchannel

L’EtherChannel est désormais opérationnel entre les deux commutateurs Cisco.

V. A vos claviers

Pour finir, je vous propose de télécharger un exercice d’entraînement sous Cisco Packet Tracer où vous devez mettre en place de l’EtherChannel entre 3 commutateurs.

Farid Essebar, un hacker connu en ligne comme Diabl0, a été arrêté à Bangkok sur demande des autorités Suisse afin qu’il soit extradé et qu’il réponde à ses infractions de fraude informatique.

Les autorités en Thaïlande ont suivit Essebar et trois de ses associés depuis 2 ans, à travers le monde. Il a été arrêté le 11 Mars à la suite d’une demande effectuée par le Swiss Federal Office of Justice (FOJ), a confirmé Ingrid Ryser une porte-parole du FOJ.

Ce hacker est suspecté d’avoir compromis des systèmes informatiques et des sites web appartenant à des banques suisses, causant un dommage de plus de 4 milliards de dollars d’après The Bangkok Post.

Cependant, Jeanette Balmer une porte parole pour le bureau du procureur général Suisse n’a pas confirmé un montant spécifique, mais elle dit dans un email que “la somme en jeu est considérable“.

Essebar n’en est pas à son coup d’essai, il a déjà été arrêté en 2005 avec deux autres personnes, pour des infractions liées à la création et la distribution du virus Zotob. Ce dernier infectait des machines tournant sous Windows XP et Windows 2000. Ce qui lui avait coûté deux ans de prison.

Source