Le vendredi 27 octobre, le géant de l'aéronautique Boeing aurait été victime d'une cyberattaque ! Le gang de ransomware LockBit a revendiqué cette attaque informatique et une rançon est demandée ! Voici ce que l'on sait !

Les cybercriminels de LockBit ont revendiqués une attaque contre Boeing et ils affirment détenir une quantité importante de données appartenant à Boeing ! Une demande de rançon a été transmise à Boeing : la date limite est fixée au 2 novembre 2023. Si la rançon n'est pas payée, les données, qualifiées de sensibles, seront divulguées publiquement. Le site de LockBit indique : "Une quantité considérable de données sensibles a été exfiltrée et est prête à être publiée si Boeing ne prend pas contact dans le délai imparti."

Bien que tout porte à croire que cette attaque est réelle, de son côté, Boeing mène des investigations. Pour le moment, l'entreprise n'a pas encore confirmé l'existence d'une compromission de son système informatique. Du côté de LockBit, on se vanterait d'avoir exploité une faille de sécurité zero-day pour compromettre l'infrastructure de Boeing. À suivre.

Cette cyberattaque pourrait être lourde de conséquences puisque d'après Ouest-France, l'entreprise Boeing travaille avec les États-Unis, et plus particulièrement l'US Air Force, afin de construire deux nouveaux avions destinés à transporter le président américain.

LockBit, un gang de cybercriminels bien connu...

Quoi qu'il en soit, LockBit est un gang de cybercriminels redoutable et très actif, avec déjà plusieurs milliers d'attaques à son actif et plusieurs dizaines de millions de dollars de gains empochés...

Un peu partout dans le monde, ainsi qu'en France, plusieurs entreprises et établissements de santé ont déjà fait les frais de ce groupe de cybercriminels. Nous pouvons citer quelques exemples : Thales, l'Hôpital de Corbeil-Essonnes, ou encore La Poste Mobile.

D'ailleurs, ce passage issu d'un rapport de l'ANSSI montre à quel point LockBit a impacté les organisations françaises : "80 alertes ont été traitées par l’ANSSI depuis 2020, représentant 11% de tous les cas de rançongiciels traités durant cette même période. Il est à noter une forte augmentation de la présence de Lockbit en France en 2022 et 2023. En effet, 27% des cas de rançongiciels traités par l’ANSSI ont été attribués au groupe Lockbit ces deux dernières années, contre 10% en 2021 et 2% au second semestre 2020."

Source

The post Les cybercriminels de LockBit revendiquent une cyberattaque contre Boeing ! first appeared on IT-Connect.

Le logiciel malveillant nommé StripedFly a été actif pendant 5 ans avant d'être détecté ! Au total, il a infecté plus d'un million de machines sous Windows et Linux ! Voici ce que l'on sait sur cette menace.

Kaspersky a fait la découverte de StripedFly, un malware actif depuis 2017 qui se faisait passer pour un mineur de cryptomonnaie Monero. D'après cet article de l'éditeur Kaspersky, StripedFly a infecté plus d'un million de machines à travers le monde : "D'après les compteurs de téléchargement affichés par le dépôt où le logiciel malveillant est hébergé, le nombre estimé de cibles de StripedFly s'élève à plus d'un million de victimes dans le monde entier. - Ce malware est capable d'infecter les machines Windows et Linux.

StripedFly est un malware sophistiqué qui est parvenu à rester indétectable grâce à différentes techniques, notamment en masquant son trafic via le réseau TOR pour communiquer avec le serveur C2 des cybercriminels. Il est capable de se mettre à jour lui-même en récupérant des données sur plusieurs fournisseurs de confiance (GitLab, GitHub et Bitbucket).

Pour se propager d'une machine à une autre, il agit comme un ver informatique et a exploité massivement la faille de sécurité EternalBlue du protocole SMBv1. D'ailleurs, l'exploit utilisé par les cybercriminels a été mis au point avant même que la vulnérabilité EternalBlue soit divulguée publiquement. Ce n'est pas étonnant, car en 2017, la faille de sécurité EternalBlue a été massivement exploitée par les pirates informatiques.

Kaspersky a mis en ligne un rapport technique complet sur cette menace : "Le premier shellcode détecté se trouvait dans le processus WININIT.EXE, qui a la capacité de télécharger des fichiers binaires à partir de bitbucket[.]org et d'exécuter des scripts PowerShell." - Ceci est bien entendu pour l'infection sous Windows. La chaine d'infection complète est illustrée sur le schéma ci-dessous :

En ce qui concerne l'infection des machines Linux, le malware utilise le nom de "sd-pam" et il parvient à être persistant sur la machine en utilisant le gestionnaire de services systemd ou en modifiant les fichiers de démarrage, notamment ceux liés aux profils (/etc/rc*, profile, .bashrc ou inittab).

Kaspersky a repéré un ensemble de modules associés au malware StripedFly, notamment pour collecter et exfiltrer des données sur la machine infectée (dont des mots de passe et noms d'utilisateur), mais aussi pour exécuter d'autres codes malveillants, prendre des captures d'écran, exécuter des tâches à intervalle régulier, ou encore mimer un mineur de cryptomonnaie Monero.

Par ailleurs, il est intéressant de noter que StripedFly communique avec le même serveur C2 que le ransomware ThunderCrypt, situé à l'adresse ghtyqipha6mcwxiz[.]onion:1111.

Source

The post Indétectable pendant 5 ans, StripedFly a infecté plus d’un million de PC sous Windows et Linux first appeared on IT-Connect.

Vous rencontrez l'erreur "Something went wrong. [1001]" lors de la connexion aux applications Microsoft 365 sur votre ordinateur ? Sachez que Microsoft recherche une solution ! En attendant, une solution temporaire est proposée pour tenter de résoudre ce problème !

Microsoft a mis en ligne un nouvel article de support au sujet d'un problème qui affecte les utilisateurs d'Excel, Word, Outlook et PowerPoint inclut dans Microsoft 365 Apps sur les ordinateurs Windows. L'entreprise américaine précise : "Certains des scénarios qui reçoivent l'erreur Something went wrong [1001] sont liés à des logiciels de sécurité qui ont un impact sur le plug-in WAM (AAD.BrokerPlugin)." - WAM pour Web Account Manager est justement en charge de vous authentifier auprès des services de Microsoft.

Cette erreur semble assez vague puisqu'il y a de nombreux messages sur des forums à son sujet. Microsoft n'indique pas clairement dans quelles situations vous êtes susceptibles de la rencontrer.

Est-ce qu'il y a une solution à ce problème ?

La firme de Redmond mène des investigations afin de trouver une solution à ce problème. En attendant, les utilisateurs sont invités à utiliser les applications Web par l'intermédiaire du portail Microsoft 365, telle qu'Outlook Web Access (OWA) pour la messagerie électronique. Par ailleurs, Microsoft indique que vous pouvez utiliser les applications mobiles si vous rencontrez ce problème, en attendant qu'une solution soit trouvée.

Le document de support de Microsoft fait référence à deux commandes PowerShell qui peuvent vous aider temporairement (nous sommes preneurs de retour sur l'efficacité de ces commandes). Voici les deux commandes à exécuter après redémarrage de la machine :

Add-AppxPackage -Register "$env:windir\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Appxmanifest.xml" -DisableDevelopmentMode -ForceApplicationShutdown
Add-AppxPackage -Register "$env:windir\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\Appxmanifest.xml" -DisableDevelopmentMode -ForceApplicationShutdown

Enfin, si vous rencontrez ce problème, Microsoft vous encourage à ouvrir un ticket sur le portail Microsoft 365 et d'y inclure des journaux : "Afin d'accélérer l'enquête, veuillez inclure les journaux MSOAID dans le ticket (Microsoft Office Authentication/Identity Diagnostic)."

Source

The post Erreur de connexion « Something went wrong » aux apps Microsoft 365 : voici une solution temporaire ! first appeared on IT-Connect.

Dès aujourd'hui, vous pouvez ajouter la prise en charge de nouveaux formats d'archives à votre ordinateur sous Windows 11 22H2, simplement en installant une nouvelle mise à jour ! Une nouveauté attendue depuis plusieurs mois.

Nativement, le système d'exploitation Windows 11 va prendre en charge une petite dizaine d'extensions de fichiers correspondantes à des archives compressées. Cette évolution est liée à l'utilisation de la bibliothèque open source "libarchive" au sein de Windows 11. Cette nouveauté ajoute notamment la prise en charge des formats 7z et RAR, ce qui devrait faire du tord aux applications 7-Zip et WinRAR.

Voici la liste complète des 11 extensions prises en charge :

• .rar
• .7z
• .tar
• .tar.gz
• .tar.bz2
• .tar.zst
• .tar.xz
• .tgz
• .tbz2
• .tzst
• .txz

Ainsi, vous pouvez ouvrir ces formats de fichiers sans vous demander si vous avez, ou non, une application capable de les ouvrir puisque c'est Windows qui va le faire à votre place.

Même si cette nouveauté peut avoir un réel impact sur les applications 7-Zip et WinRAR, il faut savoir que pour le moment, Windows 11 ne prend pas en charge les archives compressées protégées par un mot de passe. Dans ce cas, il faudra toujours se tourner vers une application tierce. Par ailleurs, si l'on prend l'exemple de 7-Zip, cette application intègre de nombreuses options pour la compression d'archives : niveau de compression, choix de l'algorithme, chiffrement AES-256 bits, etc.... ce qui reste intéressant pour certains utilisateurs.

Pour "activer" cette nouveauté, vous devez installer la mise à jour KB5031455 sur votre PC ! Il s'agit d'une mise à jour optionnelle qui est une "preview" de ce qui sortira lors du Patch Tuesday de novembre 2023 (à l'exception des correctifs de sécurité). Plus largement, cette mise à jour active par défaut de nombreuses nouveautés de la mise à jour Moment 4 de Windows 11.

Remarque : pour recevoir cette mise à jour, vous devez activer l'option "Recevez les dernières mises à jour dès qu'elles sont disponibles" dans les paramètres de Windows Update.

Qu'en pensez-vous ?

The post Windows 11 prend en charge 11 nouveaux formats d’archives dont 7-Zip et RAR first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à configurer l'énumération basée sur l'accès sur les partages d'un serveur de fichiers sous Windows Server 2022. Avant de passer à la pratique, cette fonctionnalité sera expliquée et nous verrons le rôle qu'elle peut jouer sur un serveur.

• Voir la vidéo sur YouTube

Cet article s'inscrit dans une suite d'articles sur les sujets des serveurs de fichiers sur Windows Server. Suivez ce lien :

• Tutoriels - Gestion d'un serveur de fichiers

II. Qu'est-ce que l'énumération basée sur l'accès ?

En entreprise, un serveur de fichiers représente un espace de stockage centralisé et utilisé par différents services (secrétariat, ressources humaines, comptabilité, etc.). Ainsi, le serveur de fichiers pourra contenir plusieurs partages (un par service, par exemple) ou un partage racine avec des sous-dossiers par service. Chaque salarié, en fonction de ses attributions professionnelles, pourra accéder à un ou plusieurs dossiers à partir de son compte utilisateur. Les permissions sont gérées à l'aide des autorisations NTFS et des autorisations de partage. Néanmoins, par défaut, l'utilisateur pourra visualiser dans son Explorateur de fichiers tous les dossiers : qu'il dispose de droits d'accès ou non.

L'énumération basée sur l'accès, que l'on appelle également ABE pour Access-Based Enumeration, apporte une réponse intéressante à cette problématique. En effet, cette fonctionnalité va en quelque sorte "filtrer" l'affichage dans l'Explorateur de fichiers de Windows, de manière à ce que chaque utilisateur puisse voir uniquement les éléments sur lesquels il a des droits (de lecture ou de lecture/écriture). Autrement dit, l'affichage tient compte des permissions réelles de l'utilisateur.

Remarque : Windows Server 2008 et les versions plus récentes prennent en charge nativement l'ABE. Il est également possible d'utiliser cette fonction sur Windows Server 2003 avec le SP1. Il est pris en charge par tous les systèmes d'exploitation desktop à partir de Windows XP SP1.

Il y a plusieurs bonnes raisons qui doivent vous pousser à utiliser cette fonctionnalité :

• L'utilisateur voit uniquement ce qui le concerne, ce qui évitera qu'il soit frustré parce qu'il ne peut pas accéder à tel ou tel dossier (quand il est confronté à un message "Accès refusé")
• Les noms de répertoire peuvent contenir des informations confidentielles : Bilan_comptable_2023, Plan_Licenciement_2023, etc...
• L'utilisateur pourra naviguer plus facilement au sein des partages puisque l'affichage sera épuré

En résumé, vous devez activer l'ABE pour éviter de révéler des informations inutilement, que ce soit auprès des utilisateurs ou peut-être même d'un cybercriminel qui est en train d'explorer votre infrastructure...

Le seul inconvénient de l'ABE, c'est qu'elle va consommer des ressources sur le serveur de fichiers. Toutefois, ce sera invisible sur un partage avec moins de 15 000 fichiers, sinon il peut y avoir un délai compris entre 1 et 3 secondes pour "générer" l'affichage. Une bonne organisation de la structure de dossier du serveur de fichiers permet de contourner le problème.

Remarque : l'énumération basée sur l'accès peut être configurée sur les partages standards (partages SMB) mais également sur les dossiers DFS.

III. Configurer l'énumération basée sur l'accès

Il y a plusieurs façons de configurer l'énumération basée sur l'accès, dont : l'interface graphique de Windows Server, PowerShell et l'utilitaire en ligne de commande abecmd.exe.

A. Contexte

Pour cette démonstration, nous allons utiliser un dossier partagé en tant que racine avec plusieurs sous-dossiers :

• Partage
  • Commercial
  • Comptabilité
  • Direction
  • Informatique
  • RH

Les permissions NTFS sont gérées selon la méthode AGDLP. L'héritage des permissions NTFS est désactivé sur chaque sous-dossier de manière à attribuer les permissions uniquement pour certains groupes de sécurité sur chaque dossier. L'utilisateur "Chris Tal", directeur de cette entreprise fictive, peut accéder en lecture/écriture au répertoire "Direction", et en lecture seule aux répertoires suivants : Commercial, Comptabilité, RH. Il n'a pas accès au répertoire "Informatique".

Pourtant, pour le moment, il voit bien le répertoire "Informatique" lorsqu'il navigue dans le partage. L'accès à ce répertoire lui est bien refusé.

B. Activer l'ABE avec l'interface graphique

Pour effectuer la configuration, ouvrez le "Gestionnaire de serveur", cliquez sur à gauche "Services de fichiers et de stockage" (1). Ensuite, cliquez sur "Partages" (2), sélectionnez le partage dans la liste (3) et à l'aide d'un clic droit choisissez "Propriétés" (4).

Au sein des propriétés, cliquez sur "Paramètres" et activez l'option nommée "Activer l'énumération basée sur l'accès". Validez.

La configuration est terminée...

Il ne reste plus qu'à fermer puis rouvrir la session de "Chris Tal" sur son poste de travail. Désormais, quand il navigue dans "Partage", il ne voit plus le répertoire "Informatique" : ce dossier est invisible car l'utilisateur n'a pas de permissions !

L'ABE est bien configurée sur ce partage !

C. Configurer l'ABE avec PowerShell

Via l'interface graphique, il faut agir partage par partage pour gérer la fonctionnalité ABE. S'il y a deux ou trois partages, ça va. S'il y en a beaucoup plus, cela peut vite devenir pénible. C'est là que PowerShell entre en jeu. Vous devez utiliser au minimum PowerShell 5.0.

Tout d'abord, vous pouvez obtenir l'état de la fonctionnalité "Énumération basée sur l'accès" pour tous les partages de votre serveur grâce à cette commande :

Get-SmbShare | Select-Object Name, Path, FolderEnumerationMode

Cette commande retourne la liste des partages avec le nom, le chemin et l'état de la fonction ABE.

Vous pouvez activer l'ABE sur tous les partages à l'aide d'une simple commande PowerShell. Il faudra simplement exclure tous les partages spéciaux, tels que "C$" (et ceux des autres volumes), ainsi que "ADMIN$" et "IPC$". Nous pouvons exclure ces partages en utilisant le paramètre "-Special" du cmdlet Get-SmbShare.

Voici la commande magique :

Get-SmbShare -Special $false | Set-SmbShare -FolderEnumerationMode AccessBased -Force

Si vous souhaitez savoir quels sont les partages qui seront configurés, exécutez au préalable cette commande :

Get-SmbShare -Special $false | Select-Object Name, Path, FolderEnumerationMode

Pour faire un retour arrière et désactiver l'ABE :

Get-SmbShare -Special $false | Set-SmbShare -FolderEnumerationMode Unrestricted -Force

IV. Conclusion

Grâce à ce tutoriel, d'une part vous savez à quoi correspond la fonctionnalité "Énumération basée sur l'accès" sur les partages, et d'autre part, vous êtes capable de faire la configuration à l'aide de l'interface graphique et de PowerShell.

Si vous avez une question, n'hésitez pas à poster un commentaire ou à venir en discuter sur notre serveur Discord.

The post Serveur de fichiers – Comment activer l’énumération basée sur l’accès sur Windows Server ? first appeared on IT-Connect.