L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a mis en ligne un nouveau guide intitulé "Recommandations relatives à l'administration sécurisée des systèmes d'information reposant sur Microsoft Active Directory", à destination des RSSI, DSI et administrateurs.

Il y a quelques jours, l'ANSSI a publié la version 1.0 de ce nouveau guide de 166 pages sur la sécurisation d'un environnement Active Directory. Il devrait être utile à de nombreuses entreprises et ce constat de l'ANSSI montre qu'il y a du travail : "L’ANSSI fait régulièrement le constat que des compromissions de systèmes d'information (SI) reposant sur un annuaire Active Directory (AD) résultent de l’application de mauvaises pratiques d’administration et d'un cloisonnement insuffisant."

En suivant les recommandations de ce guide qui insiste particulièrement sur l'importance du cloisonnement (ce qui est lié à ce que l'on appelle le tiering Active Directory), vous serez en mesure d'avoir une architecture d'administration adaptée à l'état actuel de la menace. L'ANSSI explique en détail le rôle et le fonctionnement des différents tiers d'administration : tier 0, tier 1 et tier 2.

Ce guide contient un ensemble de recommandations pour chaque point abordé, soit 89 recommandations au total.

Les grandes parties de ce guide

Ce guide est découpé en plusieurs grandes parties :

• Méthodologie de cloisonnement logique de l'annuaire AD et du SI
• Identification et cloisonnement du Tier 0
• Dangers de NTLM et Kerberos pour le cloisonnement du SI
• Choix d'architecture d'administration et problématiques de mutualisation

L'ANSSI a intégré à la fin de ce guide des annexes un peu plus technique, notamment sur le déploiement via PowerShell d'un silo d'authentification du Tier 0 via une stratégie d'authentification ainsi que l'utilisation du RDP avec l'option Restricted Admin.

Enfin, sachez que ce guide se concentre sur l'Active Directory et n'aborde pas les infrastructures hybrides ou l'annuaire Microsoft Entra ID (ex-Azure Active Directory).

Où télécharger ce guide ?

Si comme moi vous avez envie de prendre le temps de lire ce guide, vous pouvez le télécharger au format PDF sur le site de l'ANSSI :

• Obtenir le guide Active Directory de l'ANSSI

Pour déployer un modèle d'administration en tiering, avec du cloisonnement, je ne peux que vous encourager à vous intéresser au projet HardenAD présenté dans cet article :

• Découvrir HardenAD

Merci à l'ANSSI pour cet excellent travail et bonne lecture !

The post Un nouveau guide de l’ANSSI sur la sécurisation de l’Active Directory par le cloisonnement first appeared on IT-Connect.

Une campagne publicitaire malveillante prenant pour cible le gestionnaire de mots de passe KeePass a été identifiée ! Elle est particulièrement trompeuse, car elle apparait dans Google avec le nom officiel du site KeePass. Voici ce qu'il faut savoir !

Des cybercriminels ont abusé du système publicitaire de Google de manière à afficher un site malveillant en première position (car sponsorisé) lors de la recherche du mot clé "keepass". Pire encore, le résultat malveillant apparaît avec l'adresse "www.keepass.info" correspondante au site officiel de KeePass (à la différence près du "www" mais le domaine est le même) ! Comment est-ce possible ?

Malwarebytes, qui est à l'origine de cette découverte, précise dans son rapport que les cybercriminels ont utilisé la technique du Punycode pour masquer le domaine malveillant, en jouant sur l'encodage des caractères. De ce fait, quand vous cliquez sur le lien "www.keepass.info", vous accédez en réalité au domaine "xn--eepass-vbb[.]info" qui héberge le site des pirates, après avoir "subit" un ensemble de redirections pour échapper aux contrôles de sécurité.

L'utilisation de la méthode Punycode à des fins malveillantes, ce n'est pas nouveau. Par contre, ce qui l'est, c'est l'exploitation au travers du système Google Ads et ceci nous donne un résultat particulièrement trompeur.

En ce qui concerne la méthode Punycode, voici l'explication de Wikipédia : "Punycode transforme une chaîne Unicode en une chaîne ASCII de manière unique et réversible. Par exemple, bücher devient bcher-kva avec Punycode. De suite, le nom de domaine bücher.ch est représenté par xn--bcher-kva.ch." - Effectivement, ceci ressemble au nom de domaine réellement utilisé par les cybercriminels !

Un installeur de KeePass infecté par un malware

Au-delà du nom de domaine, le site malveillant est une copie du site officiel de KeePass assez bien faite. Il permet à l'utilisateur de télécharger KeePass, au format MSIX, signé avec un certificat : KeePass-2.55-Setup.msix.

Toutefois, cette version de KeePass est infectée par un script PowerShell malveillant (famille de malware FakeBat) qui est là pour établir une connexion avec le serveur C2 des cybercriminels. Ensuite, ils peuvent exécuter un payload à distance sur la machine.

Google a fait le nécessaire pour supprimer cette publicité malveillante, mais ce ne sera surement pas la dernière fois que cette technique est utilisée... D'ailleurs, le site BleepingComputer a repéré le domaine malveillant "keeqass.info". Méfiance.

Source

The post Méthode Punycode : cette publicité malveillante apparaît avec le nom de domaine officiel de KeePass ! first appeared on IT-Connect.

L'entreprise nippone Casio, mondialement connue, a subi une cyberattaque lors de laquelle les cybercriminels sont parvenus à voler les données personnelles de plusieurs dizaines de milliers d'utilisateurs dans 149 pays. Que s'est-il passé ? Faisons le point.

Le mercredi 11 octobre 2023, Casio a détecté cette intrusion sur son système informatique suite à la défaillance de la base de données du service ClassPad.net présente sur l'environnement de développement de l'entreprise. Lors de cette intrusion, les pirates ont pu accéder uniquement à cette base de données.

Dans le bulletin mis en ligne par Casio, nous pouvons lire : "Casio a confirmé qu'il n'y a aucune preuve d'intrusion non autorisée dans les actifs autres que la base de données présente dans l'environnement de développement."

Toutefois, grâce à cette base de données, les cybercriminels sont parvenus à voler des données personnelles au sujet des clients :

• 91 921 clients japonais
• 35 049 clients situés dans 148 pays

Au total, plus de 126 000 personnes réparties dans 149 pays sont concernées par cette fuite de données. Certains comptes sont liés à des établissements scolaires. Tous les utilisateurs concernés seront contactés par Casio : "Casio contactera tous les clients dont les informations personnelles ont pu être consultées, par courrier électronique ou par d'autres moyens."

Les cybercriminels ont pu mettre la main sur les données suivantes : nom, prénom, adresse e-mail, pays de résidence, des détails sur l'utilisation du service ClassPad, ainsi que des clés de licence et des détails sur les commandes effectuées. La bonne nouvelle, c'est que les informations de paiement n'étaient pas stockées dans la base de données compromise.

Malgré cet incident de sécurité, le service éducatif ClassPad.net de Casio reste actif et en ligne. Même si ce n'est pas précisé dans le bulletin de Casio, il est recommandé de changer son mot de passe par précaution. Méfiez-vous également des e-mails suspects, car ces données peuvent être exploitées au sein d'une campagne de phishing.

Source

The post Cyberattaque Casio : 126 000 utilisateurs impactés par une fuite de données ! first appeared on IT-Connect.

Meta ne s'arrête plus avec WhatsApp et les annonces s'enchaînent ! Aujourd'hui, nous apprenons que vous allez pouvoir utiliser plusieurs comptes sur le même appareil, sans avoir à vous déconnecter et reconnecter. Une évolution qui fera plaisir à de nombreux utilisateurs.

Meta a mis en ligne un article pour présenter une nouveauté attendue : l'utilisation de plusieurs comptes, en même temps. Autrement dit, vous pouvez être connectés à plusieurs comptes WhatsApp et basculer de l'un à l'autre très facilement.

Attention toutefois, il serait question de pouvoir utiliser deux comptes en même temps, d'après l'annonce officielle : "Qu'y a-t-il de mieux que d'avoir un compte WhatsApp ? Bien sûr, c'est d'en avoir deux. Aujourd'hui, nous introduisons la possibilité d'avoir deux comptes WhatsApp connectés en même temps."

Pour utiliser deux comptes WhatsApp, vous devez avoir un smartphone avec multi-SIM afin d'avoir deux cartes SIM dans l'appareil, à moins d'avoir un appareil compatible eSIM. Ainsi, chaque numéro de téléphone aura le droit à un compte WhatsApp dédié.

Cette nouveauté va ravir les accros de WhatsApp qui ont le même smartphone pour l'usage personnel et l'usage professionnel. "Pratique pour passer d'un compte à l'autre (professionnel et personnel, par exemple), vous n'avez plus besoin de vous déconnecter à chaque fois, d'avoir deux téléphones.", précise Meta.

À partir des paramètres de WhatsApp, un nouveau bouton vous permet d'ajouter un second compte. Ensuite : "Vous pouvez contrôler vos paramètres de confidentialité et de notification sur chaque compte.", précise l'entreprise américaine.

Récemment, Meta a annoncé que WhatsApp prenait en charge les passkeys pour l'authentification à son compte, ce qui permet de se connecter sans utiliser de mots de passe ! Grâce à une passkey, vous pouvez vous authentifier via le lecteur d'empreinte biométrique de votre smartphone, la reconnaissance faciale ou un code PIN. Le mois dernier, ce sont les Chaînes WhatsApp qui ont également fait leur apparition.

Que pensez-vous de cette nouveauté ?

The post Désormais, vous pouvez utiliser deux comptes en même temps avec WhatsApp ! first appeared on IT-Connect.

I. Présentation

Vous travaillez en environnement Active Directory avec des machines sous Windows et vous ne savez plus trop qui est administrateur local de quelle machine ? Autrement dit, vous cherchez à obtenir la liste des administrateurs locaux de chaque machine de votre domaine Active Directory ? Cela tombe bien, c'est ce que nous allons voir dans ce tutoriel où nous allons utiliser PowerShell !

Vous avez également la possibilité de déployer une stratégie de groupe pour uniformiser la configuration sur vos machines :

• Comment définir un administrateur local d'une machine Windows par GPO ?

II. Lister les comptes Administrateurs locaux d'une machine

Tout d'abord, nous allons voir comment obtenir cette information sur une seule machine, en étant en local. Vous pouvez regarder dans la console "Gestion de l'ordinateur" afin de regarder les membres du groupe "Administrateurs". Dans cet exemple, nous pouvons voir qu'il y a le compte "Administrateur" local de la machine, ainsi que le groupe de sécurité "IT-CONNECT\GDL-Admins-PC" (dans l'Active Directory).

Ma volonté étant plutôt de vous expliquer comment procéder avec PowerShell, voici la commande à utiliser :

Get-LocalGroupMember -Group "Administrateurs"

Elle retournera la même liste que l'interface graphique. La propriété "PrincipalSource" permet de savoir s'il s'agit d'un utilisateur/groupe stocké dans la base SAM locale ou dans l'Active Directory.

Ainsi, nous pourrions filtrer cette liste pour avoir uniquement les objets (utilisateur/groupe) appartenant à l'Active Directory :

Get-LocalGroupMember -Group Administrateurs | Where-Object {$_.PrincipalSource -eq "ActiveDirectory"}

Si le module Active Directory de PowerShell était installé sur le poste de travail, nous pourrions récupérer la liste des membres des groupes Active Directory, en l'occurrence ici les membres du groupe "IT-CONNECT\GDL-Admins-PC". Toutefois, ce module n'est généralement pas installé sur les postes de travail (à quelques exceptions près...). Nous verrons comment récupérer automatiquement cette liste via l'interrogation à distance.

III. Récupérer la liste des administrateurs locaux à distance

Nous allons commencer à récupérer l'information à distance, ce qui permettra d'obtenir la liste des administrateurs locaux de n'importe quelle machine du domaine Active Directory actuellement allumé et connecté au réseau.

Avec PowerShell, nous allons utiliser le cmdlet "Invoke-Command" qui va permettre d'exécuter une commande sur la machine distante : nous allons exécuter la commande "Get-LocalGroupMember" que nous avons vue précédemment. Pour que cela fonctionne, la gestion à distance via WinRM doit être activée sur les machines cibles et ce flux doit être autorisé dans le pare-feu Windows.

• Comment activer WinRM par GPO ?

Le fait d'agir à distance depuis un contrôleur de domaine Active Directory ou une machine d'administration va nous permettre d'utiliser le module Active Directory de PowerShell à partir d'une seule machine.

Pour récupérer la liste des administrateurs locaux à distance sur une machine nommée "PC-01", voici la commande à exécuter :

Invoke-Command -ComputerName PC-01 -ScriptBlock { Get-LocalGroupMember -Group Administrateurs }

Nous obtenons le même résultat :

Ensuite, nous pouvons aller plus loin en nous intéressant aux administrateurs locaux correspondants à des comptes du domaine Active Directory.

• S'il s'agit d'un utilisateur, on récupère son identifiant (SamAccountName), son état pour savoir s'il est activé ou non (Enabled) et sa date de création (WhenCreated)
• S'il s'agit d'un groupe de sécurité, on récupère la liste des membres de ce groupe, et pour chaque utilisateur on récupère les mêmes propriétés (identifiant, état, date de création)

Ce qui donne le bout de code suivant :

$LocalAdmins = Invoke-Command -ComputerName PC-01 -ScriptBlock { Get-LocalGroupMember -Group Administrateurs | Where-Object { $_.PrincipalSource -eq "ActiveDirectory" } }

Foreach ($LocalAdmin in $LocalAdmins)
{
    If($LocalAdmin.objectclass –eq "Utilisateur"){
        Get-ADUser $LocalAdmin.SID -Properties whenCreated | Select-Object SamAccountName,enabled,whenCreated
    }
    If($LocalAdmin.objectclass –eq "Groupe"){
        Get-ADGroupMember $LocalAdmin.SID | ForEach-Object { Get-ADUser $_ -Properties whenCreated  | Select-Object SamAccountName,enabled,whenCreated } 
    }
}

Ainsi, le résultat suivant est retourné :

Ceci me donne des précisions sur les membres du groupe "IT-CONNECT\GDL-Admins-PC" de l'Active Directory ! Si un administrateur local ne nous plaît pas, il suffirait de le retirer du groupe. S'il s'agit d'un objet local, il est toujours possible de le faire à distance via la commande "Remove-LocalGroupMember".

IV. Récupérer la liste des administrateurs locaux pour tous les ordinateurs

Pour finir et aller plus loin, nous allons voir comment récupérer la liste des administrateurs locaux pour tous les ordinateurs (ou une sélection d'ordinateurs) intégrés à l'Active Directory.

Tout d'abord, nous devons récupérer une liste de machines : à vous de définir vos critères en adaptant la syntaxe de la commande Get-ADComputer. Cette liste de machines sera stockée dans la variable $Targets.

• Comment administrer l'Active Directory avec PowerShell ?

Par exemple, voici comment récupérer une liste d'ordinateurs à partir d'une OU spécifique (et toutes les sous-OUs) :

$Targets = (Get-ADComputer -Filter * -SearchBase "OU=PC,DC=it-connect,DC=local").Name

Nous pouvons aussi utiliser d'autres critères, comme le système d'exploitation. Si l'on recherche uniquement les serveurs sous Windows Server, cela donne :

$Targets = (Get-ADComputer -Filter 'operatingsystem -Like "Windows Server*"').Name

Dans la commande Invoke-Command, nous allons simplement remplacer le nom de la machine à cibler par notre liste représentée par $Targets. Ainsi, nous allons récupérer la liste de tous les ordinateurs correspondants à notre sélection.

$LocalAdmins=Invoke-Command -ComputerName $Targets -ScriptBlock { Get-LocalGroupMember -Group Administrateurs | Where-Object { $_.PrincipalSource -eq "ActiveDirectory" } }

Désormais, nous allons aller plus loin puisque l'on va dresser la liste des administrateurs locaux correspondants à des comptes Active Directory, pour chaque machine. Lorsqu'il s'agit d'un groupe de sécurité, tel que "IT-CONNECT\GDL-Admins-PC", nous allons récupérer la liste des membres pour avoir directement les noms des utilisateurs dans la sortie de la commande.

$LocalAdmins=Invoke-Command -ComputerName $Targets -ScriptBlock { Get-LocalGroupMember -Group Administrateurs | Where-Object { $_.PrincipalSource -eq "ActiveDirectory" } }

$Report = Foreach ($LocalAdmin in $LocalAdmins)
{
    If($LocalAdmin.objectclass –eq "Utilisateur"){
        Get-ADUser $LocalAdmin.SID -Properties whenCreated | Select-Object @{Name = 'ComputerName'; Expression = {$LocalAdmin.PSComputerName}},SamAccountName,enabled,whenCreated, @{Name = 'Type'; Expression = {"Utilisateur"}}
    }
    If($LocalAdmin.objectclass –eq "Groupe"){
        Get-ADGroupMember $LocalAdmin.SID | ForEach-Object { Get-ADUser $_ -Properties whenCreated  | Select-Object @{Name = 'ComputerName'; Expression = {$LocalAdmin.PSComputerName}},SamAccountName,enabled,whenCreated,@{Name = 'Type'; Expression = {"Groupe"}}} 
    }
}

$Report | Format-Table

Le bout de code ci-dessous contient deux propriétés calculées :

• ComputerName pour spécifier le nom de l'ordinateur (sinon il sera difficile de s'y retrouver).
• Type pour indiquer la valeurr "Utilisateur" s'il s'agit d'un utilisateur directement membre du groupe "Administrateurs" de la machine ou la valeur "Groupe" s'il s'agit d'un utilisateur membre d'un groupe de sécurité AD étant lui-même membre du groupe "Administrateurs". De ce fait, un même utilisateur peut ressortir deux fois dans les résultats pour une même machine.

Voici un exemple de résultat :

Plutôt sympa, non ?

Vous pouvez aussi exporter cette liste dans un fichier CSV (qui contient la date du jour dans le nom) :

$Report | Export-CSV "C:\Scripting\CSVLocalAdmins.csv" -NoTypeInformation

Ce qui donne :

V. Conclusion

Libre à vous d'utiliser et d'adapter ces commandes et bouts de code PowerShell afin de vous les approprier : c'est du scripting donc nous pouvons faire du sur-mesure assez facilement. Que ce soit pour un audit, de la surveillance, etc... Il peut s'avérer très utile de récupérer la liste des comptes utilisateurs ayant les privilèges "Administrateurs" sur chaque machine de votre infrastructure ou parc informatique !

The post Active Directory : comment obtenir la liste des administrateurs locaux de tous les ordinateurs ? first appeared on IT-Connect.