Plusieurs géants du web américains, à savoir Amazon Web Services, Cloudflare et Google ont pris des mesures pour atténuer des attaques par déni de service distribué (DDoS) monstrueuses basées sur une nouvelle technique surnommée HTTP/2 Rapid Reset.

Pour réaliser ces attaques DDoS de niveau 7 (selon le modèle OSI, à savoir la couche applicative) qui ont atteint des niveaux records, les cybercriminels ont exploité une faille de sécurité zero-day présente dans le protocole HTTP/2 (HTTP version 2). Associée à la référence CVE-2023-44487 et un score CVSS de 7.5 sur 10, cette faille de sécurité est idéale pour mener des attaques DDoS.

Baptisée HTTP/2 Rapid Reset, cette technique d'attaque exploite l'une des particularités de HTTP/2 : sa capacité à permettre le multiplexage de requêtes au sein d'une connexion TCP unique. Pour cela, les attaquants établissent un ensemble de connexions HTTP/2 au sein desquelles ils envoient des requêtes immédiatement suivies de reset (trame RST_STREAM), ce qui permet de saturer le serveur sans atteindre le seuil de flux simultanés. Le serveur ne peut que subir le reset puisque c'est en quelque sorte une décision unilatérale du client.

Dans le rapport d'AWS publié par Tom Scholl et Mark Ryland, nous pouvons lire : "Les attaques HTTP/2 Rapid Reset consistent en de multiples connexions HTTP/2 avec des demandes et des réinitialisations en succession rapide. Par exemple, une série de demandes pour plusieurs flux sera transmise, suivie d'une réinitialisation pour chacune de ces demandes. Le système ciblé analysera et traitera chaque demande, générant des logs pour une demande qui est ensuite réinitialisée, ou annulée, par un client."

Le schéma ci-dessous illustre très bien cette technique :

Les attaques DDoS HTTP/2 Rapid Reset en quelques chiffres

Google, AWS et Cloudflare ont révélé la puissance des attaques DDoS HTTP/2 Rapid Reset qu'ils ont subi. Voici les chiffres communiqués :

• Google : 398 millions de requêtes par seconde (nouveau record !)
• Cloudflare : 201 millions de requêtes par seconde
• Amazon : 155 millions de requêtes par seconde

Au-delà de la puissance de ces attaques, ce qui surprend, c'est le faible nombre de machines nécessaires ! Cloudflare indique que l'attaque DDoS avec 201 millions de requêtes par seconde a impliqué un petit botnet de 20 000 machines. Effectivement, c'est peu quand on sait qu'il existe des botnets avec plusieurs centaines de milliers ou millions de machines zombies...!

Ces attaques sont orchestrées depuis plusieurs mois, et cela continue aujourd'hui, comme le précise Google : "La dernière vague d'attaques a débuté fin août et se poursuit encore aujourd'hui, ciblant les principaux fournisseurs d'infrastructures, notamment les services Google, l'infrastructure Google Cloud et nos clients."

D'ailleurs, Cloudflare précise que depuis fin août son infrastructure a atténué environ un millier d'attaques DDoS basées sur la technique HTTP/2 Rapid Reset, dont 184 attaques qui ont dépassé son précédent record (71 millions de requêtes par seconde).

Comment se protéger ?

Il faut s'attendre à ce que des mises à jour soient publiées par les mainteneurs des projets open source et les éditeurs de produits commerciaux afin que l'on puisse se protéger de la vulnérabilité CVE-2023-44487 présente dans le protocole HTTP/2.

Dans son rapport, Google précise : "Si vous gérez ou exploitez votre propre serveur compatible HTTP/2 (open source ou commercial), vous devez immédiatement appliquer un correctif du fournisseur concerné lorsqu'il est disponible."

Source

The post Attaques DDoS records : la technique « HTTP/2 Rapid Reset » exploite une faille zero-day first appeared on IT-Connect.

Microsoft a mis en ligne ses nouvelles mises à jour cumulatives pour Windows 10, dont la mise à jour KB5031356 à destination de Windows 10 21H2 et Windows 10 22H2. Quels sont les nouveautés et changements apportés par Microsoft ? Faisons le point.

Au-delà des correctifs de sécurité, cette mise à jour permet de corriger 25 bugs présents dans Windows 10. Voici les changements mis en avant par Microsoft :

• Cette mise à jour permet d'améliorer l'expérience avec la zone de recherche présente dans la barre des tâches. Si vous avez une barre des tâches en haut, en bas, de taille normale ou avec de petites icônes, vous verrez la boîte de recherche apparaître. Vous pouvez l'utiliser pour accéder facilement aux applications, aux fichiers, aux paramètres et à d'autres éléments de Windows et du web. Vous aurez également accès aux derniers résultats de recherche.
• Cette mise à jour ajoute des animations aux icônes de la fonctionnalité "Actualités et centres d'intérêts". Ces animations se produisent lorsque :
  • Une nouvelle annonce apparaît sur le bouton "Actualités et centres d'intérêt" de la barre des tâches.
  • Vous survolez ou cliquez sur l'icône lorsque l'annonce est affichée dans la barre des tâches.
• Cette mise à jour résout un problème affectant Microsoft Excel. Il ne répond plus lorsque vous essayez de partager un fichier au format PDF dans Outlook.
• Cette mise à jour corrige un problème affectant le clavier tactile. Parfois, il ne s'ouvre pas.

Par ailleurs, Microsoft a corrigé un bug qui affecte certaines imprimantes USB : il n'était plus possible d'imprimer à cause d'un blocage de Microsoft Defender. Pour ceux qui utilisent des applications ClickOnce, sachez que l'entreprise américaine affirme avoir résolu un problème (qui perturbe les utilisateurs depuis un bon moment !).

Pour en savoir plus sur l'ensemble des bugs corrigés par Microsoft, veuillez consulter cette page.

Windows 10 : les KB d'octobre 2023

Voici la liste des nouvelles mises à jour publiées par Microsoft :

• Windows 10 21H2 et 22H2 : KB5031356
• Windows 10 version 21H1 : Fin du support
• Windows 10 version 20H2 : Fin du support
• Windows 10 version 2004 : Fin du support
• Windows 10 version 1909 : Fin du support
• Windows 10 version 1903 : Fin du support
• Windows 10 version 1809 : KB5031361
• Windows 10 version 1803 : Fin du support
• Windows 10 version 1709 : Fin du support
• Windows 10 version 1703 : Fin du support
• Windows 10 version 1607 : KB5031362
• Windows 10 version 1507 : KB5031377

Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.

Pour en savoir plus sur le nouveau Patch Tuesday, consultez cet article :

• Patch Tuesday Octobre 2023

The post Mise à jour Windows 10 d’octobre 2023 : KB5031356 ! Quelles sont les nouveautés ? first appeared on IT-Connect.

Cet été, l'ANSSI a mis en ligne un nouveau guide intitulé "Recommandations relatives au reconditionnement des ordinateurs de bureau ou portables" qui évoque deux sujets très importants : l'acquisition d'ordinateurs reconditionnés et la cession d'ordinateurs.

Au-delà d'être moins coûteux, le matériel reconditionné participe à réduire l'empreinte carbone du numérique et à limiter le gaspillage : il y a un réel impact positif sur l'environnement, et nous ne pouvons qu'encourager les entreprises à se tourner vers ce type de matériel lorsque c'est possible et cohérent.

Il y a d'ailleurs la loi AGEC qui oblige "les acheteurs de l’État, des collectivités locales et de leurs groupements" à participer au marché de l'ordinateur reconditionné en respectant la règle suivante : "les proportions d’ordinateurs portables et fixes devant être réemployés sont fixées à 20% et que cette obligation s’apprécie sur le volume annuel total de la dépense hors taxes des matériels et non par unité.", précise l'ANSSI.

D'un point de vue de la sécurité informatique, il y a un risque lié aux ordinateurs de seconde main, que ce soit pour l'entreprise qui cède les ordinateurs (fuite d'informations) ou pour l'entreprise qui achète les ordinateurs reconditionnés (risques de compromissions, d'infection par un logiciel malveillant). Le guide de l'ANSSI est là pour nous apporter les bonnes pratiques et c'est une excellente nouvelle.

Déploiement d'ordinateurs reconditionnés

Quand vous achetez un ordinateur reconditionné, vous ne connaissez pas son historique, et surtout, vous pouvez l'acheter de différentes manières. Ainsi, l'entreprise qui fait l'acquisition du matériel est exposée à plusieurs risques. Dans un ordinateur, un implant malveillant peut persister grâce à différentes techniques plus ou moins sophistiquées. Voici la liste fournie par l'ANSSI :

• Persistance via un code malveillant écrit sur le disque
• Persistance via le piégeage du matériel
• Persistance via un piégeage des bus et ports de communication avec des périphériques internes ou externes extérieurs
• Persistance via réécriture du firmware en particulier pour l’UEFI

L'ANSSI insiste également sur le fait que l'intégration d'ordinateurs reconditionnés ne doit pas affaiblir le niveau de sécurité global du SI, notamment parce que certains modèles reconditionnés, qui ont déjà quelques années de fait, seront peut-être dépourvu de certaines fonctionnalités de sécurité.

"Le choix d’utiliser un ordinateur reconditionné ne doit pas se faire au détriment de l’homogénéité et de la cohérence de la sécurité du système d’information. Une bonne pratique consiste à regrouper ces ordinateurs par service ou fonctions métiers afin de réduire le risque à des périmètres bien identifiés.", peut-on lire. De préférence, choisissez un ordinateur équipé de fonctions de sécurité fréquentes comme une puce TPM v2.0, l'UEFI Secure Boot, etc.

Plus globalement, l'ANSSI vous encourage à privilégier l'utilisation des ordinateurs reconditionnés dans des scénarios qui ne sont pas critiques pour l'entreprise. On évite d'utiliser un ordinateur reconditionné en tant que poste d'administration ou pour le responsable financier de l'entreprise, par contre, on peut l'utiliser à des fins de formations, en tant qu'ordinateur de prêt ou pour travailler sur des sujets de moindre sensibilité.

L'ANSSI aborde aussi la préparation technique du reconditionnement en donnant des étapes clés et importante à réaliser, notamment : mettre à jour les firmwares, effectuer un effacement sécurisé des supports de stockage, installer soi-même le système d'exploitation ou encore chiffrer le disque du système.

Cession d'ordinateurs à destination du marché de l'occasion

Lorsque l'on cède un ordinateur avec son support de stockage (disque dur, disque SSD, etc...), nous pouvons potentiellement laisser fuiter des informations sensibles. C'est un risque important, tout comme celui d'être à l'origine de la diffusion d'un code malveillant. Nous pourrions dire que quand vous vous séparez d'un ordinateur, vous ne devez pas le fournir avec le disque, car ce sera le meilleur moyen d'éviter les fuites de données, mais l'ANSSI voit les choses autrement.

La première recommandation consiste à chiffrer les disques de vos machines (avec BitLocker pour les machines sous Windows, par exemple), et à procéder à un effacement sécurisé des supports de stockage et des composants mémoires. Si le disque est chiffré, l'ANSSI indique qu'il est possible d'effectuer un effacement cryptographique pour rendre les données irrécupérables. Quand ce n'est pas le cas, il est recommandé d'adapter le processus d'effacement des disques à la sensibilité des données. Dans ce cas, on peut s'appuyer sur divers outils, notamment l'application open source hdparm.

En complément des actions de nettoyage et d'effacement, vous devez anonymiser les ordinateurs : "Les autocollants, QR codes, codes barre, et autres signes distinctifs présents sur l’ordinateur et ses accessoires doivent être retirés."

Au-delà de vous débarrasser du matériel, vous devez également révoquer tous les droits des comptes ordinateurs associés au matériel cédé. Ceci nous fait directement penser aux objets ordinateurs dans l'Active Directory ou éventuellement aux machines inscrites dans Intune. Les exemples sont nombreux...

Pour prendre connaissance de toutes les bonnes pratiques de l'ANSSI, je vous encourage à lire ce guide. Pour consulter ce guide, suivez le lien ci-dessous :

• Voir le guide sur le site de l'ANSSI

The post Les bonnes pratiques de l’ANSSI pour les ordinateurs reconditionnés (achat/cession) first appeared on IT-Connect.

Une faille critique et déjà patchée dans les produits Citrix NetScaler ADC et Gateway est exploitée par des pirates pour voler des identifiants sur les serveurs compromis.

En juillet 2023, les produits NetScaler ADC et NetScaler Gateway, que l'on appelait auparavant Citrix ADC et Citrix Gateway, ont reçu une mise à jour de sécurité pour patcher la faille de sécurité critique associée à la référence CVE-2023-3519. Elle permet à un attaquant non authentifié d'exécuter du code à distance sur l'appliance. Son score CVSS : 9.8 sur 10 !

Les cybercriminels apprécient cette vulnérabilité, notamment parce qu'il y a plusieurs milliers de serveurs Citrix exposés sur Internet, et on compte au moins 640 serveurs Citrix compromis en exploitant la CVE-2023-3519.

Trois mois plus tard, cette vulnérabilité fait toujours parler d'elle... En effet, l'équipe d'IBM X-Force a découvert que des cybercriminels exploitaient cette vulnérabilité pour voler les identifiants de connexion des utilisateurs en injectant du code malveillant dans la page web d'authentification.

"Le script annexé au fichier légitime "index.html" charge un fichier JavaScript distant supplémentaire qui attache une fonction à l'élément "Log On" de la page d'authentification VPN, afin de collecter les informations relatives au nom d'utilisateur et au mot de passe et les envoyer à un serveur distant lors de l'authentification.", peut-on lire dans le rapport d'IBM X-Force.

Pour réussir à déployer cette fonction de captures d'identifiant, les cybercriminels commencent par envoyer sur le serveur cible une requête web spécialement conçue pour exploiter la vulnérabilité CVE-2023-3519 afin de déployer un webshell basé sur PHP sur le serveur compromis. Ce webshell est ensuite utilisé par les cybercriminels pour injecter du code dans la page de connexion de l'application Citrix.

D'après IBM X-Force, la page d'authentification de plusieurs centaines d'instances Citrix a été modifiée, principalement aux États-Unis et en Europe : "X-Force a pu identifier près de 600 adresses IP uniques de victimes hébergeant des pages de connexion NetScaler Gateway modifiées." - La carte ci-dessous montre qu'il y a des victimes en France et cette technique aurait été utilisée la première fois le 11 août 2023.

Si vous n'avez pas encore mis à jour votre instance Citrix NetScaler Gateway, il est grand temps de le faire... Mais avant cela, vous pouvez consulter le rapport d'IBM X-Force, puisqu'il explique comment vérifier si votre serveur a été compromis ou non.

Source

The post Les pirates attaquent les serveurs Citrix pour capturer des identifiants ! first appeared on IT-Connect.

Toutes les versions de Windows 10 et Windows 11 sont affectées par un bug qui affecte BitLocker CSP, c'est-à-dire BitLocker géré à partir d'une console d'administration centralisée comme Intune. Voici ce qu'il faut savoir.

Microsoft a ajouté un nouveau problème connu à son tableau de bord pour Windows 10 et Windows 11. Lorsque ce problème se produit, une erreur 65000 est retournée pour le paramètre "Require Device Encryption" défini au niveau de l'interface de la solution MDM.

Si vous avez configuré une stratégie BitLocker à partir d'Intune, vous êtes potentiellement affecté par ce problème. D'ailleurs, voici les précisions de Microsoft en ce qui concerne les environnements affectés : "Les environnements concernés sont ceux dont les stratégies "Enforce drive encryption type on operating system drives" ou "Enforce drive encryption on fixed drives" sont activées et qui sélectionnent "Full encryption" ou "Used space only"".

Microsoft Intune n'est peut-être pas la seule solution de MDM affectée par ce problème : "Microsoft Intune est concerné par ce problème, mais les MDM tiers peuvent également l'être.", précise la firme de Redmond.

Toutefois, il s'agit avant tout d'un problème de reporting puisque cette erreur n'affecte pas directement le chiffrement du lecteur.

Comment résoudre cette erreur ?

Microsoft travaille sur un correctif et une mise à jour sera publiée prochainement afin de corriger ce problème qui affecte toutes les versions de Windows 10 et de Windows 11. Windows Server n'est pas concerné.

En attendant, voici la solution de contournement proposée par l'entreprise américaine : "Pour atténuer ce problème dans Microsoft Intune, vous pouvez définir les stratégies "Enforce drive encryption type on operating system drives" ou "Enforce drive encryption on fixed drives" sur non configuré." - Mouais, enfin ce n'est pas l'objectif... Mieux vaut attendre le correctif.

Si vous avez rencontré ce problème et que vous souhaitez partager un retour d'expérience, n'hésitez pas à commenter cet article.

• Comment chiffrer son PC Windows 11 avec BitLocker ?

The post Erreur 65000 avec BitLocker : Windows 10 et Windows 11 sont affectés ! first appeared on IT-Connect.