La division de recherche en intelligence artificielle de Microsoft a accidentellement exposé des données pendant plusieurs années : on parle de 38 To de données confidentielles accessibles sur un espace de stockage Azure Storage. Que s'est-il passé ? Faisons le point.

L'entreprise Wiz a fait la découverte d'une fuite de données importante qui est associée à une mauvaise manipulation d'un employé de Microsoft : il a partagé l'URL d'un espace de stockage Blob d'Azure Storage, et ce dernier étant mal configuré, ses données sont accessibles. Cette URL a été partagée dans un dépôt GitHub public sur lequel travaillaient les membres de la division IA de Microsoft. Même si cela vient d'être découvert, cela fait plus de trois ans que les données sont accessibles (juillet 2020).

La mauvaise configuration est liée à un jeton Shared Access Signature (SAS) trop permissif, permettant d'avoir un accès total aux données de ce compte de stockage. Les chercheurs en sécurité de Wiz ne sont pas étonnés, car, d'après eux, les jetons SAS sont difficiles à suivre, gérer et révoquer dans le temps, car Microsoft n'intègre pas les outils nécessaires sur son portail Azure.

Wiz précise : "En outre, ces jetons peuvent être configurés pour durer éternellement, sans limite supérieure à leur durée d'expiration. Par conséquent, l'utilisation des jetons SAS pour le partage externe n'est pas sûre et doit être évitée."

Quel est le contenu de ce compte de stockage ?

Au-delà des modèles d'intelligence artificielle open source associés au compte de stockage de Microsoft, Wiz affirme qu'il était possible d'accéder à 38 To de données privées et internes.

Dans les données exposées, il y a des informations personnelles sur les employés de Microsoft, une archive de 30 000 messages internes de Microsoft Teams provenant de 359 employés de Microsoft, ainsi que des informations d'authentification comme des mots de passe pour des services Microsoft et des clés secrètes !

De son côté, Microsoft indique que ce sont les données personnelles de deux anciens employés et les messages Teams échangés avec leurs collègues : "Les informations exposées étaient des informations propres à deux anciens employés de Microsoft et aux postes de travail de ces anciens employés."

L'entreprise américaine tient à rassurer tout le monde en affirmant qu'il n'y avait aucune donnée client exposée, ni même aucun service interne menacé par cet incident. Pour ceux qui s'intéressent au sujet des jetons SAS, je vous encourage à lire l'article de Microsoft puisqu'il explique à quoi ils servent et quelles sont les bonnes pratiques pour les utiliser.

Pendant ce temps, les cybercriminels du gang BlackCat s'amusent à chiffrer les espaces de stockage Azure Storage de dizaines d'organisations.

Source

The post 38 To de données accidentellement exposées par l’équipe IA de Microsoft first appeared on IT-Connect.

Microsoft a dévoilé des nouveautés intéressantes pour Windows Subsystem for Linux (WSL) 2.0, dont un nouveau mode "miroir" pour le réseau ! Faisons le point sur les nouvelles fonctionnalités.

Au sein d'un article de blog, Microsoft a dévoilé les nouvelles fonctionnalités de WSL pour ce mois de septembre 2023. Pour rappel, WSL permet d'exécuter une ou plusieurs distributions Linux (Debian, Ubuntu, Kali Linux, etc.) directement sur Windows, que ce soit sur Windows 10 ou Windows 11.

Pour la rentrée, WSL fait le plein de nouveautés, notamment au niveau du réseau ! En effet, un nouveau mode permet de configurer l'interface réseau de WSL en mode miroir afin d'améliorer la compatibilité avec les fonctions réseau et ajouter de nouvelles capacités. En mode miroir, Microsoft précise que "l'objectif de ce mode est de reproduire dans Linux les interfaces réseau que vous avez sous Windows."

De ce fait, ce mode miroir permet à WSL de prendre en charge l'IPv6 et le Multicast, et de bénéficier d'une meilleure prise en charge des VPN ! Ce n'est pas tout puisqu'il devient possible de se connecter facilement à WSL directement à partir d'une autre machine du LAN, et même de se connecter à Windows à partir de Linux en utilisant l'adresse localhost 127.0.0.1.

Sinon, Microsoft a également introduit les fonctionnalités suivantes :

• La récupération automatique de la mémoire (RAM), pour que WSL bénéficie du principe de la mémoire dynamique.
• Le nettoyage automatique des disques VHD des distributions Linux, pour que WSL puisse réduire la taille du disque de façon dynamique dans le but d'optimiser l'espace de stockage utilisé sur votre PC.
• La fonction Hyper-V Firewall pour créer des règles de pare-feu qui s'appliqueront à WSL. Par défaut, tous les paramètres et règles de pare-feu existants sous Windows seront automatiquement appliqués aux distributions WSL.
• Le DNS Tunneling qui améliore la résolution de noms dans WSL et change la façon dont les requêtes sont transmises entre WSL et Windows. Microsoft précise : "Cela nous permet de résoudre la demande de nom DNS sans envoyer de paquet réseau, ce qui vous permettra d'obtenir une meilleure connectivité internet même si vous avez un VPN, une configuration de pare-feu spécifique ou d'autres configurations de réseau."
• L'utilisation des paramètres de proxy de Windows au sein des distributions Linux par la simple activation d'un paramètre de configuration.

Certaines fonctionnalités sont encore expérimentales et réservées aux membres Windows Insiders, et donc accessibles sur les versions de Windows 11 en cours de développement.

Source

The post Le plein de nouveautés pour Windows Subsystem for Linux, dont un mode miroir pour le réseau ! first appeared on IT-Connect.

L'empire des casinos MGM Resorts a été plongé dans le noir suite à une cyberattaque importante orchestrée par un gang de cybercriminels. Ce chiffre parle de lui-même : les pirates sont parvenus à chiffrer plus de 100 hyperviseurs VMware ESXi !

On pourrait croire qu'il s'agisse du scénario du prochain film de la saga "Ocean's Eleven" : un groupe affilié au gang de ransomware BlackCat est parvenu à infiltrer l'infrastructure informatique de MGM Resorts, un géant américain qui possède les plus prestigieux casinos de Las Vegas, aux États-Unis. Les cybercriminels ont mis KO le système d'information grâce à leur ransomware qui a été utilisé pour chiffrer les machines virtuelles de plus de 100 hyperviseurs VMWare ESXi ! Le principe de la double extorsion a été appliqué puisque les pirates ont exfiltré des données (on parle de 6 To de données) et ils menacent MGM de lancer de nouvelles attaques si la rançon n'est pas payée. Les pirates affirment qu'ils disposent toujours d'accès à l'infrastructure.

Le gang de ransomware BlackCat ne serait pas directement à l'origine de cette cyberattaque, mais ce serait l'un de leurs affiliés appelés Scattered Spider. Ce groupe a été associé à une campagne nommée "0ktapus", dont l'objectif était de cibler les accès Okta de plus de 130 organisations. Dans le cas de la cyberattaque contre MGM Resorts, les pirates affirment qu'ils sont parvenus à obtenir des privilèges de super-administrateur sur l'environnement Okta et un compte Administrateur Global sur le tenant Microsoft Azure.

Du côté des hôtels et des casinos du groupe, il y a de nombreux dysfonctionnements : messagerie électronique indisponible, distributeurs de billets défaillants dans les casinos, blocage du système de réservations, applications mobiles inaccessibles, des sites Web hors ligne, etc... La liste des services perturbés est longue.

Les hôtels MGM Grand et Caesars Palace ciblés par une seconde attaque

Ces dernières heures, les pirates informatiques ont lancé une seconde cyberattaque contre les hôtels MGM Grand et Caesars Palace lors de laquelle ils sont parvenus à voler 15 millions de dollars. Quand on évoque l'hôtel MGM Grand, on parle tout de même de l'un des plus grands hôtels au niveau mondial : il compte 6 852 chambres !

Un véritable cauchemar pour les responsables de ces hôtels et casinos ! Malheureusement, ce n'est pas le premier incident de sécurité qui affecte MGM Resorts ! En 2019, des pirates étaient parvenus à voler les informations personnelles de 30 millions de clients.

Source

The post Cyberattaque chez MGM Resorts, le géant de Las Vegas : 100 serveurs VMware ESXi chiffrés par les pirates ! first appeared on IT-Connect.

Ce week-end, un amendement présenté par plusieurs députés Renaissance dont Mounir Belhamiti a fait polémique : ils aimeraient interdire l'utilisation des VPN pour accéder aux réseaux sociaux. Suite aux critiques, ils ont pris la décision de supprimer cet amendement ! Que s'est-il passé ?

Cette semaine, l'Assemblée nationale doit examiner un projet de loi sur la sécurisation de l'espace numérique (appelé SREN). A ce titre, plusieurs députés Renaissance ont présentés leur idée pour, d'après eux, sécuriser l'espace numérique avec des propositions plus ou moins réalistes (ou délirantes ?).

Cet amendement déposé par Mounir Belhamiti et que vous pouvez retrouver sur cette page, précise : "L'amendement vise donc à interdire à tout utilisateur d'un réseau social de publier, commenter ou interagir en utilisant un réseau privé virtuel." - Autrement dit, il serait interdit d'utiliser un VPN pour agir sur les réseaux sociaux. Une idée étonnante et un pas de plus vers la fin d'un Internet libre, et surtout, c'est contraire au principe de la liberté d'expression.

D'après lui, l'objectif de cet amendement est de "transposer dans le monde virtuel, des règles existantes dans le monde physique" et le VPN "brouille la possibilité d'identification", autrement dit dans le cas présent, l'adresse IP publique de l'utilisateur.

Il y a eu de nombreuses réactions et critiques à l'encontre de cet amendement. Résultat, Mounir Belhamiti a pris la décision de le tirer, en précisant "Je ne soumettrai donc pas l’amendement à la discussion pour ne pas perturber un débat qui nécessite de la sérénité." - Il a fait cette annonce sur son compte X (Twitter) :

Dans le cours d’une discussion législative, un amendement peut avoir deux objectifs : celui d’apporter un correctif, qu’on souhaite voir adopté, au texte de la proposition ou du projet de loi ; celui d’ouvrir un débat sur un sujet qu’on estime insuffisamment pris en compte dans… pic.twitter.com/lBzLdBaDNk

— Mounir Belhamiti (@MounirBelhamiti) September 17, 2023

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

Même s'il a retiré son amendement, il est clair que le VPN sera au cœur des échanges de cette loi sur la sécurisation de l'espace numérique. Il faudra suivre de près les décisions qui seront prises à ce sujet. Une autre idée qui est évoquée : empêcher aux personnes de moins de 18 ans de souscrire à un VPN, à moins d'avoir l'accord des parents.

Qu'en pensez-vous ?

The post Ce député veut interdire les VPN sur les réseaux sociaux, puis se ravise ! first appeared on IT-Connect.

Le gang de ransomware BlackCat (ALPHV) a utilisé des comptes Microsoft compromis pour chiffrer les données stockées sur Azure Storage à l'aide de l'outil de chiffrement Sphynx.

Récemment, l'équipe de réponse à incident Sophos X-Ops a fait cette découverte en menant des investigations sur un incident de sécurité : les cybercriminels du gang BlackCat sont parvenus à chiffrer les données d'espace de stockage Azure Storage, dans le Cloud de Microsoft. Au total, ce sont les données de 39 comptes Azure Storage différents qui ont pu être chiffrée, et les fichiers chiffrés ont hérité de l'extension .zk09cvt. Pour cela, les pirates ont utilisé une clé Azure volée qui leur a permis d'accéder aux comptes de stockage pris pour cible.

D'après Sophos, les cybercriminels ont introduit les clés Azure directement dans le binaire du ransomware nommé "IzBEIHCMxAuKmis6.exe" dans cette cyberattaque : "L'adversaire a encodé les clés en base-64 et les a insérées dans le binaire du ransomware avec des lignes de commande d'exécution."

Ce n'est pas tout puisqu'initialement, les cybercriminels ont obtenu un accès à l'interface Sophos Central après avoir compromis le compte de la victime à partir de l'extension LastPass pour Google Chrome. Pour être plus précis, c'est par ce biais qu'ils sont parvenus à voler le code OTP permettant de valider le MFA. L'occasion pour eux de modifier les politiques de sécurité et de chiffrer le système Sophos du client.

Lors de cette opération, le gang de ransomware BlackCat a utilisé son outil de chiffrement baptisé Sphynx, mis au point au février 2023 et qui offre de meilleures performances pour le chiffrement des données et une meilleure furtivité. Il intègre aussi des fonctions et outils avancés comme la suite ImPacket. De son côté, Sophos a rencontré cette nouvelle variante du ransomware pour la première fois en mars 2023, au cours d'investigations.

Une belle piqûre de rappel quant aux risques qui planent autour des espaces de stockage Cloud, au même titre que les espaces de stockage locaux.

Source

The post Le ransomware BlackCat a chiffré les données de dizaines de comptes Azure Storage first appeared on IT-Connect.