Un exploit proof-of-concept a été mis en ligne pour la faille de sécurité nommée ThemeBleed que Microsoft vient de corriger dans Windows 11 et qui permet aux attaquants d'exécuter du code sur le système. Faisons le point sur cette vulnérabilité !

Au sein du Patch Tuesday de Septembre 2023 mis en ligne ce mardi 12 septembre, Microsoft a corrigé la faille de sécurité CVE-2023-38146, surnommée ThemeBleed et associée à un score CVSS de 8.8 sur 10. Elle affecte Windows et plus particulièrement le système de thèmes puisqu'elle s'exploite à l'aide d'un fichier ".THEME" malveillant spécialement conçu par un attaquant. Vous l'avez surement deviné, ce type de fichiers sert à personnaliser l'apparence du système d'exploitation grâce à un thème.

À ce sujet, le chercheur en sécurité Gabe Kirkpatrick, qui fait partie de l'équipe à l'origine de la découverte de cette vulnérabilité, a mis en ligne un exploit PoC qui montre comment exploiter cette faille de sécurité (voir sur cette page).

Quelques détails sur ThemeBleed

Le fichier .THEME intègre des références à des fichiers ".msstyles" permettant de spécifier des éléments graphiques à intégrer au thème personnalisé. Ces fichiers ne sont pas destinés à contenir du code. Les chercheurs en sécurité ont remarqué qu'en précisant "999" comme numéro de version pour la propriété PACKTHEM_VERSION, il y a un délai anormal entre le moment où la signature d'une DLL est vérifiée et le moment où cette DLL est chargée, ce qui crée ce que l'on appelle une race condition.

Cela offre une fenêtre d'action à l'attaquant pour faire en sorte que sa propre DLL malveillante soit chargée à la place de la DLL de Windows, ce qui lui permet d'exécuter du code sur la machine Windows !

Enfin, Gabe Kirkpatrick attire notre attention sur le fait que les fichiers CAB peuvent contenir un fichier de thème et bypasser le marqueur "Mark of the web" de Windows, ce qui aura pour effet de désactiver les avertissements de Windows (en principe, les fichiers en provenance d'Internet ne sont pas traités de la même façon que les fichiers locaux grâce à ce marqueur).

Comment se protéger ?

La réponse est claire : vous devez installer les nouvelles mises à jour Windows 11. C'est le seul système affecté par cette vulnérabilité, aussi bien dans sa version 21H2 que dans sa version 22H2.

• En savoir plus sur les mises à jour de Windows 11 pour septembre 2023

Pour le moment, Microsoft a supprimé la prise en charge du numéro de version 999 pour empêcher l'exploitation de cette vulnérabilité, mais le problème lié aux fichiers CAB n'a pas été corrigé.

À ce jour, cette faille de sécurité n'est pas exploitée par les cybercriminels, mais la situation pourrait évoluer maintenant qu'elle est connue et qu'il existe un exploit PoC.

Source

The post Windows 11 : un exploit a été publié pour la faille de sécurité ThemeBleed ! first appeared on IT-Connect.

Microsoft vient d'ajouter une nouvelle fonctionnalité majeure dans l'Outil Capture d'écran de Windows 11 : la reconnaissance de caractères sur les copies d'écran.

Sous Windows 11, l'application "Outil Capture d'écran" permet, comme son nom l'indique, de prendre des captures d'écran, mais aussi d'enregistrer son écran au format vidéo. Microsoft vient d'ajouter une nouvelle fonctionnalité basée sur l'OCR (Optical Character Recognition) c'est-à-dire la reconnaissance des caractères sur une image.

Grâce à cette fonctionnalité, l'utilisateur va pouvoir sélectionner et copier le texte sur une capture d'écran ! Autrement dit, nous allons pouvoir extraire le texte d'une copie d'écran simplement en le sélectionnant sur une copie d'écran. À ce sujet, Microsoft précise que cette fonction "détecte le texte dans les captures d'écran, ce qui permet de copier facilement du texte à partir de n'importe quelle image pour le partager avec d'autres personnes ou le coller dans une autre application."

Pour faciliter la sélection du texte, il sera possible d'utiliser les raccourcis habituels (CTRL + A et CTRL + C) pour sélectionner tout le texte sur l'image et le copier dans le presse-papiers.

Nommée "Text Actions" dans la version anglaise de Windows, cette nouveauté est disponible dans l'Outil Capture d'écran version 11.2308.33.0. Pour le moment, cette version est réservée aux utilisateurs du programme Windows Insiders puisqu'elle est proposée dans les canaux "Dev" et "Canary" de Windows 11.

C'est une évolution importante pour l'Outil Capture d'écran de Windows, car même les logiciels tiers de capture d'écran n'intègrent pas forcément cette fonctionnalité. En tout cas, j'utilise PicPick et il n'y a pas cette fonctionnalité.

En complément, Microsoft a fait l'annonce d'une nouvelle fonctionnalité pour "Mobile Connecté", l'application qui permet de connecter son PC à son smartphone : "Nous commençons également à déployer progressivement une nouvelle fonctionnalité pour Mobile Connecté (version 1.23082.123.0 ou supérieure sur PC) qui permet d'accéder sans effort à vos photos les plus récentes de votre appareil mobile Android et de les modifier dans l'Outil Capture d'écran sur votre PC." - Une notification apparaîtra sur la machine Windows lorsqu'une nouvelle image est détectée.

Source

The post Désormais, l’Outil Capture d’écran de Windows 11 peut copier le texte des images ! first appeared on IT-Connect.

Des failles de sécurité importantes ont été découvertes et corrigées dans Kubernetes ! Grâce à elles, un attaquant pourrait exécuter du code à distance sur les machines Windows ! Faisons le point sur cette alerte.

Tous les environnements Kubernetes avec des nœuds Windows sont potentiellement impactés par les trois failles de sécurité suivantes : CVE-2023-3676, CVE-2023-3893, et CVE-2023-3955. Il s'agit de vulnérabilités importantes associées à un score CVSS de 8.8 sur 10.

D'après Tomer Peled, un chercheur en sécurité de chez Akamai qui a écrit un article technique au sujet de ces vulnérabilités, un attaquant pourrait exécuter des commandes à distance avec les privilèges SYSTEM : "La vulnérabilité permet l'exécution de code à distance avec les privilèges SYSTEM sur tous les terminaux Windows au sein d'un cluster Kubernetes." - De quoi inquiéter, forcément.

Pour exploiter cette vulnérabilité (CVE-2023-3676), l'attaquant doit pouvoir accéder au nœud Kubernetes et il doit disposer du privilège "apply". Ce privilège lui permet d'interagir avec l'API Kubernetes, ce qui est indispensable afin de pouvoir injecter du code arbitraire qui sera ensuite exécuté sur les nœuds Windows avec le plus haut niveau de privilèges. À ce sujet, Tomer Peled précise : "Pour exploiter cette vulnérabilité, l'attaquant doit appliquer un fichier YAML malveillant sur le cluster."

Par ailleurs, la vulnérabilité CVE-2023-3955 est liée à un manque de contrôle des données envoyées en entrée, ce qui permet à la commande malveillante d'être passée en tant que paramètre d'une commande PowerShell, par exemple. La troisième vulnérabilité, associée à la référence CVE-2023-3893, affecte le composant Container Storage Interface (CSI) et permet à l'attaquant d'élever ses privilèges sur un nœud Kubernetes.

Quelles sont les versions affectées et comment se protéger ?

Les versions suivantes du composant kubelet sont affectées par ces vulnérabilités (comme précisé sur cette page) :

• kubelet < v1.28.1
• kubelet < v1.27.5
• kubelet < v1.26.8
• kubelet < v1.25.13
• kubelet < v1.24.17

De son côté, Tomer Peled indique ceci : "Toutes les versions de Kubernetes inférieures à la version 1.28 sont vulnérables à cette CVE."

Un correctif de sécurité est disponible depuis le 23 août 2023, ce dernier fait suite à la découverte de ces vulnérabilités par Akamai quelques semaines plus tôt (le 13 juillet 2023).

Source

The post Ces failles dans Kubernetes permettent l’exécution de code à distance sur les nœuds Windows first appeared on IT-Connect.

Microsoft continue de renforcer la sécurité de son système Windows 11 : cette fois-ci, l'entreprise américaine s'attaque à deux protocoles : NTLM et SMB. L'objectif est clair : réduire les risques d'attaques.

Microsoft a dévoilé une nouvelle option de sécurité intégrée à Windows 11 Insider Preview (Build 25951) qui va permettre aux administrateurs d'empêcher le client SMB de Windows de tenter une connexion avec le protocole d'authentification NTLM : "Avec cette nouvelle option, un administrateur peut intentionnellement empêcher Windows de proposer NTLM via SMB.", peut-on lire dans l'article de Microsoft.

Avec cette couche de sécurité supplémentaire qui empêche l'attaquant de récupérer le hash NTLM du compte de l'utilisateur (via une capture réseau, un serveur malveillant, etc.), Microsoft veut bloquer certaines attaques populaires comme pass-the-hash et NTLM relay, ainsi que les attaques brute force sur les hash NTLM.

Pour rappel, lorsque Windows tente de se connecter à un partage SMB distant, l'authentification est susceptible d'être effectuée via le protocole NTLM qui s'appuie un mécanisme de challenge-response, lors duquel le hash du mot de passe l'utilisateur est transmit au serveur distant.

"Un attaquant qui incite un utilisateur ou une application à envoyer des réponses NTLM à un serveur malveillant ne recevra plus de données NTLM et ne pourra pas brute forcer, craquer ou utiliser la technique pass-the-hash.", précise Microsoft.

Plutôt que de totalement désactiver NTLM au profit de Kerberos, Microsoft estime que ce nouveau paramètre offre une étape intermédiaire puisque l'on sécurise les accès SMB (partage de fichiers). Dans une précédente version de Windows 11 Insider Preview, Microsoft avait activé les signatures SMB par défaut, pour toutes les connexions, afin d'élever le niveau de sécurité des connexions SMB.

Comment bloquer NTLM via SMB ?

Ce nouveau paramètre mis en place par Microsoft est configurable par GPO mais aussi avec PowerShell et NET USE. Via une stratégie de groupe, il s'agit du paramètre nommé "Block NTLM (LM, NTLM, NTLMv2)".

Sur l'image ci-dessous, vous pouvez aussi remarquer un paramètre nommé "Mandate the minimum version of SMB" pour définir une version de SMB minimale et ainsi bloquer les versions obsolètes du protocole SMB (comme SMBv1 !).

Ce paramètre de GPO peut être remplacé par une commande PowerShell pour désactiver "NTLM over SMB" sur l'ensemble de la machine :

Set-SMbClientConfiguration -BlockNTLM $true

Même s'il est possible de bloquer NTLM uniquement sur un partage spécifique, avec le nouveau paramètre de la commande New-SmbMapping :

New-SmbMapping -RemotePath \\server\share -BlockNTLM $true

La traditionnelle commande NET USE a aussi le droit à ce nouveau paramètre :

NET USE \\server\share /BLOCKNTLM

Par la suite, Microsoft devrait ajouter d'autres paramètres, notamment pour permettre de définir une liste de serveurs autorisés à faire du NTLM afin de gérer les cas particuliers.

En principe, en environnement Active Directory, lorsqu'une machine se connecte à un serveur, que ce soit en SMB, en RDP, etc... l'authentification doit être effectuée avec le protocole Kerberos. Toutefois, Kerberos ne peut être utilisé que si vous utilisez le nom d'hôte complet (nom DNS) de la machine distante. Si vous utilisez l'adresse IP ou le nom court, NTLM sera utilisé...

Source

The post Sous Windows 11, les accès SMB vont être protégés contre les attaques NTLM first appeared on IT-Connect.

Microsoft a pris la décision de mettre fin au stockage illimité dans OneDrive ! Ce stockage illimité profitait à certaines entreprises, mais désormais il y aura une limite. Faisons le point sur cette annonce.

Pendant l'été, et en toute discrétion, car il n'y a pas eu de communication officielle, Microsoft a tout simplement retiré du catalogue son offre de stockage illimité dans OneDrive. Une offre accessible aux entreprises sous certaines conditions, notamment avoir au moins 5 utilisateurs sur l'abonnement et faire la demande à Microsoft. Cette modification a été repérée par le site TechRadar après avoir analysé les versions de la page d'abonnement avec le site web.archive.org.

Parmi les offres de stockage OneDrive, c'est bien celle intitulée "OneDrive Enterprise (plan 2)" qui a disparu du catalogue. Cette offre, facturée 8,40 € HT par mois et par utilisateur, permettait de profiter d'un espace de stockage illimité dans OneDrive. Désormais, c'est vers l'offre "OneDrive Enterprise (plan 1)" que les professionnels doivent se tourner afin de bénéficier de 1 To de stockage (par utilisateur). Ceci peut augmenter jusqu'à 5 To, en fonction du nombre d'utilisateurs rattachés à l'abonnement.

TechRadar est parvenu à obtenir des informations rassurantes pour les clients actuels auprès de Microsoft. En effet, les entreprises qui bénéficient déjà de ce plan OneDrive autonome (car non inclus dans un abonnement Microsoft 365) pourront toujours renouveler leur abonnement et continuer à profiter de l'illimité. En revanche, les nouveaux clients n'auront pas cette opportunité.

La fin du stockage illimité : une tendance

Ces dernières années, la tendance est claire : les géants du stockage en ligne mettent fin progressivement à leur offre de stockage illimité. Il n'y a pas si longtemps, Google avait pris cette décision pour son service Google Photos. Dropbox a suivi le même chemin, et désormais c'est au tour de Microsoft.

Toutefois, il est toujours possible de trouver des offres de stockage illimité avec un prix mensuel fixe par utilisateur, notamment du côté de Box.

The post En toute discrétion, Microsoft met fin au stockage illimité sur OneDrive ! first appeared on IT-Connect.