I. Présentation

Dans ce tutoriel, nous allons apprendre à utiliser la commande sha256sum pour vérifier l'intégrité d'un fichier (que l'on appellera message) à la suite d'un téléchargement. Grâce à cette commande, nous allons obtenir l'empreinte de ce fichier, que l'on appelle aussi "somme de contrôle" ou "checksum" en anglais.

Si un fichier n'a plus la même empreinte après avoir été transféré d'une machine A vers une machine B, ceci remet en cause son intégrité. Ceci signifie que le fichier a pu être altéré de façon volontaire ou accidentelle. Lors d'un téléchargement de fichier, ce dernier a pu être corrompu à cause d'une perte de paquets liée au réseau local ou d'un dysfonctionnement sur le serveur qui transmet le fichier. À l'inverse, si l'empreinte du fichier téléchargé est identique à celle du fichier d'origine, on peut affirmer que l'intégrité a été préservée. On peut affirmer que la version du fichier stocké sur le serveur est identique, au bit près, à celle stockée sur ma machine : le fichier peut être utilisé en toute sérénité.

• Comment vérifier l'intégrité d'un fichier avec MD5 ?

II. Utilisation de la commande sha256sum

Lorsque l'on télécharge l'exécutable d'un logiciel ou une image ISO, il est fréquent d'avoir accès à la somme SHA256 (ou éventuellement SHA1 ou MD5) du fichier. L'éditeur met à disposition cette information pour que l'on puisse vérifier l'intégrité du fichier téléchargé.

Prenons l'exemple d'Ubunut, dont les images ISO sont téléchargeables sur cette page :

• Télécharger les images ISO d'Ubuntu

Si l'on clique sur "Ubuntu 23.04 (Lunar Lobster)", on aura accès à une liste de fichiers. Dans le cadre de cet exemple, il y a deux fichiers particulièrement intéressants :

• SHA256SUMS : il donne accès à l'empreinte SHA256 de plusieurs fichiers mis à disposition sur cette page de téléchargement
• ubuntu-23.04-desktop-amd64.iso : l'image ISO pour installer Ubuntu Desktop

Si l'on regarde le contenu du fichier SHA256SUMS, on constate qu'il y a la somme de contrôle SHA256 de plusieurs fichiers, dont le fichier "ubuntu-23.04-desktop-amd64.iso".

Désormais, à partir d'une machine sous Linux, on peut télécharger le fichier avec wget (ou d'une autre façon...) :

wget https://releases.ubuntu.com/lunar/ubuntu-23.04-desktop-amd64.iso

Quelques minutes plus tard, le téléchargement est terminé ! J'ai en ma possession l'image ISO d'Ubuntu. Mais, le fichier a-t-il conservé son intégrité pendant le téléchargement ?

La seule façon de le savoir, c'est de comparer la valeur fournie sur le site d'Ubuntu avec celle obtenue si l'on effectue le calcul de l'empreinte sur la version locale du fichier ISO. Pour cela, on va utiliser la commande sha256sum, comme ceci :

sha256sum ubuntu-23.04-desktop-amd64.iso

Quelques secondes plus tard, l'information est retournée :

L'empreinte entre les deux fichiers (version du serveur et version locale) est identique ! Ceci signifie que l'intégrité de mon fichier a été conservée ! Ma version est strictement identique à celle stockée sur les serveurs de Canonical, l'éditeur d'Ubuntu.

Sachez que vous pouvez aussi obtenir l'empreinte SHA256 de plusieurs fichiers. Ceci est utile si vous avez besoin de comparer la valeur entre deux fichiers :

sha256sum fichier1.txt fichier2.txt

III. Conclusion

Désormais, lorsque vous téléchargez un fichier et que l'éditeur met à votre disposition l'empreinte SHA256, vous serez en mesure de vérifier l'intégrité du fichier avant de l'utiliser !

The post Linux : comment vérifier l’intégrité d’un fichier grâce à son empreinte SHA256 ? first appeared on IT-Connect.

Utilisé par des millions d'utilisateurs, l'application WinRAR contient une faille de sécurité critique qui permet l'exécution d'une commande arbitraire simplement à l'ouverture d'une archive RAR ! Fort heureusement, une mise à jour est disponible !

Pour rappel, WinRAR est une application pour Windows qui facilite la gestion d'archives compressées, dans différents formats, au même titre que l'application 7-Zip.

Découverte par un chercheur de l'équipe Zero Day Initiative, cette vulnérabilité associée à la référence CVE-2023-40477 a été signalée à l'éditeur de WinRAR, à savoir RARLAB, le 8 juin 2023. Elle hérite d'un score CVSS de 7.8 sur 10. Dans un bulletin de sécurité mis en ligne par la ZDI, on peut lire : "La faille de sécurité se trouve dans le traitement des volumes de récupération."

En exploitant cette faille de sécurité, un attaquant peut exécuter une commande arbitraire sur la machine sur laquelle l'archive compressée est ouverte. Cette commande sera exécutée avec le niveau de permission du processus WinRAR. Cela signifie que l'exploitation de cette vulnérabilité implique une action de la part de l'utilisateur. Mais bon, soyons objectifs : faire ouvrir une archive compressée à un utilisateur, cela ne devrait être trop difficile, et compte tenu du nombre important d'utilisateurs de WinRAR, certains vont forcément mordre à l'hameçon.

Cette vulnérabilité peut permettre à un attaquant d'installer un malware sur la machine, à l'aide d'une archive compressée malveillante.

Comment se protéger ?

Le 2 août 2023, RARLAB a mis en ligne WinRAR 6.23, une version qui corrige la faille de sécurité CVE-2023-40477. Le journal des modifications de cette version de WinRAR met aussi en évidence un correctif pour une autre faille de sécurité. Forcément, si vous utilisez WinRAR, il est fortement conseillé d'installer la mise à jour dès que possible.

Dans les mois à venir, il est possible que l'utilisation de WinRAR devienne facultative puisque Microsoft envisage d'ajouter le support natif de plusieurs formats d'archives à son système Windows 11 : 7z (7-zip), RAR et GZ.

Source

The post WinRAR (CVE-2023-40477) : une simple archive RAR pour exécuter une commande sur Windows first appeared on IT-Connect.

Si vous possédez un ou plusieurs site(s) web, vous avez sans aucun doute déjà entendu parler du réseau de diffusion de contenu, aussi appelé CDN (pour Content Delivery Network). Ce réseau de serveurs décentralisés distribue le contenu de votre site aux internautes en fonction de leur localisation géographique. Mais ce n’est pas tout. Saviez-vous qu’il est possible d’utiliser un CDN pour sécuriser son site et lui offrir de meilleures performances ? Les explications dans cet article.

Qu’est-ce qu’un CDN ?

Un CDN est un service qui permet d’optimiser la diffusion de votre contenu web aux utilisateurs de votre site. Au lieu de stocker tout votre contenu sur un seul serveur, vous le répartissez sur plusieurs serveurs situés dans différents endroits du monde. Ainsi, lorsque quelqu’un visite votre site, il reçoit le contenu du serveur le plus proche de lui. Cela réduit le temps de latence et améliore l’expérience utilisateur.

Ce système a fait ses preuves et il est utilisé par les géants du Web tels que Netflix, Amazon ou encore Meta.

Pourquoi un CDN est-il important ?

Le CDN est essentiel pour la qualité de l’expérience client sur votre site, mais pas uniquement. En effet, ses avantages sont multiples :

• pour alléger le serveur web ;
• pour améliorer la vitesse de chargement ;
• pour aider à la sécurisation de votre site ;
• pour réduire la bande passante ;

Pour alléger le serveur web

En utilisant un CDN, vous diminuez la charge de travail de votre serveur web principal. En effet, avec un stockage divisé géographiquement, il n’a plus à gérer toutes les requêtes des visiteurs. Vous évitez ainsi les risques de surcharge, de ralentissement ou de panne de votre serveur. Ces écueils peuvent, en effet, nuire à la disponibilité et à la réputation de votre site.

Pour améliorer la vitesse de chargement

En réduisant la distance entre le serveur et l’internaute, un CDN accélère le chargement des pages de votre site. Cela a un impact positif sur l’attitude des consommateurs. Avec un CDN, votre site enregistre une diminution sur le taux de rebond. Dans un même temps, il enregistre aussi une augmentation du temps passé en lecture et du taux de conversion. Une bonne vitesse de charge a aussi un impact positif sur le référencement naturel de votre site. En effet, Google prend en compte la vitesse de chargement comme un critère de classement dans ses résultats de recherche.

Pour aider à la sécurisation de son site

Un CDN peut également renforcer la sécurité de votre site. En effet, il vous protège contre certaines attaques malveillantes, comme les attaques par déni de service (DDoS), qui visent à saturer votre serveur web avec un grand nombre de requêtes malveillantes. De par son positionnement, un CDN peut filtrer ces requêtes et les bloquer avant qu’elles n’atteignent votre serveur. De plus, un CDN peut vous fournir un certificat SSL, qui permet de chiffrer les données échangées entre votre site et vos visiteurs grâce à une connexion HTTPS, et d’afficher un cadenas synonyme de connexion sécurisée dans la barre d’adresse du navigateur. Cela renforce la confiance des utilisateurs, et depuis plusieurs années, l'utilisation du protocole HTTPS est une bonne pratique que tout site web se doit de respecter.

Pour réduire la bande passante

Enfin, un CDN peut vous faire économiser de la bande passante, c’est-à-dire la quantité de données que vous consommez pour diffuser votre contenu web. En effet, un CDN met en cache votre contenu sur ses serveurs, notamment les images, ce qui évite que votre serveur web principal ne doive envoyer les mêmes données à chaque visiteur. Pour alléger le trafic, le CDN applique d'autres méthodes comme la minification et la compression pour optimiser les données à transférer à l'utilisateur qui souhaite accéder à votre site. Vous optimisez ainsi l’utilisation de vos ressources et réduisez vos coûts de votre hébergement puisqu'il n'a pas à gérer toute la charge du trafic.

Même si le CDN n’a pas pour vocation de remplacer votre hébergeur, sa qualité est intrinsèquement liée à celle de l’utilisation de votre site. En effet, c’est lui qui permet une expérience utilisateur satisfaisante en facilitant la diffusion des contenus, mais aussi en améliorant les performances de votre site. De plus, il renforce la sécurité et réduit vos coûts.

The post Qu’est-ce qu’un CDN ? Pourquoi est-ce important pour son site ? first appeared on IT-Connect.

À l'aide d'un ensemble d'outils et l'exploitation d'une faille de sécurité dans Veeam, le groupe de cybercriminels Cuba Ransomware parvient à compromettre des entreprises importantes aux États-Unis et en Amérique latine. Faisons le point sur cette menace.

Le gang de ransomware Cuba est très actif et il fait régulièrement parler de lui. Cette fois-ci, c'est l'équipe Threat Research and Intelligence de chez BlackBerry qui est à l'origine d'un rapport au sujet de nouvelles attaques menées par ces cybercriminels depuis le mois de juin 2023. Lors de ses attaques, ce gang applique le principe de la double extorsion pour essayer de convaincre les victimes à payer la rançon.

D'après BlackBerry, ces attaques ciblent des infrastructures critiques aux États-Unis et des intégrateurs de systèmes IT en Amérique latine.

Déroulement des attaques

Tout d'abord, l'attaque commence par une connexion RDP sur un serveur de l'entreprise ciblée, à l'aide d'un compte administrateur. Le rapport de BlackBerry précise qu'il n'y avait pas de trace de tentatives infructueuses : preuve que le brute force n'a pas été utilisé pour récupérer ces identifiants, et que les cybercriminels ont pu les obtenir par un autre biais.

Ensuite, les cybercriminels exploitent plusieurs outils comme BugHatch, capable d'établir une communication avec un serveur C2 et de télécharger des fichiers DLL ou d'exécuter des commandes. Ce qui permettra de mettre en place la technique d'attaque BYOVD (Bring Your Own Vulnerable Driver), utilisée pour désactiver la solution de sécurité sur le serveur et tuer le processus correspondant à l'aide de BurntCigar.

Pour la suite des opérations, les cybercriminels vont s'intéresser à deux failles de sécurité :

• La faille de sécurité CVE-2023-27532 de Veeam Backup & Replication pour voler des identifiants à distance, à partir de fichiers de configuration. Il s'agit d'une vulnérabilité déjà exploitée par le groupe cybercriminel russophone FIN7.
• La faille de sécurité CVE-2020-1472, plus ancienne et surnommée Zero Logon, permettant d'effectuer une élévation de privilèges sur un contrôleur de domaine Active Directory

Pour rappel, la vulnérabilité CVE-2023-27532 présente dans Veeam B&R bénéficie déjà d'un correctif depuis le 7 mars 2023. Vous devez utiliser au moins l'une des versions suivantes pour être protégé :

• Veeam Backup & Replication 12 : build 12.0.0.1420 P20230223 (et versions supérieures)
• Veeam Backup & Replication 11a : build 11.0.1.1261 P20230227 (et versions supérieures)

Au final, les cybercriminels poursuivent leur opération à l'aide de Cobalt Strike et d'applications malveillantes sous la forme de lolbins.

Source

The post Cuba Ransomware exploite une faille dans Veeam pour compromettre des infrastructures américaines ! first appeared on IT-Connect.

La PowerShell Gallery de Microsoft est vulnérable aux attaques de type typosquatting à cause d'une politique de nommage des dépôts qui n'est pas suffisamment stricte, laissant la porte ouverte à des dérives. Voici ce qu'il faut savoir.

Si vous êtes un adepte de PowerShell, vous connaissez probablement le site PowerShell Gallery de Microsoft puisqu'il référence les modules, scripts et les ressources PowerShell DSC accessibles pour la communauté d'utilisateurs. Autant vous dire que c'est la plateforme dédiée à PowerShell la plus populaire, au même titre que PyPI pour les projets Python, si l'on exclut les plateformes généralistes comme GitHub.

L'équipe de chercheurs Nautilus de chez Aquasec a mis en ligne un rapport qui met en évidence les risques d'attaques de type typosquatting sur la PowerShell Gallery. D'après eux, Microsoft n'est pas assez stricte dans sa politique de nommages et de création de dépôts. Avec une attaque de type typosquatting, l'objectif des cybercriminels est simple : usurper des paquets populaires dans le but de réaliser une attaque plus importante de type supply chain.

Par exemple, le module populaire AzTable, qui compte plus de 10 millions de téléchargements, pourrait être pris pour cible. À titre d'exemple, Aquasec a créé un second module PowerShell nommé "Az.Table", ce qui le rend difficilement différenciable au premier coup d'œil. Ceci est d'autant plus vrai que certains modules officiels ont un nom sous cette forme, comme Az.Accounts et Az.Storage.

Au-delà de cette ambiguïté sur le nom, pouvant profiter aux pirates, un autre point faible découvert par l'équipe Nautilus est la possibilité d'usurper les détails du module, tels que le nom de l'auteur et le copyright, ce qui est d'autant plus trompeur. Malheureusement, il n'y a que l'auteur qui permet de différencier les modules (au-delà du nom), mais cette information est masquée par défaut. Voici un exemple mis en ligne dans le rapport d'Aquasec :

Enfin, ils sont parvenus à obtenir la liste complète (au format XML) de l'ensemble des paquets et modules de la plateforme PowerShell Gallery, qu'ils soient référencés ou non référencés. Cela pourrait mener à des fuites d'informations sensibles.

La réponse de Microsoft

Le 27 septembre 2022, Microsoft a été informé par AquaSec de cette problématique. Même si en janvier 2023, Microsoft a confirmé qu'une solution serait implémentée à court terme, le 16 août 2023, les problèmes restaient les mêmes. Microsoft n'a pas implémenté la moindre protection contre les attaques de type typosquatting sur sa plateforme PowerShell Gallery.

Microsoft encourage les utilisateurs à signaler les paquets malveillants, à l'aide du bouton prévu à cet effet. L'entreprise américaine estime aussi que cette technique relève de l'ingénierie sociale et que les utilisateurs doivent être vigilants.

Vous êtes prévenu.

Source

The post Attention aux attaques par typosquatting sur la PowerShell Gallery de Microsoft first appeared on IT-Connect.