Une campagne de phishing basée sur EvilProxy a été repérée par des chercheurs en sécurité. On parle de 120 000 e-mails envoyés à plusieurs centaines d'entreprises dans le monde. Faisons le point sur cette menace.

EvilProxy, une menace moderne

Pour ceux qui n'ont jamais entendu parler d'EvilProxy, sachez que c'est un service tout-en-un de type "Phishing-as-a-service" (PhaaS) très apprécié par les cybercriminels ! Cet outil prêt à l'emploi est régulièrement utilisé pour mettre en place des campagnes de phishing. Sa particularité ? Il est capable de piéger le mécanisme d'authentification multifacteurs (MFA).

Grâce à un système de reverse proxy, EvilProxy se positionne entre le service final (associé à un site web légitime) et l'utilisateur, de façon relayer les demandes d'authentification et les informations saisies par l'utilisateur. Au passage, cela permet aux cybercriminels de dérober les cookies de session et de prendre le contrôle du compte.

Les cybercriminels utilisent EvilProxy pour compromettre des comptes Microsoft 365, mais aussi Google, GoDaddy, PyPI, Apple, Facebook, etc... Puisqu'il s'agit d'un service en mode PhaaS, il est accessible sous la forme d'un abonnement : 400 dollars par mois. Une somme dérisoire compte tenu des possibilités offertes et du potentiel de cet outil...

Une nouvelle campagne cible les utilisateurs de Microsoft 365

D'après une nouvelle étude publiée par Proofpoint, il y a une augmentation du nombre de comptes compromis au cours des 5 derniers mois, principalement les comptes de cadres. Proofpoint a détecté une campagne malveillante, à très grande échelle, orchestrée par des cybercriminels qui s'appuient sur EvilProxy et essaie d'usurper l'identité de plusieurs services, dont DocuSign, Adobe et SAP Concur. On parle de 120 000 e-mails envoyés à des utilisateurs Microsoft 365, entre mars et juin 2023, à des centaines d'entreprises.

Si l'utilisateur se laisse tenter et qu'il clique sur le lien intégré à l'e-mail, une redirection est effectuée via YouTube ou SlickDeals, suivie d'une série de redirections. Tout est automatique et vise à rendre plus difficiles les analyses automatiques. Au final, l'utilisateur pris pour cible tombe sur une page EvilProxy aux couleurs de Microsoft 365 qui va même jusqu'à reprendre le thème graphique de la page de connexion de l'entreprise. C'est là où c'est particulièrement trompeur, car l'utilisateur peut être rassuré du fait qu'il voit le logo de son entreprise et le thème habituel...

• Comment personnaliser la page de connexion de Microsoft 365 ?

Grâce à cette technique, les attaquants sont parvenus à prendre le contrôle de beaucoup de comptes. Toutefois, d'après Proofpoint, les attaquants effectuent une sélection dans les comptes compromis. Les comptes VIP sont des cibles prioritaires, tandis que les autres comptes sont laissés de côté malgré qu'ils soient compromis également. Parmi les comptes compromis, 9% correspondraient à des PDG et des vice-présidents, 39% à des cadres et 17% des directeurs financiers, ce qui peut être lourd de conséquences pour l'entreprise concernée.

Une fois qu'un compte est compromis, l'attaquant ajoute sa propre méthode de MFA de manière à garder un accès permanent sur le compte. On parle de persistance.

Source

The post Phishing avec EvilProxy : 120 000 e-mails envoyés à des utilisateurs Microsoft 365 ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir qu'il est possible d'envoyer des e-mails avec PowerShell sans utiliser la commande Send-MailMessage car elle est obsolète ! Comment faire alors ? La réponse dans cet article !

Dans la documentation de Microsoft spécifique à la commande Send-MailMessage, on peut lire : "L’applet Send-MailMessage de commande est obsolète. Cette applet de commande ne garantit pas des connexions sécurisées aux serveurs SMTP. Bien qu’il n’existe aucun remplacement immédiat disponible dans PowerShell, nous vous recommandons de ne pas utiliser Send-MailMessage."

Aujourd'hui, la commande Send-MailMessage est toujours opérationnelle avec Windows PowerShell et PowerShell. Bien qu'il n'existe pas de commande officielle pour remplacer celle-ci, il y a tout de même une recommandation de la part de Microsoft : utiliser MailKit.

II. Comment utiliser MailKit avec PowerShell ?

MailKit est une librairie .NET open source qui n'est pas proposée par Microsoft directement, mais elle est maintenue par Jeffrey Stedfast de chez Microsoft. Pour fonctionner, MailKit a besoin de la librairie MimeKit, du même auteur. Puisqu'elles ne sont pas intégrées par défaut à .NET Framework, elles doivent être installées sur votre machine pour permettre d'envoyer des e-mails.

• MailKit sur GitHub

Plutôt que de procéder à l'installation de ces librairies et de construire notre propre fonction d'envoi d'e-mails, nous allons plutôt utiliser le module "Send-MailKitMessage" qui embarque directement ces librairies, en plus de donner accès à une fonction PowerShell pour envoyer des e-mails prête à l'emploi.

• Send-MailKitMessage sur GitHub
• Send-MailKitMessage sur PowerShell Gallery

Tout d'abord, nous devons installer le module sur notre machine. Ce module est compatible avec PowerShell et Windows PowerShell. Comme le montre l'image ci-dessous, le module intègre bien MailKit et MimeKit.

Installation pour l'utilisateur actuel :

Install-Module -Name "Send-MailKitMessage" -Scope CurrentUser

Installation pour tous les utilisateurs de la machine :

Install-Module -Name "Send-MailKitMessage" -Scope AllUsers

Ensuite, il ne reste plus qu'à importer le module :

Import-Module Send-MailKitMessage

III. Envoyer un e-mail avec MailKit

Sur notre machine, nous avons une nouvelle commande prête à l'emploi pour envoyer des e-mails : Send-MailKitMessage ! Comment l'utiliser pour envoyer notre premier e-mail avec PowerShell ? C'est ce que nous allons voir...

Le bout de code ci-dessous permet de définir l'ensemble des variables pour envoyer notre e-mail de façon sécuriser. À la fin, la commande Send-MailKitMessage est exécutée en utilisant l'ensemble des valeurs. Send-MailKitMessage prend en charge le SSL/TLS pour se connecter au serveur SMTP, ainsi que les identifiants (ici via un Get-Credential).

Import-Module Send-MailKitMessage

# SMTP : Serveur
$SMTPServer = "smtp.ionos.fr"

# SMTP : Port
$SMTPPort = 587

# SMTP : Expéditeur
$SMTPSender = [MimeKit.MailboxAddress]"expediteur@it-connect.fr"

# SMTP : Destinataire(s)
$SMTPRecipientList = [MimeKit.InternetAddressList]::new()
$SMTPRecipientList.Add([MimeKit.InternetAddress]"destinataire@domaine.fr")

# SMTP : Identifiants
$SMTPCreds = Get-Credential -UserName "user@it-connect.fr" -Message "Veuillez saisir le mot de Passe"

# E-mail : objet
$EmailSubject = "E-mail envoyé avec Send-MailKitMessage"

# E-mail : corps
$EmailBody = "<h1>Démo Send-MailKitMessage</h1>"

# Envoyer l'e-mail
Send-MailKitMessage -SMTPServer $SMTPServer -Port $SMTPPort -From $SMTPSender -RecipientList $SMTPRecipientList `
                    -Subject $EmailSubject -HTMLBody $EmailBody -Credential $SMTPCreds -UseSecureConnectionIfAvailable

Dans l'exemple ci-dessus, le serveur SMTP de chez Ionos est utilisé, mais on peut spécifier celui d'OVHCloud, de Gandi, ou encore de Gmail... Tout dépend de votre fournisseur en fait, mais la logique reste la même. Le paramètre "-HTMLBody" sert à préciser que le corps de l'e-mail est au format HTML, ce qui permet d'ajouter des balises HTML et de personnaliser l'apparence de l'e-mail. Pour un e-mail en mode brut, utilisez le paramètre "-TextBody" à la place.

Lors de l'exécution, il conviendra de saisir le mot de passe (on pourrait aussi l'inclure dans le script directement) puis l'e-mail sera envoyé.

Voilà, l'e-mail est bien arrivé dans ma boite aux lettres !

Pour envoyer l'e-mail à plusieurs personnes (champ "A"), utilisez cette syntaxe :

# SMTP : Destinataire(s)
$SMTPRecipientList = [MimeKit.InternetAddressList]::new()
$SMTPRecipientList.Add([MimeKit.InternetAddress]"destinataire1@domaine.fr")
$SMTPRecipientList.Add([MimeKit.InternetAddress]"destinataire2@domaine.fr")

Pour Microsoft 365, comment fait-on ? D'autant plus que Microsoft a désactivé l'authentification SMTP basique.

On peut utiliser la fonction d'envoi direct appelée "Direct Send" ou s'appuyer sur l'API Microsoft Graph via PowerShell, mais nous cette seconde méthode dans un prochain article ! Le fait d'utiliser Direct Send permet d'utiliser un SMTP spécifique comme "it-connect-fr.mail.protection.outlook.com" sur le port 25, grâce à la configuration de l'enregistrement SPF du domaine. Voici quelques ressources à ce sujet :

• Microsoft Learn - Direct Send
• Tutoriel - Office 365 et le SMTP

IV. Conclusion

Désormais, vous êtes capable d'envoyer des e-mails en PowerShell sans avoir besoin d'utiliser Send-MailMessage ! Ainsi, vous suivez la recommandation de Microsoft, à savoir ne plus utiliser cette commande et préférer l'utilisation de MailKit. Ceux qui veulent pourront aussi approfondir l'utilisation du framework MailKit pour créer leur propre fonction, mais celle existante et utilisée dans cette démo est déjà très complète.

The post Comment envoyer des e-mails avec PowerShell ? Sans utiliser Send-MailMessage ! first appeared on IT-Connect.

En exploitant cette faille de sécurité dans Visual Studio Code à partir d'une extension, un attaquant peut voler les jetons d'authentifications stockés sur la machine. Problème, Microsoft n'a pas l'air de vouloir corriger cette vulnérabilité. Voici ce qu'il faut savoir...

Les chercheurs en sécurité de chez Cycode ont fait la découverte d'une faille de sécurité importante dans l'éditeur de code Visual Studio Code, alias VSCode. Celle-ci affecte le système d'extensions. En effet, il est possible d'ajouter des extensions dans VSCode, que ce soit pour ajouter des fonctions supplémentaires, prendre en charge un nouveau langage ou encore se connecter à un service tiers.

La vulnérabilité découverte par les chercheurs permet à un attaquant de voler les jetons d'authentifications et mots de passe stockés dans le gestionnaire d'identifiants de la machine, qu'elle soit sous Windows, Linux ou macOS, à partir d'une extension malveillante. En fait, cette vulnérabilité se situe dans l'API Secret Storage qui permet aux extensions de stocker des jetons d'authentification sur la machine locale.

Une extension malveillante peut accéder aux jetons d'authentification stockés sur la machine : c'est particulièrement dangereux, car il peut s'agir de jetons d'accès à GitLab, CircleCI, AWS, Azure, etc... Ce qui peut être lourd de conséquences si un cybercriminel met la main sur des jetons d'authentification de ce type.

Dans une démonstration, les chercheurs en sécurité ont fait une modification de l'extension officielle CircleCI, dans le but de voler les jetons d'authentification pour les envoyer vers un serveur externe contrôlé par les chercheurs.

Ils sont même allés plus loin en abusant du fonctionnement de l'application : Visual Studio Code est capable d'accéder à l'ensemble des jetons d'authentification sauvegardés par l'utilisateur. Ce qui est normal. À partir de là, ils sont parvenus à exécuter un script qui récolte l'ensemble des jetons d'authentification.

Microsoft n'envisage pas de corriger ce problème

Les chercheurs de chez Cycode ont remonté l'information sur cette vulnérabilité à Microsoft, il y a deux mois, avec un PoC fonctionnel qu'ils ont mis au point pour effectuer une démonstration concrète. Toutefois, pour le moment, Microsoft refuse de corriger cette vulnérabilité, car les extensions ne sont pas censées être cloisonnées vis-à-vis du reste de l'environnement.

Cette vulnérabilité potentielle reste non corrigée à ce jour. Méfiance lorsque vous installez une nouvelle extension ou que vous exécutez un script provenant d'Internet, cela pourrait donner des idées à certains...

Source

The post Cette faille dans Visual Studio Code permet à une extension de voler vos mots de passe ! first appeared on IT-Connect.

Microsoft a mis en ligne de nouvelles mises à jour cumulatives pour Windows 11 : KB5029263 et KB5029253. Au sein de ces updates, les développeurs de Microsoft ont introduit 27 améliorations et corrections de bugs.

Au-delà des correctifs pour les failles de sécurité présentes dans Windows, cette nouvelle mise à jour pour Windows 11 a pour objectif d'effectuer 27 changements dans le système d'exploitation. Voici les changements mis en avant par Microsoft :

• Microsoft a rendu les paramètres de luminosité plus précis.
• Si vous épinglez un widget, il restera désormais épinglé, mettant fin au bug rencontré par certains utilisateurs.
• Microsoft a corrigé un problème qui entraînait la disparition de certains périphériques audio et d'affichage après la reprise d'un système en veille, comme sur Windows 10.
• Cette mise à jour corrige un bug causant des problèmes de performance avec les connexions VPN, pour ceux qui utilisent un réseau maillé sans fil. Ce problème était dû à un nombre excessif de requêtes ARP adressées à la passerelle configurée sur votre interface réseau.
• Amélioration de la reconnaissance et de la précision des caractères chinois dans les outils d'écriture manuscrite.

Pour accéder à la liste de tous les changements effectués par Microsoft, consultez cette page.

Windows 11 : les mises à jour d'août 2023

Voici la liste avec les deux mises à jour Windows 11 pour le mois d'août 2023 :

• Windows 11 22H2 : KB5029263
• Windows 11 21H2 : KB5029253

Les KB mentionnées pour Windows 11 ci-dessus sont disponibles via les canaux habituels, comme Windows Update, WSUS, etc. Sur une machine en local, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.

Si vous souhaitez en savoir plus sur le nouveau Patch Tuesday de chez Microsoft, veuillez consulter cet article dédié :

• Patch Tuesday Microsoft - Août 2023

Et pour les mises à jour Windows 10 :

• Mises à jour Windows 10 d'Août 2023

La priorité pour le moment semble être le correctif pour Microsoft Office puisque Microsoft a corrigé une faille de sécurité zero-day déjà exploitée depuis plusieurs semaines par un groupe de cybercriminels.

Source

The post Mises à jour Windows 11 d’Août 2023 : KB5029263 et KB5029253, quoi de neuf ? first appeared on IT-Connect.

Depuis ce mardi 8 août 2023, de nouvelles mises à jour mensuelles cumulatives sont disponibles pour Windows 10 : KB5029244 et KB5029247. Faisons le point sur les nouveautés et changements apportés par ces updates !

Comme tous les mois, cette mise à jour va permettre de corriger plusieurs failles de sécurité dans Windows, mais aussi d'améliorer la stabilité du système en corrigeant quelques bugs. Ce mois-ci, Microsoft n'a pas introduit de nouveautés. L'entreprise américaine a mis en avant les 4 correctifs suivants :

• Cette mise à jour résout un problème susceptible d'affecter votre ordinateur lorsque vous jouez à un jeu. Des erreurs de détection et de récupération du délai d'attente (TDR) peuvent se produire.
• Cette mise à jour résout un problème qui affecte certains périphériques audio et d'affichage. Ils sont absents lorsque le système sort de son état de veille.
• Cette mise à jour résout un problème pouvant affecter certains clients VPN. Il se peut qu'ils n'établissent pas de connexion.
• Cette mise à jour corrige un problème affectant l'application Recherche. Elle s'ouvre en plein écran, bloque d'autres actions du menu Démarrer et vous ne pouvez pas la fermer.

Pour en savoir plus sur l'ensemble des bugs corrigés par Microsoft, veuillez consulter cette page.

Windows 10 : les KB d'Août 2023

Voici un résumé des mises à jour publiées le mardi 11 juillet 2023 par Microsoft :

• Windows 10 21H2 et 22H2 : KB5029244
• Windows 10 version 21H1 : Fin du support
• Windows 10 version 20H2 : Fin du support
• Windows 10 version 2004 : Fin du support
• Windows 10 version 1909 : Fin du support
• Windows 10 version 1903 : Fin du support
• Windows 10 version 1809 : KB5029247
• Windows 10 version 1803 : Fin du support
• Windows 10 version 1709 : Fin du support
• Windows 10 version 1703 : Fin du support
• Windows 10 version 1607 : KB5029242
• Windows 10 version 1507 : KB5029259

Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.

Si vous utilisez la suite Microsoft Office, j'attire votre attention sur l'importance d'installer les dernières mises à jour pour vous protéger de la faille de sécurité CVE-2023-36884.

• Patch Tuesday d'Août 2023

The post Mises à jour Windows 10 d’août 2023 : KB5029244 et KB5029247, quoi de neuf ? first appeared on IT-Connect.