I. Présentation

Dans ce tutoriel, nous allons voir comment désinstaller le client LAPS sur Windows en ligne de commande. Il s'agit d'une étape à effectuer lorsque l'on passe sur Windows LAPS alors que l'on avait déjà LAPS (legacy) en place sur ses machines, que ce soit des postes de travail Windows ou des serveurs Windows Server.

Lorsque le client LAPS legacy est installé sur une machine, il est visible dans la liste des programmes installés avec le nom "Local Administrator Password Solution".

Le fait d'effectuer la désinstallation en ligne de commande va permettre d'automatiser la désinstaller de LAPS, avec une GPO, par exemple.

• Tutoriel - Comment configurer Windows LAPS avec l'Active Directory ?

II. Désinstaller LAPS avec un script

Tout d'abord, nous devons identifier la ligne de commande qui va nous permettre de désinstaller cette application. On a le choix entre PowerShell et l'outil natif MsiExec.

La commande Get-CimInstance permet de récupérer des informations sur le système, y compris sur les applications installées. On peut récupérer le nom et le numéro d'identification de l'application LAPS. Pour cela, on effectue un filtre sur le nom :

Get-CimInstance -Class Win32_Product -Filter "Name='Local Administrator Password Solution'" | fl Name,IdentifyingNumber

Ce qui retourne :

Name : Local Administrator Password Solution
IdentifyingNumber : {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}

Le problème, c'est que cette commande n'intègre pas de méthode permettant de désinstaller le programme en s'appuyant sur le résultat retourné. Pour cela, on va devoir s'orienter vers une commande plus ancienne, mais toujours disponible : Get-WmiObject.

On va l'utiliser sur le même principe, ce qui va donner :

Get-WmiObject -Class Win32_Product -Filter "Name='Local Administrator Password Solution'"

Si on liste les propriétés et méthodes disponibles avec cette commande, on peut visualiser la méthode "Uninstall()". Intéressant !

Ce qui signifie que l'on peut utiliser Get-WmiObject pour sélectionner l'application LAPS et invoquer la méthode Uninstall() pour désinstaller l'application. Ce qui donne :

(Get-WmiObject -Class Win32_Product -Filter "Name='Local Administrator Password Solution'").Uninstall()

En exécutant cette commande, LAPS est désinstallé de la machine !

Puisque j'ai évoqué MsiExec en introduction, sachez que l'on peut aussi utiliser cet outil pour désinstaller LAPS. Toutefois, il faut préciser l'ID de l'application dans la commande (il ne me semble pas que l'on puisse utiliser le nom). Cet ID est récupérable avec Get-CimInstance et Get-WmiObject.

Au final, avec MsiExec, la commande de désinstallation de LAPS serait :

MsiExec.exe /x {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28} /qn

III. Désinstaller LAPS par GPO

En résumé, on peut dire qu'une seule ligne de code PowerShell permet de désinstaller LAPS. Il suffit d'indiquer cette commande dans un script ".ps1" pour l'exécuter via une stratégie de groupe (GPO) avec un script de démarrage. Comme ceci :

Sinon, si vous avez déployé le client LAPS via une GPO de type "Installation de logiciel" sachez que vous pouvez initier la désinstallation par ce biais. Il suffit d'éditer la GPO et de supprimer le paquet avec un clic droit. À ce moment-là, la fenêtre "Suppression de logiciel" va s'afficher et il faudra bien choisir l'option "Désinstaller immédiatement le logiciel des utilisateurs et des ordinateurs".

Cette méthode ne vaut que si LAPS a été déployé par cette méthode. Sinon, il vaut mieux exécuter un script pour désinstaller l'application : ce sera fait sans différence d'une machine à l'autre.

IV. Conclusion

Grâce à ce tutoriel, vous devez être en mesure de désinstaller LAPS legacy de vos postes de travail Windows et vos serveurs Windows Server. La méthode basée sur l'exécution d'un script PowerShell me semble la plus efficace (et très rapide à mettre en place) si vous n'avez pas un autre outil pour gérer les applications sur vos machines.

The post GPO : comment désinstaller LAPS sur Windows avec un script PowerShell ? first appeared on IT-Connect.

Les utilisateurs de Windows sont confrontés à un nouveau problème qui affecte certaines applications 32 bits lors de la copie ou de la sauvegarde de fichiers. Faisons le point sur ce bug.

Sur son site, Microsoft décrit le problème de cette façon : "Vous pouvez rencontrer des problèmes intermittents lors de l'enregistrement, de la copie ou de l'attachement de fichiers à l'aide d'applications 32 bits qui tiennent compte des adresses volumineuses et utilisent l'API CopyFile." - L'application, qu’elle soit en 32 ou 64 bits, doit respecter ces deux conditions pour être impactée.

Par exemple, si vous utilisez Microsoft Office en version 32 bits, vous pouvez être embêté par ce bug, car l'API CopyFile est utilisée par des applications comme Word, Excel et PowerPoint. Dans ce cas, le message d'erreur "Document non enregistré" peut apparaître. Toutefois, et c'est rassurant, cela ne concernerait pas les actions effectuées avec l'Explorateur de fichiers de Windows.

Quels sont les systèmes impactés ? Est-ce qu'il y a un patch ?

Microsoft affirme que ce nouveau problème affecte Windows 10 21H2 et 22H2, ainsi que Windows 11 21H2 et 22H2. Il vient d'être ajouté à la liste des problèmes connus, et il se produirait sur les machines suite à l'installation, ce problème a été constaté sur les machines où les mises à jour d'avril 2023 sont installées.

Pour le moment, la firme de Redmond n'a pas de solution à proposer aux utilisateurs de Windows 11 version 22H2 si ce n'est de relancer l'action de sauvegarde ou la copie lorsqu'elle échoue (puisqu'il s'agit d'un problème qui se produit par intermittence). Toutefois, pour les utilisateurs de Windows 10 et de Windows 11 21H2, ce problème va devenir de l'histoire ancienne.

Microsoft invite les administrateurs à s'appuyer sur la fonction Known Issue Rollback de Windows pour pousser le correctif, grâce à une configuration par GPO. Les liens pour Windows 11 21H2 et Windows 10 sont disponibles sur cette page : Correctif KIR.

Avez-vous rencontré ce bug ?

Source

The post Windows 10 et Windows 11 : ce bug perturbe la copie et la sauvegarde de fichiers ! first appeared on IT-Connect.

I. Présentation

Dans cet article, nous allons aborder une nouvelle notion de Wireshark : le marquage de paquets ! Grâce au marquage de paquets, nous allons pouvoir retrouver facilement certains paquets dans une capture réseau. Utile pour estampiller les paquets qui nous intéressent vraiment.

Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :

• Tutoriel - Installation pas-à-pas de Wireshark
• Tutoriel - Découverte de l'interface Wireshark
• Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
• Tutoriel - Wireshark et les filtres de capture
• Tutoriel - Wireshark et les filtres d'affichage
• Tutoriel - Wireshark et la résolution de noms
• Tutoriel - Wireshark et les commentaires
• Tutoriel - Wireshark : activer la géolocalisation d’adresses IP
• Tutoriel - Wireshark - Comment déchiffrer les flux TLS comme le HTTPS ?
• Tutoriel - Wireshark - Comment décoder un protocole ?
• Tutoriel - Wireshark - Comment anonymiser un fichier de capture avec TraceWrangler ?
• Tutoriel - Wireshark - Créer une capture en continue (sans saturer sa machine)
• Tutoriel - Wireshark - fusionner des fichiers de capture avec Mergecap
• Téléchargement - Wireshark

C'est parti !

II. Comment marquer des paquets ?

Le marquage de paquets s’effectue dans la liste des paquets de votre capture réseau. Ici, on part du principe que vous disposez déjà d'une capture sur laquelle travailler.

Effectuez un clic droit sur le paquet que vous souhaitez marquer et cliquer sur « Marquer/Démarquer le(s) paquet(s) ». Comme ceci :

Votre paquet marqué apparait avec une écriture blanche sur un fond bleu marine comme ci-dessous, sur la barre du bas de Wireshark apparait une nouvelle information « Marqués : 1 (0.0%) ». Wireshark vous indique sur la barre du bas le nombre de paquets marqués et le pourcentage de paquets marqués sur votre capture réseau.

N.B : Vous pouvez démarquer un paquet en faisant la même procédure que pour marquer un paquet, puisque c'est la même option dans le menu contextuel.

III. Filtre d’affichage pour les paquets marqués

Pour retrouver facilement vos paquets marqués, vous pouvez utiliser le filtre d’affichage suivant : « frame.marked==1 ». Et là, on visualise uniquement les paquets marqués. Pratique.

IV. Démarquer des paquets marqués dans votre capture réseau

Vous pouvez démarquer un paquet marqué avec la même méthode que pour marquer un paquet, mais cela peut-être fastidieux à réaliser si vous avez un nombre important de paquets marqués.

Donc voici une autre méthode, qui supprimera ce tag sur l’ensemble des paquets marqués de votre capture réseau.

Pour cela, cliquez sur « Editer » et ensuite « Désélectionner tous les éléments affichés ».

Résultat, tous les paquets sont démarqués ! On peut remarquer que l’information du nombre de paquets marqués à disparu dans la barre du bas de Wireshark.

V. Conclusion

Suite à la lecture de ce tutoriel, vous êtes capable de marquer rapidement des paquets sur Wireshark ! Ceci va vous permettre de repérer rapidement les paquets que vous souhaitez analyser plus tard. Le prochain article sera sur la gestion du temps dans Wireshark.

The post Wireshark – Comment marquer des paquets pour les identifier plus facilement ? first appeared on IT-Connect.

Un nouveau logiciel malveillant surnommé PowerExchange par les chercheurs en sécurité a été utilisée par un groupe de cybercriminels pour prendre le contrôle de serveurs Microsoft Exchange on-premise.

Ce sont les chercheurs en sécurité de chez Fortinet qui ont mis en ligne ce rapport au sujet du malware qu'ils ont surnommé "PowerExchange" et qui permet de déployer une porte dérobée. Une fois en place, cette porte dérobée déploie un web shell nommé ExchangeLeech qui permet aux attaquants d'exécuter des commandes sur le serveur de messagerie et de voler les identifiants des utilisateurs. Le web shell ExchangeLeech en lui-même n'est pas nouveauté puisqu'il a été observé pour la première fois en 2020.

D'après l'équipe de chercheurs FortiGuard Labs Threat Research, la porte dérobée PowerExchange a été utilisée en 2022 pour attaquer des entités gouvernementales des Émirats arabes. Le groupe de cybercriminels APT34  a été associé à ces attaques, et celui-ci est un groupe étatique lié à l'Iran.

La chaîne d'infection de PowerExchange

Tout commence par un e-mail de type phishing qui contient une archive ZIP avec un exécutable malveillant. Dans le rapport de Fortinet, on peut lire : "Un utilisateur a ouvert un fichier zip nommé Brochure.zip qui contenait un exécutable .NET malveillant portant le même nom : Brochure.exe.", ce qui donne lieu ensuite à trois autres fichiers générés dans "C:\Users\Public\MicrosoftEdge" : autosave.exe, wsdl.ps1 et Microsoft.Exchange.WebServices.dll.

Le nouvel exécutable "autosave.exe" sert à lancer le script PowerShell "wsdl.ps1" dans un nouveau processus, ce script correspondant à une porte dérobée codée en PowerShell. Comme le montre le schéma ci-dessous, la porte dérobée communique avec le serveur C2 des attaquants au travers du serveur de messagerie Exchange de la victime.

D'ailleurs, dans le rapport de Fortinet, on peut lire ce qui suit : "Le script PowerShell [...] utilise l'API Exchange Web Services (EWS) pour se connecter au serveur Exchange de la victime et utilise les boîtes aux lettres du serveur pour envoyer et recevoir des commandes de son opérateur." - Forcément, le fait que le serveur Exchange soit accessible depuis Internet rend possible l'utilisation de cette méthode.

Les e-mails utilisés pour recevoir les commandes utilisent le nom "Update Microsoft Edge" comme objet de message. C'est en pièce jointe de l'e-mail qu'il faut regarder pour obtenir la commande à exécuter. En parallèle, le web shell ExchangeLeech agit sur le serveur de manière à collecter les identifiants et mots de passe des utilisateurs. Pour cela, il exploite une faiblesse de la Basic Authentication qui lui permet de récupérer les identifiants en clair.

Cette nouvelle menace, bien que détectée l'année dernière par Fortinet, nous rappelle une fois de plus qu'il est important de sécuriser et maintenir à jour son serveur de messagerie Exchange.

• Protéger son serveur Exchange avec CrowdSec

Source

The post PowerExchange, une porte dérobée qui cible les serveurs Microsoft Exchange first appeared on IT-Connect.

Une mise à jour de sécurité est disponible pour GitLab ! L'éditeur recommande de l'installer en urgence pour corriger une vulnérabilité critique associée à la référence CVE-2023-2825 !

Pour rappel, GitLab est un outil très populaire auprès des développeurs et des devops qui permet de bénéficier de Git au travers d'une interface Web. Ce système est mondialement utilisé et il compte environ 30 millions d'utilisateurs ! La présentation étant faite, parlons de la faille de sécurité CVE-2023-2825.

Tout d'abord, il faut savoir que cette vulnérabilité a été découverte par un chercheur en sécurité surnommé "pwnie" et qu'il l'a remonté à GitLab au travers du programme de Bug bounty dispose sur HackOne.

Cette faille de sécurité hérite d'un score CVSS v3.1 de 10 sur 10, ce qui n'est pas anodin, et elle affecte aussi bien GitLab Community Edition (CE) que l'Enterprise Edition (EE), en version 16.0.0. Il est important de préciser que les versions antérieures ne sont pas affectées. A contrario, tous les types de déploiement sont affectés.

De type path transversal, cette vulnérabilité permet à un attaquant non authentifié de lire des fichiers sur le serveur. Ainsi, elle peut être à l'origine de fuites de données : code source, identifiants, jetons, fichiers, etc... Selon ce que l'on peut trouver sur vos dépôts. Pour que la vulnérabilité soit exploitable, il faut avoir une structure spécifique sur son dépôt, ce qui limite les risques. En effet, GitLab précise que la faille est exploitable "lorsqu'il existe une pièce jointe à un projet public imbriqué dans au moins cinq groupes."

Comment se protéger ?

Utilisateurs de GitLab en version 16.0.0, protégez-vous dès maintenant en installant la mise à jour 16.0.1 ! C'est ce que recommande aussi GitLab dans son bulletin de sécurité : "Nous recommandons vivement que toutes les installations utilisant une version affectée par les problèmes décrits ci-dessous soient mises à jour vers la dernière version dès que possible."

GitLab ne propose pas de solution de contournement pour atténuer la vulnérabilité en attendant d'installer le correctif. Donc, c'est actuellement la seule solution pour se protéger. Toutefois, comme la vulnérabilité peut être exploitée uniquement sous certaines conditions, vous pouvez être protégé malgré tout.

Les instructions de mise à jour sont disponibles sur le site officiel de GitLab.

Source

The post Mettez à jour GitLab pour vous protéger d’une nouvelle faille critique (CVE-2023-2825) first appeared on IT-Connect.