Une centaine d'organisations situées aux États-Unis et en Europe ont été victime d'une nouvelle campagne malveillante visant à déployer le malware StrelaStealer ! Voici ce qu'il faut savoir sur cette menace.
L'Unit42 de Palo Alto Networks a publié un rapport au sujet de la menace StrelaStealer, un logiciel malveillant repéré pour la première fois en novembre 2022. Après avoir infecté une machine, son objectif est de voler les informations d'identification des comptes de messagerie dans les applications Outlook et Thunderbird.
Alors qu'à la base ce malware ciblait principalement les utilisateurs hispanophones, il s'avère que les cybercriminels ont fait évoluer leur plan : désormais l'Europe et les États-Unis sont pris pour cible. Pour cela, les pirates n'hésitent pas à traduire en plusieurs langues les fichiers utilisés par ce malware, ce qui le rend polyglotte et lui permet de s'adapter à la cible.
Comme beaucoup d'autres logiciels malveillants, StrelaStealer est distribué par l'intermédiaire de phishing. Depuis la fin du mois de janvier, l'Unit42 a détecté une forte hausse de l'activité avec un important volume d'e-mails malveillants envoyés par jour. L'Unit42 évoque jusqu'à 500 organisations ciblées par jour et il y a eu des victimes : "Récemment, nos chercheurs ont identifié une vague de campagnes StrelaStealer à grande échelle touchant plus de 100 organisations dans l'UE et aux États-Unis.", peut-on lire dans le rapport. Dans la grande majorité des cas, ce sont les organisations du secteur des nouvelles technologies qui ont été les plus visées.
La chaine d'infection de StrelaStealer
Les pirates ont fait évoluer la chaine d'infection du malware StrelaStealer. Désormais, l'e-mail malveillant contient une pièce jointe au format ZIP qui a pour objectif de déposer des fichiers JScript sur la machine de la victime. Dans le cas où ces scripts sont exécutés, ils déposent un fichier batch et un fichier encodé en base64, qui donne lieu à une DLL qui sera exécutée via rundll32.exe afin de déployer le payload StrelaStealer.
Le schéma ci-dessous, issu du rapport d'Unit42 permet de comparer l'ancienne et la nouvelle chaine d'infection.
Si le logiciel malveillant est déployé, il vole les identifiants mémorisés dans Outlook et Thunderbird et ces informations sont immédiatement envoyées aux attaquants par l'intermédiaire d'un serveur C2.
Microsoft a dévoilé ses premiers PC boostés à l'IA et dont le clavier intègre une nouvelle touche dédiée à Copilot : la Surface Pro 10 et le Surface Laptop 6. Faisons le point sur ces nouveautés !
Les premiers ordinateurs de Microsoft équipés d'une touche Copilot sur le clavier et équipés d'une unité de traitement neuronal (NPU) ont été dévoilés ! Ces nouveaux appareils de Microsoft entrent dans ce que l'on appelle l'ère des PC IA. En effet, selon les configurations, la Surface Pro 10 et le Surface Laptop 6 pourront bénéficier d'un processeur Intel Core Ultra 5 ou Intel Core Ultra 7, ainsi qu'un NPU Intel AI Boost.
D'après Microsoft : "Du point de vue des performances, le Surface Laptop 6 est deux fois plus rapide que le Laptop 5, et le Surface Pro 10 est jusqu'à 53 % plus rapide que le Pro 9." - Le NPU Intel AI Boost devrait permettre à la machine d'être plus efficace pour traiter les tâchées liées à l'IA, ce qui devrait optimiser l'autonomie générale de la batterie. L'entreprise américaine annonce jusqu'à 19 heures d'autonomie pour ces deux modèles, soit 4 heures de plus pour la Surface Pro 10 et 2 heures de plus pour le Laptop 6.
Microsoft abandonne sa configuration basée sur 128 Go de stockage flash pour proposer au minimum 256 Go, et jusqu'à 1 To pour la version la plus complète. Pour la mémoire vive, vous avez le choix entre 8 Go, 16 Go, 32 Go et même 64 Go de RAM pour la première fois. Par ailleurs, au niveau de la connectivité, ces deux appareils auront le droit au Wi-Fi 6E (802.11ax) et au Bluetooth 5.3.
Pour faciliter la lecture des clés de sécurité, la Surface Pro 10 bénéficie d'une puce NFC, ce qui est une nouveauté vis-à-vis des générations précédentes. Du côté du Surface Laptop 6, un lecteur de carte à puce est intégré à certaines versions, et uniquement aux États-Unis et au Canada, d'après le site de Microsoft.
Par ailleurs, ce nouveau modèle de Surface Pro bénéficie d'un nouveau revêtement antireflet qui devrait améliorer la visibilité de l'écran, ainsi que d'une caméra ultra-large (champ de vision de 114 degrés) de 10,5 mégapixels et d'une résolution de 1440p. De son côté, le Laptop 6 bénéficie d'une nouvelle caméra pour passer de 720p à 1080p.
Prix et disponibilité
Pour le moment, la Surface Pro 10 et le Surface Laptop 6 sont disponibles uniquement pour les entreprises. Il s'agit d'appareils estampillés "for business", même s'il n'est pas à exclure que le grand public puisse en bénéficier par la suite. Les précommandes sont ouvertes et les premières livraisons sont prévues pour le 10 avril 2024.
Ces deux appareils sont disponibles à partir de 1 399 euros TTC. Un tarif variable selon la configuration choisie : processeur, RAM, stockage, etc. À ce prix-là, vous avez le droit à une Surface Pro 10 avec un processeur Intel Ultra 5 135U, 8 Go de RAM et de 256 Go de SSD. A cela, il faudra ajouter le tarif du clavier Surface Pro (à partir de 159.99 € TTC).
GoFetch, c'est le nom d'une attaque qui exploite une faille de sécurité importante découverte dans les puces Apple M1, M2 et M3 utilisées par les générations les plus récentes de Mac. La particularité de cette vulnérabilité : elle ne peut pas être corrigée, à moins d'impacter très fortement les performances des puces fabriquées par Apple. Faisons le point !
Une équipe de chercheurs du MIT Computer Science & Artificial Intelligence Laboratory (CSAIL) a mis au point une technique d'attaque baptisée GoFetch, qui exploite une faille de sécurité matérielle présente dans les puces Apple Silicon. Cette attaque de type "side-channel" cible une fonction d'optimisation matérielle appelée Data Memory-dependent Prefetcher (DMP).
Le DMP est une fonction intégrée dans les puces Apple et qui a pour objectif d'aider le processeur à deviner les données dont il pourrait avoir besoin ensuite afin d'optimiser les performances (principe du prefetch). Dans le cas présent, l'attaque permet de tromper la fonction DMP afin qu'elle révèle des informations sensibles stockées en mémoire.
En effet, en exploitant GoFetch, un attaquant pourrait extraire des clés cryptographiquesstockées sur un Mac (OpenSSL Diffie-Hellman, Go RSA, CRYSTALS Kyber et Dilithium) dans le but de contourner les opérations de chiffrement effectuées directement par la puce Apple Silicon. Il serait possible de compromettre les clés utilisées par divers algorithmes de chiffrement. In fine, ceci facilite l'accès aux données stockées sur le Mac.
Pour mener à bien cette attaque, l'attaquant doit convaincre la victime d'exécuter un malware (par l'intermédiaire d'un e-mail malveillant, par exemple). Le malware doit être exécuté en parallèle de l'application prise pour cible, et ce, pendant un certain temps afin de pouvoir voler la clé.
Comment se protéger de la faille GoFetch ?
GoFetch fait référence à une faille de sécurité matérielle dans l'architecture même des puces Apple, donc en raison de sa nature, il ne sera pas possible de corriger directement la vulnérabilité. L'intégration d'un correctif ou d'une mesure d'atténuation va passer par la couche logicielle.
Le problème, c'est que la mise en œuvre d'un quelconque correctif va très fortement dégrader les performances des puces Apple, en particulier les deux premières générations : Apple M1 et M2. D'ailleurs, au passage, cette histoire n'est pas sans rappeler les failles de sécurité Meltdown et Spectre qui touchaient de nombreux processeurs Intel et AMD et dont la correction impactait également les performances du processeur.
Pour en savoir plus, vous pouvez consulter le site officiel de GoFetch. Sur ce site, il est d'ailleurs précisé qu'un code PoC sera mis en ligne prochainement... Apple ne s'est pas encore exprimé au sujet de GoFetch. Affaire à suivre...
Vous utilisez Linux sur Windows à l'aide de la fonctionnalité Windows Subsystem for Linux ? Sachez que Microsoft devrait vous permettre de gérer vos distributions Linux à partir de l'interface graphique. Faisons le point sur cette nouveauté à venir.
Les utilisateurs de Windows 10 et Windows 11 peuvent utiliser Linux depuis leur système d'exploitation principal à l'aide de la fonctionnalité Windows Subsystem for Linux, dont la version 2 s'appuie sur Hyper-V pour permettre l'utilisation d'un véritable noyau Linux. Ceci permet aux utilisateurs de pouvoir utiliser Ubuntu, Debian, etc... Directement depuis Windows.
Voici d'ailleurs quelques tutoriels sur le sujet :
Actuellement, la configuration et la gestion de Windows Subsystem for Linux s'effectue à partir de la ligne de commande, via l'exécutable "wsl.exe". Par exemple, la commande ci-dessous sert à obtenir la liste des distributions Linux actuellement installées.
wsl --list
À en croire une suggestion pour WSL apparue sur le GitHub de Microsoft, les développeurs souhaiteraient ajouter à Windows une interface graphique permettant de gérer les distributions Linux installées dans le cadre de la fonction WSL. Sur GitHub, l'entreprise américaine a demandé des idées sur l'utilisation de Dev Home pour gérer toutes les distributions Linux installées.
Une copie d'écran a même été ajoutée. Sur cette image, nous pouvons voir plusieurs options, dont la possibilité de lancer, démarrer, d'ajouter ou de désinstaller une distribution Linux, mais aussi de déplacer la distribution Linux vers un autre emplacement. Autres informations intéressantes : la quantité de RAM et de CPU consommée par Windows Subsystem for Linux. Par ailleurs, ceci devrait permettre de lancer une distribution Linux en tant que l'utilisateur de son choix ("as a specific user").
Cette nouveauté permettrait aux utilisateurs d'avoir plus facilement une vue d'ensemble sur les distributions Linux installées, et ceci pourrait aussi faciliter leur gestion. De quoi rendre WSL plus accessible ? Probablement. En tout cas, cette nouvelle interface pourrait être intégrée directement à l'application Dev Home destinée aux développeurs... Quoi qu'il en soit, cette interface graphique manque actuellement à WSL...
Dans ce tutoriel, nous allons apprendre à créer une règle de pare-feu Windows Defender à l'aide d'une stratégie de sécurité Intune. Cette stratégie à destination des appareils Windows va permettre de déployer une ou plusieurs règles de pare-feu afin d'avoir des règles homogènes et d'autoriser les flux dont nous avons besoin.
En entreprise, et bien que ce soit à utiliser avec parcimonie, il est fréquent d'avoir besoin de créer des règles de pare-feu pour autoriser un ou plusieurs flux entrants sur les machines. Par exemple, pour autoriser les connexions RDP (Bureau à distance), l'administration à distance PowerShell via WinRM, etc... Veillez à limiter les autorisations accordées à ces règles : limiter à un sous-réseau source est une bonne idée.
Dans cet exemple, nous allons simplement créer une règle de pare-feu pour autoriser les connexions entrantes sur le port 3389 (RDP) à partir du sous-réseau 192.168.145.0/24.
1 - Cliquez sur "Sécurité du point de terminaison" à gauche
2 - Cliquez sur "Pare-feu" dans le menu de la section sécurité
3 - Cliquez sur le bouton "Créer une stratégie"
4 - Choisissez la plateforme "Windows 10, Windows 11 et Windows Server" pour la gestion directe via Intune
5 - Sélectionnez le profil "Règles de pare-feu Microsoft Defender" qui est dédié à la création de règles de pare-feu. Le profil "Pare-feu Microsoft Defender" sert à configurer les paramètres généraux (état du pare-feu, audit, taille des journaux, etc.). Cliquez sur "Créer".
Commencez par nommer cette stratégie, par exemple "Autoriser la connexion RDP depuis réseau local". Passez à l'étape suivante.
Ici, vous devez définir l'ensemble des règles à déployer sur les appareils Windows. Nous allons surtout nous intéresser à la colonne "Propriétés de la règle". Nous pouvons personnaliser chaque règle en cliquant sur le bouton "Modifier la règle". Le bouton "Ajouter" quant à lui sert à ajouter une règle supplémentaire à la liste.
Globalement, nous retrouvons les mêmes paramètres que la configuration de règles en local sur une machine ou à partir d'une GPO, mais c'est présenté totalement différemment (et ce n'est pas forcément super pratique, en fait...).
Nous allons commencer par configurer ces trois paramètres :
Activé : activé (oui c'est bizarre, mais c'est écrit de cette façon)
Nom : le nom de la règle tel qu'il sera visible dans les paramètres de Windows
Types d'interface : Tout, pour appliquer la règle à toutes les interfaces de Windows (sinon on peut faire une sélection uniquement pour le LAN, pour le sans-fil, etc.)
Un peu plus bas, configurez également ces paramètres :
Direction : la règle s'applique au trafic entrant, car nous souhaitons que nos appareils acceptent les connexions RDP entrantes.
Plages de ports locaux : 3389, pour autoriser les flux entrants sur le port 3389. Vous pouvez définir plusieurs ports, ou des plages de ports (port de début - port de fin), selon vos besoins.
Plages d'adresses distantes : 192.168.145.0/24, pour indiquer qu'il n'y a que les machines connectées sur ce segment réseau qui pourront se connecter en RDP. Là encore, nous pouvons définir plusieurs valeurs.
Action : autoriser, pour que ce flux soit autorisé, car par défaut nous refusons tous les flux (en principe !).
Cliquez sur "Enregistrer" pour valider cette règle. Sachez qu'elle pourra être modifiée à tout moment.
Configurez l'étape "Balises d'étendue" si besoin, sinon passez.
A l'étape "Affectations", sélectionnez le ou les groupes sur lesquels appliquer cette stratégie. Pour ma part, ce sera le groupe statique "PC_Corporate".
Poursuivez jusqu'à la fin et créez la stratégie...
En résumé, voici le contenu de la règle définie dans la stratégie :
Passons aux tests sur un appareil Windows 11 !
III. Tester la stratégie
Après avoir synchronisé la machine Windows 11 membre du groupe "PC_Corporate", celle-ci a bien récupérée la règle de pare-feu. A partir de la console "Pare-feu Windows Defender avec fonctions avancées de sécurité", nous pouvons retrouver notre règle sous la partie "Analyse" puis "Pare-feu". La règle présente ici est bien effective : les règles dans cette partie sont celles "en production". Par contre, ce qui est perturbant, c'est que la règle ne soit pas visible également dans "Règles de trafic entrant" (ou "Règles de trafic sortant", selon la configuration).
Pour accéder à cette console sous Windows 11 : Sécurité Windows > Pare-feu et protection du réseau > Paramètres avancés.
À partir d'une machine connectée au réseau 192.168.145.0/24, je suis parvenu à me connecter à cet appareil Windows 11 ! Ceci nécessite d'activer les connexions Bureau à distance sur cet appareil
Si votre règle n'apparaît nulle part, vérifiez les journaux Windows. Regardez plus particulièrement le journal "Admin" mis en évidence sur l'image ci-dessous. Si la règle est mal configurée, avec une valeur mal formatée, par exemple, ce sera mis en évidence. Dans cet exemple, j'ai eu une erreur surprenante sur le numéro de port, car le paramètre était correctement configuré : j'ai supprimé la valeur, je l'ai saisie de nouveau, et c'est passé.
IV. Conclusion
En suivant ce tutoriel, vous êtes en mesure de gérer les règles de pare-feu de vos appareils Windows 10 et Windows 11 à partir de stratégies Intune !