De nouvelles mises à jour cumulatives sont disponibles pour le système Windows 10 ! A cette occasion, faisons le point sur les changements apportés par Microsoft et sur la liste des mises à jour.

Tout d'abord, avec cette mise à jour, c'est l'occasion pour Microsoft de déployer une nouvelle configuration par défaut pour le composant DCOM, dans le but de durcir la configuration pour une meilleure sécurité. Ce point est détaillé dans un précédent article.

Microsoft a aussi corrigé un bug qui affecte les comptes ordinateurs dans l'Active Directory, lorsque l'on joint une machine au domaine en réutilisant un compte existant. Désormais résolu, ce bug générait l'erreur suivante : "Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy: ‘An account with the same name exists in Active Directory. Re-using the account was blocked by security policy.'"

Sinon, Microsoft a mis en avant les changements suivants :

• Cette mise à jour améliore votre expérience lorsque vous utilisez Windows à la une sur votre écran de verrouillage. Les liens d’information s’ouvrent plus rapidement.
• Cette mise à jour résout un problème qui affecte le mode IE. Le texte de la barre d’état n’est pas toujours visible.
• Cette mise à jour résout les problèmes d’accessibilité. Elles affectent le Narrateur sur la page d’accueil Paramètres.
• Cette mise à jour résout un problème qui empêche les liens hypertexte de fonctionner dans Microsoft Excel.
• Cette mise à jour résout un problème qui affecte une certaine application de diffusion en continu. Le problème arrête la lecture de la vidéo après la lecture d’une publication dans l’application.

Plus d'informations sur l'intégralité des changements sur cette page.

Windows 10 : les KB de Mars 2023

Voici un résumé des mises à jour publiées en ce 14 mars 2023 par l'entreprise américaine :

• Windows 10 versions 20H2, 21H1, 21H2 et 22H2 : KB5023696
• Windows 10 version 2004 : Fin du support
• Windows 10 version 1909 : Fin du support
• Windows 10 version 1903 : Fin du support
• Windows 10 version 1809 : KB5023702
• Windows 10 version 1803 : Fin du support
• Windows 10 version 1709 : Fin du support
• Windows 10 version 1703 : Fin du support
• Windows 10 version 1607 : KB5023697
• Windows 10 version 1507 : KB5023713

Rappel : il n'y a plus de mises à jour pour Windows 10 version 2004, ni pour Windows 10 version 1909, d'où l'absence de KB depuis plusieurs mois pour ces deux versions.

Les KB mentionnées ci-dessus sont disponibles via Windows Update, WSUS, etc. En local, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.

Si vous souhaitez en savoir plus sur les nouveaux correctifs de sécurité de chez Microsoft, vous pouvez consulter cet article :

• Patch Tuesday Microsoft - Mars 2023

Source

The post Mises à jour Windows 10 de Mars 2023 : KB5023696 et KB5023697, quoi de neuf ? first appeared on IT-Connect.

Le Patch Tuesday de Mars 2023 pour les produits Microsoft est disponible ! Il contient des correctifs pour un total de 83 failles de sécurité et 2 failles zero-day ! Faisons le point.

Comme le mois dernier, il y a 9 vulnérabilités considérées comme critiques qui permettent soit de l'exécution de code à distance, soit une élévation de privilèges, soit un déni de service. Voici la liste des vulnérabilités critiques :

• Protocole ICMP : CVE-2023-23415
• Microsoft Office Outlook : CVE-2023-23397
• Protocole PPTP (Accès distant) : CVE-2023-23404
• Hyper-V : CVE-2023-23411
• Services cryptographiques de Windows : CVE-2023-23416
• Pile HTTP de Windows : CVE-2023-23392
• Windows RPC : CVE-2023-21708
• Windows TPM : CVE-2023-1017 et CVE-2023-1018

Sinon, de manière générale, Microsoft a inclus des correctifs pour une multitude de produits, dont : Microsoft Dynamics, Mariner, CSRSS, composant Microsoft Graphics, Office Excel, Office Outlook, SharePoint, OneDrive, pilote d'impression PostScript de Windows, le serveur DNS pour Windows Server, Visual Studio, Windows Defender, le noyau Windows, Windows PPPoE, Windows ReFS, Windows TPM et Win32k. À cela, s'ajoutent 21 failles de sécurité corrigées dans le navigateur Microsoft Edge.

Zero-Day : CVE-2023-23397 et CVE-2023-24880

Microsoft a corrigé deux failles de sécurité déjà connues des attaquants et exploitées dans le cadre d'attaques.

• CVE-2023-23397 - Microsoft Outlook - Élévation de privilèges

Cette faille de sécurité affecte le client de messagerie Microsoft Outlook et voici ce que précise Microsoft à son sujet : "Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait accéder au hachage Net-NTLMv2 d'un utilisateur, qui pourrait être utilisé comme base d'une attaque NTLM Relay contre un autre service pour s'authentifier en tant que l'utilisateur.", et pour en arriver-là, l'attaquant peut envoyer un e-mail spécialement conçu à l'utilisateur cible et s'il le reçoit dans Outlook, l'attaque peut être exécutée même si l'e-mail n'est pas prévisualisé !

Cette faille de sécurité affecte Office 2013, Office 2016, Office 2019, Office LTSC 2021, ainsi que Microsoft 365 Apps for Enterprise. Microsoft précise aussi que cette vulnérabilité est exploitée.

• CVE-2023-24880 - Windows SmartScreen -Bypass d'une fonction de sécurité

La seconde faille zero-day corrigée par la firme de Redmond se situe dans Windows SmartScreen, une fonction de sécurité intégrée au système. Cette vulnérabilité, qui serait assez simple à exploiter d'après Microsoft, permettrait à l'attaquant de distribuer plus facilement un logiciel malveillant grâce à une défaillance du marqueur Mark of the Web. De ce fait, même si ce fichier provient d'Internet et qu'il est dangereux, il pourra être exécuté sans que l'avertissement SmartScreen s'affiche à l'écran.

Cette vulnérabilité affecte aussi bien Windows 10, Windows 11, que Windows Server 2016, Windows Server 2019 et Windows Server 2022, y compris en mode Core.

À vos mises à jour !

Source

The post Patch Tuesday – Mars 2023 : 83 failles de sécurité et 2 zero-day corrigées ! first appeared on IT-Connect.

Un nouveau problème de sécurité affecte le géant Fortinet ! Les attaquants utilisent un exploit zero-day visant à exploiter la vulnérabilité CVE-2022-41328, corrigée il y a quelques jours par Fortinet.

Un nouveau rapport de sécurité mis en ligne par Fortinet mentionne un incident lors duquel les attaquants sont parvenus à exploiter la faille de sécurité CVE-2022-41328. Patchée depuis le 7 mars 2023, cette vulnérabilité permet à un attaquant d'exécuter du code malveillant ou des commandes sur FortiOS.

D'après Fortinet, les attaquants ciblent les organisations gouvernementales et les grandes entreprises où les solutions Fortinet sont déployées. Lorsque l'attaque réussie, l'impact est le suivant : "Perte de données et corruption du système d'exploitation et des fichiers", précise l'éditeur de FortiOS.

Tout à commencé lorsque les firewalls FortiGate d'un client Fortinet se sont mis en sécurité, en affichant le message "System enters error-mode due to FIPS error: Firmware Integrity self-test failed" au démarrage. Ce message s'affiche lorsque le mode FIPS est actif : il arrête le système et l'empêche de démarrer si une intrusion est détectée, dans le but de protéger l'intégrité du réseau derrière le FortiGate.

D'après l'analyse de Fortinet, c'est la solution FortiManager du client qui a été exploité puisque tous les FortiGate ont détecté l'attaque en même temps (compromission) et il y a eu des scripts exécutés sur les firewalls à partir de l'interface FortiManager pour déclencher l'exploit path traversal.

L'objectif étant de s'attaquer au firmware du FortiGate pour ajouter une souche malveillante permettant d'exfiltrer des données, de télécharger et d'écrire des fichiers, et même d'ouvrir des shells distants lorsque l'équipement reçoit un paquet ICMP spécifique contenant la chaîne ";7(Zu9YTsA7qQ#vm".

Fortinet ne sait pas quel est le groupe de cybercriminels à l'origine de l'incident de sécurité faisant l’objet de ces investigations, mais compte tenu de la complexité de l'exploit, cela ne doit pas être un gang de débutants... En tout cas, Fortinet précise que cet exploit nécessite une connaissance approfondie de FortiOS et du matériel Fortinet.

Se protéger de la CVE-2022-41328

D'après le bulletin de sécurité de cette vulnérabilité, les versions suivantes sont affectées :

• FortiOS versions 7.2.0 à 7.2.3
• FortiOS versions 7.0.0 à 7.0.9
• FortiOS versions 6.4.0 à 6.4.11
• FortiOS 6.2, toutes les versions
• FortiOS 6.0, toutes les versions

De ce fait, et puisqu'il y a un correctif disponible, voici la version à cibler pour se protéger :

• FortiOS version 7.2.4 ou supérieur
• FortiOS version 7.0.10 ou supérieur
• FortiOS version 6.4.12 ou supérieur

Sur son site, Fortinet a mis en ligne une liste des indicateurs de compromissions associés à ces nouvelles attaques. Il est conseillé de mettre à jour ses équipements dès que possible.

Source

The post Ce nouvel exploit FortiOS est utilisé pour compromettre des entreprises first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons aborder la gestion de la capture continue sur Wireshark et les différentes options que nous pouvons utiliser pour éviter de saturer en mémoire vive ou en espace disque lors d’une capture sur une longue période.

Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :

• Tutoriel - Installation pas-à-pas de Wireshark
• Tutoriel - Découverte de l'interface Wireshark
• Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
• Tutoriel - Wireshark et les filtres de capture
• Tutoriel - Wireshark et les filtres d'affichage
• Tutoriel - Wireshark et la résolution de noms
• Tutoriel - Wireshark et les commentaires
• Tutoriel - Wireshark : activer la géolocalisation d’adresses IP
• Tutoriel - Wireshark - Comment déchiffrer les flux TLS comme le HTTPS ?
• Tutoriel - Wireshark - Comment décoder un protocole ?
• Tutoriel - Wireshark - Comment anonymiser un fichier de capture avec TraceWrangler ?
• Téléchargement - Wireshark

II. Configuration des fichiers de capture de sortie

La configuration des options de capture s’effectue au lancement de Wireshark avant de lancer une capture réseau. Il suffit de cliquer sur l'icône en forme de roue cranter en haut pour accéder aux paramètres de configuration de la capture réseau.

Une nouvelle fenêtre s’ouvre sur les options de capture.

Par défaut on arrive sur l’onglet « Entrée », ici on sélectionne notre carte réseau à partir de laquelle nous souhaitons capturer le trafic réseau.

Pour configurer les options de sorties, il faut aller sur l’onglet « Sortie ».

L’onglet sortie permet de configurer la création de nouveaux fichiers suivant certains paramètres que nous allons détailler.

La première partie correspond à la configuration du nom et de l’emplacement du fichier de capture.

En dessous de « Capture vers un fichier permanent », cliquez sur « Parcourir… ». Une nouvelle fenêtre s’ouvre pour vous permettre d'indiquer l’emplacement de la capture et le nom de votre fichier de capture.

Une fois que vous avez choisi l’emplacement et le nom de votre fichier de capture, vous cliquez sur « Enregistrer » pour prendre en compte la modification. Ici, je vais appeler mon fichier  "capture_continu" tout simplement.

Ensuite, il faut configurer le format du fichier de capture, deux choix possibles : pcap qui est le format historique ou pacpng qui est le format de fichier de capture plus récent. Ici je vais choisir « pcapng ».

Maintenant que notre fichier de capture est configuré, nous allons voir comment effectuer une trace réseau circulaire.

La trace réseau circulaire permet de créer plusieurs fichiers de capture qui ont pour but :

• Réduire la taille du fichier capture
• Faciliter l’analyse avec des fichiers plus petits
• Eviter la saturation mémoire de votre ordinateur pour la gestion du fichier en écriture en live et d’analyse du fichier à froid avec Wireshark

Je vais m’appuyer sur l’image ci-dessus pour expliquer les différentes possibilités.

Pour effectuer un fichier de capture circulaire, il faut cocher l’option « Crée un nouveau fichier de capture automatiquement… ».

Après, nous allons spécifier comment Wireshark va créer un nouveau fichier :

• Sur le nombre de paquets capturés
• La taille de la capture réseau : en Kilo-Octets, Mega-Octets ou Giga-Octets
• Le temps de capture : secondes, minutes ou heures
• Un multiple de temps en secondes, minutes ou heures par rapport à l’horloge de votre ordinateur

Personnellement, j’utilise seulement l’option de la taille de la capture et je limite à 100Mo pour éviter d’avoir des fichiers trop lourds à charger pour l’analyse a posteriori.

Vous avez la possibilité aussi de compresser le fichier de capture au format gzip.

La dernière option disponible est d’utiliser un tampon circulaire, attention cette option écrase le fichier le plus ancien.

Je m'explique. Vous spécifier un tampon circulaire de 5 fichiers. Quand il va écrire le sixième fichier, il va écraser le premier fichier de capture car, vous aurez seulement cinq fichiers d’enregistrés sur votre disque.

Après avoir expliqué les options de sortie, voici ma configuration pour ce tutoriel :

N.B : il est possible de cocher plusieurs conditions.

III. Configuration des options du fichier de capture

Maintenant il reste un onglet à configurer : « Options ».

Donc, cliquez sur l’onglet « Options ».

Dans notre tutoriel, la partie qui va nous intéresser et les options d’arrêt de la capture.

Comme pour la création d’un fichier de capture, nous allons retrouver les mêmes possibilités :

• Le nombre de paquets
• Le nombre de fichiers
• La taille de la capture réseau : en Kilo-Octets, Mega-Octets ou Giga-Octets
• Le temps de capture : secondes, minutes ou heures

On peut spécifier un répertoire pour stocker les fichiers de capture temporaires.

Pour ce tutoriel, je vais spécifier un arrêt de capture après trois fichiers créés :

IV. Démonstration

A. Lancer la capture

Pour rappel, la configuration de la capture continue est la suivante :

• Format du fichier de capture : pcapng
• Activation de la création d’un nouveau fichier de capture avec comme option création d’un nouveau fichier tous les cinquante paquets
• Un arrêt automatique au bout de trois fichiers créés

Il ne reste plus qu’à lancer Wireshark en cliquant sur le bouton « Démarrer ».

Une fois la capture lancée, Wireshark va créer automatiquement les trois fichiers de 50 paquets et s’arrêter à ce dernier.

B. Naviguer entre les différents fichiers de capture

Pour lister les différents fichiers de capture, cliquer sur le menu « Fichier », ensuite encore une fois sur « fichier » et cliquez sur « Liste des fichiers ». Vous pouvez aussi naviguer entre les fichiers en utilisant les options de « Fichier suivant » et « Fichier précédent ».

Une nouvelle fenêtre s’ouvre.

En haut à gauche, Wireshark indique le nombre de fichiers et en bas l’emplacement des fichiers de capture. Pour accéder au contenu d'un fichier, il suffit de double cliquer dessus.

IV. Conclusion

Ce tutoriel va vous permettre de ne pas saturer votre ordinateur tout en prenant une trace réseau de longue durée ! Le prochain article sera sur la fusion de plusieurs fichiers de capture.

The post Wireshark : créer une capture en continue (sans saturer sa machine) first appeared on IT-Connect.

Kali Linux 2023.1 est désormais disponible ! Il s'agit de la première mise à jour majeure de l'année 2023, qui symbolise aussi le 10ème anniversaire de cette distribution ! Faisons le point sur les nouveautés !

Kali Purple, pour la sécurité défensive !

Alors que Kali Linux est une distribution basée sur Linux orientée sécurité offensive, Kali Purple est désormais une distribution à part entière et orientée sécurité défensive. L'objectif étant de rendre accessibles les outils plus facilement aux entreprises, notamment aux SOC. Cette version intègre environ 100 outils de sécurité défensive tels que CyberChef, Elastic Security, GVM, Malcom, TheHive ou encore Suricata. Des outils permettant de réaliser des analyses, mais aussi d'apprendre plus facilement.

Kali Purple intègre une structure de menu qui s'appuie sur le NIST CSF, avec les catégories suivantes : Identify, Protect, Detect, Respond et Recover. Comme pour Kali Linux, Kali Purple est disponible sous la forme d'images prêtes à l'emploi et lors de l'installation il y le choix entre l'environnement Xfce, Gnome ou KDE Plasma.

Les changements apportés à Kali Linux 2023.1

Kali Linux est passé sur Xfce 4.18, ce qui apporte par exemple la prise en charge de l'import/export pour la disposition de l'interface via la fonction "Panel Profiles". En ce qui concerne KDE Plasma, c'est la version 5.27 qui est utilisée. Pas de changement pour GNOME puisque la prochaine version majeure n'est pas encore disponible.

Deux paramètres par défaut ont évolués dans le noyau de Kali Linux :

• Plus besoin d'être root pour exécuter un programme qui écoute sur un port inférieur à 1024 (effectif depuis Kali 2021.2)
• Plus besoin d'être root pour lancer dmesg

Pour marquer le coup des 10 ans d'existence de Kali Linux et comme il s'agit de la première version de l'année 2023, les développeurs ont mis à jour le thème de l'interface, que ce soit le boot menu, l'interface de connexion ou le fond d'écran, en faisant référence à des versions iconiques de la distribution, notamment Kali 1.0 !

Kali Linux 2023.1 : les nouveaux outils

Comme à chaque fois, de nouveaux outils sont ajoutés à Kali Linux. Au sein de la version 2023.1, voici les nouveautés :

• Arkime : plateforme pour la capture et l'analyse de paquets
• CyberChef : une webapp pour chiffrer, encoder, compresser et analyser des données
• DefectDojo : gestion des vulnérabilités (open source)
• Dscan : distributed Nmap Scanner
• Kubernetes-Helm : faciliter le déploiement d'applications dans Kubernetes
• PACK2 : Password Analysis and Cracking Kit
• Redeye : un outil pour les pentesters pour faciliter la gestion des données pendant un pentest
• Unicrypto

Pour en savoir plus sur l'ensemble des modifications, rendez-vous sur cette page du site officiel de Kali Linux.

The post Kali Linux 2023.1 : quelles sont les nouveautés ? first appeared on IT-Connect.