Très populaire en entreprise, la solution Veeam Backup & Replication est affectée par une faille de sécurité importante ! L'éditeur demande à ses clients d'installer le correctif en urgence !

Pour rappel, Veeam Backup & Replication est une solution de sauvegarde très populaire à l'échelle mondiale. On peut même parler d'une solution de référence, utilisée aujourd'hui par plus de 450 000 entreprises dans le monde.

Parlons de la faille de sécurité. Reportée à la mi-février par le chercheur en sécurité Shanigen, cette faille de sécurité associée à la référence CVE-2023-27532 affecte toutes les versions de la solution Veeam Backup & Replication ! Quant au score CVSS associé à cette faille de sécurité, il est de 7.5 sur 10 d'après le bulletin de sécurité de Veeam.

Associé à cette faille de sécurité, le service Veeam.Backup.Service.exe accessible par défaut sur le port 9401/TCP. En exploitant cette vulnérabilité un attaquant non authentifié peut obtenir des identifiants chiffrés lui permettant d'accéder à votre infrastructure de sauvegarde.

Comment se protéger contre la vulnérabilité CVE-2023-27532 ?

Note : il s'agit bien de la vulnérabilité CVE-2023-27532, et non la CVE-2023-27530 comme le mentionnait la première version du bulletin de sécurité Veeam.

L'éditeur Veeam précise qu'il y a deux versions qui permettent de se protéger contre cette faille de sécurité :

• Veeam Backup & Replication 12 : build 12.0.0.1420 P20230223)
• Veeam Backup & Replication 11a : build 11.0.1.1261 P20230227)

Au sein d'un e-mail envoyé à ses clients, l'éditeur Veeam précise : "Nous avons développé des correctifs pour V11 et V12 afin d'atténuer cette vulnérabilité et nous vous recommandons de mettre à jour vos installations immédiatement."

Dans le cas où il n'y a pas de correctif pour votre version de Veeam B&R, vous devez mettre à niveau vers une version supportée. Sinon, si vous utilisez une appliance Veeam all-in-one, vous pouvez bloquer les connexions externes à destination du port 9401/TCP dans le pare-feu du serveur de sauvegarde, en guise de solution d'atténuation pour vous protéger contre la CVE-2023-27532.

Source

The post Une vulnérabilité dans Veeam Backup & Replication met en danger vos sauvegardes ! first appeared on IT-Connect.

La fonctionnalité de saisie automatique de Bitwarden est dans le viseur des analystes de Flashpoint puisqu'elle représente un risque pour les identifiants de votre coffre-fort ! Voici ce qu'il faut savoir.

Pour rappel, Bitwarden est un gestionnaire de mots de passe populaire qu'il est possible d'utiliser en mode Cloud (hébergé par Bitwarden) ou en mode self-hosted (hébergé sur son propre serveur, ou sur un NAS, par exemple).

• Découvrir le gestionnaire de mots de passe Bitwarden

Le problème de sécurité auquel fait référence cet article a été reporté à Bitwarden en 2018, par les analystes de Flashpoint ! Il concerne la fonctionnalité de saisie automatique, utile pour remplir automatiquement un formulaire de connexion à partir des identifiants de votre coffre-fort (en s'appuyant sur le domaine), mais qui autoriserait l'utilisation d'iframe. Ainsi, un site malveillant pourrait exploiter un iframe pour voler vos identifiants !

D'après l'analyse de Flashpoint, il s'avère que Bitwarden autorise la saisie automatique au sein d'iframes pour le domaine principal du site, ses éventuels sous-domaines, mais aussi pour des domaines externes. De ce fait, il y a un réel danger comme l'explique Flashpoint : "Bien que l'iframe intégrée n'ait accès à aucun contenu de la page parente, elle peut attendre la saisie du formulaire de connexion et transmettre les informations d'identification saisies à un serveur distant sans autre interaction de la part de l'utilisateur."

Puisque l'on peut utiliser des domaines externes ou des sous-domaines, un pirate pourrait héberger une page de phishing sur un sous-domaine, et si le domaine principal est associé à une entrée de la base Bitwarden de l'utilisateur, l'extension du navigateur enverra les identifiants automatiquement ! Ainsi, l'attaquant va récupérer les identifiants de l'utilisateur.

Même si ce scénario est complexe, car il faut parvenir à enregistrer un sous-domaine correspondant à un domaine légitime, il est plausible.

L'avis de Bitwarden

Bitwarden reconnaît que la fonctionnalité autofill représente un risque potentiel. D'ailleurs, c'est précisé dans la documentation officielle et dans les paramètres de l'extension.

La bonne nouvelle, on va dire, c'est que cette fonctionnalité de saisie automatique est désactivée par défaut dans les paramètres de l'extension Bitwarden. Ce qui signifie que Bitwarden peut remplir un formulaire de connexion à votre place, mais que vous devez sélectionner les identifiants à partir de l'extension.

La documentation de Bitwarden précise : "Cette fonction est désactivée par défaut, car, bien qu'elle soit généralement sûre, des sites web compromis ou non fiables pourraient en profiter pour voler des informations d'identification." - La majorité des utilisateurs ne verront pas cet avertissement, et verront surtout le côté pratique de cette fonctionnalité...

Par ailleurs, Bitwarden explique qu'il est difficile de corriger "cette faille de sécurité" puisque certains sites populaires ont besoin de faire des appels iframes vers des domaines externes. À titre d'exemple, Bitwarden cite le domaine icloud.com qui utilise une iframe du domaine apple.com.

En résumé, n'activez pas la fonctionnalité "Saisie automatique" de l'extension Bitwarden ! Au final, Bitwarden n'est peut-être pas le seul gestionnaire de mots de passe concerné par ce problème de sécurité.

Source

The post Bitwarden : à cause de la saisie automatique, vos identifiants peuvent fuiter ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à supprimer un profil utilisateur Windows à l'aide de PowerShell, de façon propre ! Cet article fait suite à celui déjà en ligne et qui donne la marche à suivre à l'aide de l'interface graphique.

Dans cet exemple, j'utilise une machine sous Windows 11, mais la procédure est identique sous Windows 10.

• Supprimer proprement un profil utilisateur Windows

Pour rappel, à partir de l'interface graphique c'est dans les "Paramètres système avancé" que l'on peut lister et supprimer les profils utilisateurs. Ici, on peut voir la présence de l'utilisateur "IT-Connect\chris.tal" que je vais tenter de supprimer en PowerShell !

Second rappel, on ne supprime pas directement le dossier de l'utilisateur dans "C:\Users" sinon on se retrouve avec des problèmes de profils temporaires si l'utilisateur vient à se reconnecter sur cette même machine.

II. PowerShell pour supprimer un profil utilisateur

On aurait pu utiliser les commandes Get-WmiObject et Remove-WmiObject, mais elles sont devenues obsolètes (voir ici). Alors, il faut préférer l'utilisation de Get-CimInstance et Remove-CimInstance, comme nous allons le faire dans cet exemple.

Pour lister les profils utilisateurs de la machine locale, on va utiliser la commande suivante :

Get-CimInstance -ClassName Win32_UserProfile

Note : pour agir sur une machine distante, il convient d'ajouter le paramètre -ComputerName à la commande Get-CimInstance, de façon à préciser l'ordinateur cible.

Toutefois, elle retourne un ensemble de propriétés... Sélectionnons uniquement la propriété LocalPath pour que ce soit plus lisible :

Get-CimInstance -ClassName Win32_UserProfile | ft LocalPath

L'utilisateur "IT-Connect\chris.tal" est bien retourné dans cette liste, comme les autres utilisateurs qui ont ouvert une session sur cette machine.

Désormais, il va falloir cibler précisément le profil de notre utilisateur pour le supprimer. On peut s'appuyer sur diverses propriétés comme le SID, ou encore le LocalPath que l'on a déjà utilisé. Ce qui va donner :

Get-CimInstance -ClassName Win32_UserProfile | Where{ $_.LocalPath -eq "C:\Users\chris.tal" }

La commande ci-dessus doit retourner uniquement les informations du compte ciblé. Avant de procéder à la suppression (irréversible !), utilisez la commande Remove-CimInstance avec le paramètre -WhatIf pour faire une simulation.

• PowerShell et -WhatIf

Dans mon cas, cela retourne :

What if: Performing the operation "Remove-CimInstance" on target "Win32_UserProfile (SID = "S-1-5-21-602238038-4219226198-393252187...)".

Puis, il suffit de retirer -WhatIf pour supprimer réellement le profil de cet utilisateur. Ce qui donne :

Get-CimInstance -ClassName Win32_UserProfile | Where{ $_.LocalPath -eq "C:\Users\chris.tal" } | Remove-CimInstance

Suite à l'exécution de cette commande PowerShell, le profil de l'utilisateur a été supprimé ! Il n'apparaît plus dans la liste des profils visible avec l'interface graphique et dans "C:\Users", son répertoire n'est plus là !

Pour finir, voici une autre requête PowerShell que vous pouvez exécuter pour lister les comptes qui ne se sont pas connectés sur cette machine depuis au moins 31 jours (valeur adaptable dans la commande) :

Get-CimInstance -ClassName Win32_UserProfile | Where {($_.Special -eq $false) -and (($_.LastUseTime) -lt (Get-Date).AddDays(-31))} | ft LocalPath

Dans cette commande, on exclut les comptes spéciaux et on se base sur la propriété LastUseTime que l'on compare avec la date du jour. Cela pourrait être utilisé conjointement avec Remove-CimInstance pour supprimer les comptes inutilisés depuis X jours.

III. Conclusion

Suite à la lecture de ce tutoriel, vous êtes en mesure de supprimer un ou plusieurs profils utilisateurs Windows avec PowerShell, que ce soit en local ou à distance !

The post Comment supprimer un profil utilisateur Windows avec PowerShell ? first appeared on IT-Connect.

Ce dimanche 5 mars 2023, l'hôpital public "Hospital Clínic de Barcelona" situé en Espagne a subi une cyberattaque par le ransomware RansomHouse. Les services de l'hôpital sont très fortement perturbés.

Cet hôpital très important à Barcelone et qui accueille un demi-million de patients chaque année fonctionne au ralenti depuis cette cyberattaque qui s'est déroulée ce dimanche 5 mars 2023. D'après le Gouvernement de Catalogne, il s'agirait d'une cyberattaque sophistiquée qui a impacté les machines virtuelles de l'infrastructure de l'hôpital.

En ce qui concerne le système SAP, il n'a pas été affecté par cette cyberattaque. Toutefois, les communications avec les autres applications ne fonctionnent pas, ce qui ne permet pas d'accéder aux informations des patients à partir d'un ordinateur.

Plus de 800 patients ont pu être accueillis dans cet hôpital qui fonctionne en mode dégradé. Comme à chaque fois, le personnel médical doit avoir recours à la méthode "papier + crayon" pour travailler, en utilisant également des copies de radiographiques, d'examens, sur papier.

Toutefois, des opérations et des consultations externes ont dû être annulées au dernier moment. Voici les précisions du communiqué officiel à ce sujet : "Selon l'activité habituelle de l'hôpital, 150 opérations et entre 2 000 et 3 000 consultations externes ont été suspendues. La principale préoccupation est la sécurité des patients, et jusqu'à ce que nous ayons accès à leurs dossiers, ces actions doivent être retardées."

Une enquête est en cours au sujet de cette attaque en provenance de l'étranger. De ce fait, une enquête menée par Interpol et les Mossos d'Esquadra (force de police autonome de la Catalogne) est en cours.

À l'origine de cette attaque, le groupe RansomHouse qui a été lancé en mai 2022 en tant que marketplace pour l'extorsion de données. Rapidement, ce groupe a été associé à plusieurs cyberattaques, notamment à l'encontre de 8 municipalités italiennes.

À la fin du communiqué officiel du Gouvernement de Catalogne, il y a une série de photos (dont celle ci-dessous) que je trouve un peu étonnante. C'est limite si l'on a pas une photo d'un post-it avec un identifiant et mot de passe... Et les photos chargées sur le site contiennent le nom d'origine et les métadonnées qui vont bien.

Cet incident de sécurité survenu en Catalogne (Espagne) est là pour nous rappeler que la France est loin d'être le seul pays d'Europe impacté par les cyberattaques....

Bon courage aux équipes sur place !

Source

The post Un hôpital public de Barcelone victime du ransomware RansomHouse first appeared on IT-Connect.

Le géant de l'informatique Acer a officialisé une fuite de données de 160 Go, faisant suite au piratage d'un serveur utilisé par les techniciens de réparation.

Cette annonce officielle de la part d'Acer fait suite à la mise en ligne d'une annonce un peu spéciale sur un forum de hacking populaire : un pirate a mis à vendre 160 Go de données qu'il prétend avoir volé à Acer à la mi-février 2023. Désormais, cette fuite de données est avérée.

D'après le pirate informatique à l'origine de cette mise en vente, les données volées correspondent à des manuels techniques, des documentations sur les produits Acer (smartphones, tablettes, ordinateurs portables, écrans), des logiciels, des images BIOS, des fichiers ISO, des informations sur l'infrastructure, ainsi que des clés de produits numériques de remplacement (étant injectées dans le BIOS de la machine). Comme souvent, le pirate a mis en ligne un échantillon de données pour prouver qu'il disposait bien de ces données. En l'occurrence ici, il s'agit de documents relatifs à l'écran Acer V206HQL.

Le pirate informatique va vendre les données au plus offrant, et il sera nécessaire de payer en utilisant la cryptomonnaie Monero. Un classique puisque cette cryptomonnaie est difficilement traçable.

Même si l'on ne sait pas exactement s'il y a des documents confidentiels dans cette fuite de données, Acer affirme qu'après avoir mené une enquête, cet incident de sécurité n'a pas eu d'impact sur les données des clients. Il s'agit de données volées sur un serveur de fichiers utilisés par les techniciens, ce qui est cohérent compte tenu de la liste publiée par le pirate informatique.

Ces dernières années, Acer a subi des incidents de sécurité à plusieurs reprises. Par exemple, en mars 2021, Acer a été victime d'un ransomware par les cybercriminels du groupe REvil. A l'époque, une rançon de 50 millions de dollars avait été réclamée par les auteurs de l'attaque.

Source

The post Fuite de données chez Acer : 160 Go de données dans la nature ! first appeared on IT-Connect.