VMware a mis en ligne une mise à jour pour son hyperviseur ESXi pour corriger le problème qui affecte les machines virtuelles sous Windows Server 2022. Faisons le point.

Souvenez-vous, la semaine dernière, Microsoft a mis en ligne ses nouvelles mises à jour pour Windows et Windows Server dans le cadre du Patch Tuesday. Malheureusement, tout ne s'est pas passé comme prévu pour les utilisateurs de Windows Server 2022 sous VMware ESXi.

En effet, suite à l'installation des mises à jour de février 2023 sur Windows Server 2022, certains utilisateurs se plaignent de ne plus pouvoir démarrer les machines virtuelles ! En cause : le Secure Boot.

Microsoft a rapidement reconnu le problème, mais aujourd'hui, c'est bien VMware qui a mis en ligne un patch pour son hyperviseur ESXi. Sur son site, VMware explique : "Le paquet de mise à jour de Windows fournit une nouvelle forme de signature numérique sur le chargeur de démarrage EFI, que le système d'amorçage sécurisé UEFI rejette de manière incorrecte. Par conséquent, les machines virtuelles peuvent ne pas réussir à localiser un système d'exploitation amorçable et ne pas démarrer."

De ce fait, VMware ESXi 7.0 Update 3k intègre un correctif pour ce problème. Après l'installation de cette mise à jour sur ESXi, les machines virtuelles Windows Server 2022 démarrent de nouveau. Pour éviter les mauvaises surprises, il convient d'installer la mise à jour VMware avant celle de Windows Server.

Sinon, en attendant d'installer la mise à jour VMware (car cela peut s'avérer contraignant !), voici les solutions temporaires proposées par Microsoft :

• Première solution :
  • Mettre à jour l'hyperviseur VMware ESXi vers la version 8.0
  • Désactiver le Secure Boot sur la VM
  • Ne pas installer la mise à jour KB5022842 tant que le problème n'est pas résolu par les éditeurs
• Deuxième solution :
  • Désactiver le Secure Boot dans les paramètres de la VM

Toutefois, il faut rester méfiant avec cette mise à jour, car certains administrateurs affirment que ce problème affecte aussi les serveurs bare-metal ! A suivre via cette page sur Reddit.

Source

L'article Grâce à ce correctif VMware ESXi, les VM Windows Server 2022 peuvent démarrer ! est disponible sur IT-Connect : IT-Connect.

La Belgique vient d'adopter une nouvelle loi qui autorise, sous certaines conditions, le piratage éthique d'une entreprise de façon à mettre en avant les faiblesses de son système informatique.

Tout d'abord, qu'est-ce que le piratage éthique ? Lorsqu'un hacker éthique, ou white hat, s'en prend au système d'une entreprise, ce n'est pas dans l'objectif de lui demander une rançon, ni de voler des données pour les revendre sur le Dark Web, mais c'est à des fins non malveillantes. Pour cela, il va rechercher les failles dans le système, les mauvaises configurations, etc... Dans le but de se frayer un chemin.

Que cette activité soit réalisée dans un cadre professionnel ou comme un loisir, la trouvaille du hacker éthique peut être récompensée par une somme d'argent, notamment dans le cadre d'un programme bug bounty. Ainsi, le hacker obtient une compensation financière pour son travail et l'entreprise impactée peut renforcer la sécurité de son système, de son application, de son site Web.

Une loi qui change beaucoup de choses en Belgique

Jusqu'ici, pour un hacker éthique, il était nécessaire d'avoir une autorisation ou d'agir dans le cadre d'une mission pour rechercher des vulnérabilités dans le système d'une entreprise. Ce qui est logique, finalement.

Sauf que désormais, avec cette nouvelle loi, un hacker éthique peut rechercher des failles de sécurité dans le système d'une entreprise sans qu'il soit punissable. Enfin, il faut tout de même respecter les règles du jeu. Le hacker éthique ne doit pas causer de dommage au système piraté et s'il découvre une faille, elle doit être signalée dans les 72 heures qui suivent auprès du CCB (Centre pour la Cybersécurité Belgique). Autrement dit, le CCB doit être informé de la découverte avant même l'entreprise concernée.

Pour réaliser une éventuelle démonstration, le hacker éthique doit utiliser un compte de tests, et si la faille lui donne accès à des données personnelles, il doit suivre les règles du fameux RGPD.

Enfin, certaines techniques sont explicitement interdites : le phishing, les attaques par brute force, les attaques DDoS, la suppression de données, les attaques par ingénierie sociale, ou encore l'installation d'un logiciel malveillant. De quoi fixer la limite entre un acte malveillant et un acte non malveillant.

Cette nouvelle loi est entrée en vigueur le 15 février 2023. Hackers éthiques belges, à vous de jouer !

Que pensez-vous de cette décision ?

Source

L'article Désormais, en Belgique, le piratage éthique des entreprises est autorisé ! est disponible sur IT-Connect : IT-Connect.

Microsoft déploie actuellement une nouvelle fonctionnalité dans la dernière version stable du navigateur Edge : le VPN. Faisons le point sur cette nouveauté.

Le VPN, ou plutôt le "Réseau sécurisé de Microsoft Edge" si l'on veut reprendre le terme officiel, serait prêt ! Cela fait un an que les développeurs de Microsoft travaillent sur l'intégration de cette fonctionnalité, d'abord ajoutée à Edge Canary, et désormais en cours de déploiement dans la version stable d'Edge.

Pour parvenir à intégrer une fonction VPN dans Edge, Microsoft n'a pas développé sa propre solution. L'entreprise américaine s'appuie sur la solution de Cloudflare.

Grâce au VPN, l'utilisateur bénéficie d'une protection supplémentaire pour naviguer sur Internet puisque les données sont entièrement chiffrées à l'intérieur de ce réseau sécurisé. L'utilisation du VPN peut s'avérer particulièrement utile lorsque l'on est connecté à un réseau public et ouvert, dans un restaurant ou dans un train, par exemple.

Le VPN intégré à Microsoft Edge peut fonctionner selon trois modes :

• Sélectionner des sites : le VPN s'active automatiquement lorsque l'utilisateur se connecte sur un site appartenant à une liste qu'il aura définie.
• Optimisé : le VPN s'active lors de la connexion à un réseau WiFi public, un site en HTTP, ou un réseau non sécurisé.
• Tous les sites : le VPN est utilisé pour l'intégralité de la navigation Web.

La configuration s'effectue à partir des paramètres de confidentialité du navigateur. Personnellement, mon instance d'Edge ne me donne pas accès à cette fonction pour le moment.

Le VPN dans Microsoft Edge : gratuit ou payant ?

Chaque mois, et à condition d'être connecté avec votre compte Microsoft dans le navigateur, la firme de Redmond offrira aux utilisateurs 1 Go de trafic au travers du VPN. Au-delà de cette limite, il faudra payer ! Pour le moment, Microsoft n'a pas communiqué les tarifs et les détails des différents abonnements.

Un icône en forme de bouclier présent au sein de la fenêtre du navigateur permettra de visualiser l'état de votre forfait.

Source

L'article Navigation Web : le VPN débarque dans la version stable de Microsoft Edge est disponible sur IT-Connect : IT-Connect.

Mylobot, c'est le nom d'un botnet très actif puisqu'il infecte plus de 50 000 appareils par jour. Même s'il est peu présent en France, c'est une menace active à l'échelle mondiale.

Actif depuis 2017, le botnet Mylobot serait au top de sa forme d'après un rapport mis en ligne par BitSight : "Nous voyons actuellement plus de 50 000 systèmes infectés uniques chaque jour". Toutefois, il ne pourrait s'agir que d'une partie d'un botnet beaucoup plus important associé au service du site bhproxies[.]com. À ce rythme, le nombre d'hôtes infectés va devenir très conséquent... Tout en sachant qu'en 2020, il avait infecté 250 000 hôtes uniques.

Ce botnet cible les machines sous Windows et lorsqu'une machine est infectée, le malware ne rentre pas directement en action. En effet, il reste inactif pendant 14 jours afin d'éviter d'être détecté, et ensuite, il contacte le serveur C2 des cybercriminels. Pour ces connexions, Mylobot s'appuie sur plus de 1 000 domaines en ".ru" et ".com" codé en dur et pour chaque domaine, le botnet est capable d'établir des connexions vers différents sous-domaines.

La machine infectée joue le rôle de proxy pour les attaquants : "Lorsque Mylobot reçoit une instruction du [serveur] C2, il transforme l'ordinateur infecté en un proxy. La machine infectée sera capable de gérer de nombreuses connexions et de relayer le trafic envoyé par le serveur de commande et de contrôle".

Ce n'est pas tout puisque Mylobot est capable de télécharger et d'exécuter des payloads sur la machine infectée. Par exemple, l'année dernière, Mylobot a été utilisé pour envoyer des e-mails à partir de machines infectées, dans le cadre d'une campagne de phishing.

Si l'on regarde la carte ci-dessous, on constate que Mylobot est particulièrement présent aux États-Unis, en Iran et en Indonésie. La France est aussi impactée, dans une moindre mesure.

Dans le rapport de BitSight, vous pouvez retrouver une liste des adresses IP malveillantes utilisées par les pirates.

Source

L'article Menace active : le botnet Mylobot infecte 50 000 machines par jour est disponible sur IT-Connect : IT-Connect.

I. Présentation

Aujourd’hui, nous allons découvrir un outil qui permet d’anonymiser des fichiers de capture ! Il s'agit de TraceWrangler, créé par Jasper Bongertz.

Très utile avec les fichiers de capture de Wireshark, TraceWrangler permet d’effectuer les actions suivantes sur un fichier de capture :

• Lecture/Ecriture/Modification de fichiers pcap et pcapng
• Nettoyer et anonymiser un fichier de capture
• Éditer des paquets et supprimer certains protocoles comme le GRE ou MPLS
• Rassembler et agréger plusieurs fichiers de capture
• Affiche la structure en bloc d’un fichier pcapng
• Extraire des conversations d’un ou plusieurs fichiers de capture

Dans ce tutoriel nous allons voir comment anonymiser un fichier de capture Wireshark.

Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :

• Tutoriel - Installation pas-à-pas de Wireshark
• Tutoriel - Découverte de l'interface Wireshark
• Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
• Tutoriel - Wireshark et les filtres de capture
• Tutoriel - Wireshark et les filtres d'affichage
• Tutoriel - Wireshark et la résolution de noms
• Tutoriel - Wireshark et les commentaires
• Tutoriel - Wireshark : activer la géolocalisation d’adresses IP
• Tutoriel - Wireshark - Comment déchiffrer les flux TLS comme le HTTPS ?
• Tutoriel - Wireshark - Comment décoder un protocole ?
• Téléchargement - Wireshark

II.  Pourquoi rendre un fichier de capture anonyme ?

Rendre un fichier de capture anonyme permet de pouvoir partager le fichier avec des tiers dans le cadre de formations ou d’aide au troubleshooting sans exposer des informations de votre entreprise ou des informations personnelles.

Par exemple, vous soumettez un cas de problème de performance sur le forum d’entraide de Wireshark, vous pouvez fournir un fichier de capture sans qu'ils contiennent d'informations sur le réseau de votre entreprise, comme les adresses IP, les ports TCP/UDP utilisé par vos applications, etc.

III. Installation de TraceWrangler

A. Téléchargement

Pour télécharger TraceWrangler, il suffit de se rendre sur le site officiel via ce lien :

• https://www.tracewrangler.com/

Dans la partie "Download", cliquez sur la version dont vous avez besoin. Le téléchargement se lance automatiquement.

B. Installation

Suite au téléchargement, vous devez disposer d'un fichier zip nommé « tracewrangler_x64.zip » (pour la version 64 bits).

Maintenant il faut décompresser le fichier. Pour ce faire vous faites un « clic droit sur le fichier » et vous cliquez sur « Extraire tout… ».

Un dossier doit apparaitre avec le même nom que votre archive.

Ensuite, accédez au dossier. Vous devez trouver « Tracewrangler.exe » qui est un simple exécutable. Double cliquez sur ce fichier pour le lancer.

IV. Découverte de TraceWrangler

Lors du lancement de l’exécutable, nous arrivons sur cet écran. Sur l'image ci-dessous, les parties surlignées en jaune sont celles que nous allons explorer dans ce tutoriel.

Comme indiqué lors de la présentation, TraceWrangler est capable d’effectuer différentes tâches, celle qui nous intéresse est « Anonymize Files ».

A. Ajouter un fichier de capture

Pour ajouter un fichier de capture à analyser, il suffit de cliquer sur « Add Files » : une fenêtre s’ouvre pour sélectionner un fichier de capture.

Une fois que vous avez cliqué sur « Ouvrir » , le fichier pcap va apparaître dans TraceWrangler.

En cliquant dessus comme sur la copie d’écran, vous allez pouvoir récupérer des informations générales sur votre fichier comme :

• Le nombre de trames
• La durée
• Le nombre d’interfaces de capture
• L’emplacement du fichier

Maintenant, il reste à affecter une tache pour modifier notre fichier pcap. Actuellement, la colonne « status » renvoie une valeur « No task assigned »

B. Image de la trace d’origine

Avant d’effectuer l’action d'anonymisation de la capture réseau, je vais faire une copie d’écran de certaines informations afin de pouvoir comparer les résultats à la fin de ce tutoriel.

Note : TraceWrangler va créer un deuxième fichier de capture

• Liste des conversations IP

• Liste des requêtes HTTP

• Liste des protocoles

Dans ce tutoriel, nous allons effectuer deux actions d’anonymisation de la capture :

• Changement des adresses IP
• Couper les paquets au niveau des couches transport TCP/UDP

Ce qui donnera pour résultat :

• Des adresses IP modifiées
• Aucun protocole applicatif de couche 7 dans notre trace réseau au-dessus de TCP et UDP

C. Suppression des données

Pour procéder, suivez les étapes suivantes... Sélectionnez votre trace réseau et cliquez sur « Anonymize Files ».

Une nouvelle fenêtre s’ouvre.

TraceWrangler est capable d’anonymiser les informations de la couche 1 à 4 du modèle OSI comme le montre l’image ci-dessous.

Pour supprimer les données, il faut aller sur « Payload » et ensuite cocher la case « Truncate Packets after layer » et vous sélectionnez « Layer4(TCP/UDP) ».

Ensuite, nous allons passer à la partie IPv4.

D. Modifier les adresses IP

Accédez à la section « IPv4 » sur la gauche de l'interface.

Avant d’aller plus loin, nous allons voir les options disponibles

Action :

• Passtrough : on ne modifie pas les adresses IP
• Replace : on remplace les IP (option cochée par défaut)

Settings for IPv4 Replacement :

• Replace IP addresses by list : remplace les adresses IP spécifiées dans une liste (option cochée par défaut), la liste peut-être celui d’un fichier de capture
• Auto Mode : TraceWrangler va choisir les IP de remplacement à votre place
• Replace IP adresses by subnet and : remplace des sous-réseaux IP
• Process remaining IP adresse choix Randomize : prends des adresses IP aléatoirement (coché par défaut)
• Randomize IP identification : modifie le champ IP identification de l’entête IP
• Recalculate CRC : recalcule le CRC pour le contrôle d’erreur (option cochée par défaut)

Nous pouvons utiliser les options par défaut pour modifier les adresses IP, mais si on souhaite spécifier les adresses IP de remplacement il suffit de cliquer sur la flèche à côté de « Add » et ensuite « Lookup »

Pour modifier une IP, il suffit de la sélectionner et de cliquer sur « Add ».

Votre adresse IP apparait dans la colonne Original.

Pour ajouter une adresse IP de remplacement, cliquez sur la case vide de la colonne Replacement et rentrez l’adresse IP. Une fois que vous avez terminé, cliquez sur « Okay ».

Si vous revenez sur la page de configuration IPv4, vous remarquerez que la modification manuelle d’une IP est indiquée dans le tableau avec la valeur « User Input ».

Le reste des adresses IP sera modifié par l’outil de manière automatique.

E. Fichier de sortie

TraceWrangler va créer un nouveau fichier en utilisant le nom d'origine puis en ajoutant le texte « _anon » à la fin du nom du fichier de capture.

Sous le menu « Application », cliquez sur « Output » pour voir les paramètres de sortie.

Dès que vous avez terminé, cliquez sur « Okay ».

Nous revenons sur la page d’accueil du logiciel... Maintenant le « status » est dans un état « Task pending », avec comme tache « Anonymize Files ».

Une fois que vous êtes prêt, vous pouvez cliquer sur « Run » en bas à gauche comme sur l’image ci-dessus.

Quand c'est terminé, vous devez avoir un changement de statut avec la valeur « Task complete ».

V. Vérifications

A. Fichier de capture créé

Dans mon dossier de capture, je retrouve bien un fichier pcapng finissant par "_anon".

B. Données applicatives supprimées

Dans ce fichier, on ne voit plus de flux applicatifs comme http et DNS : on voit seulement des flux TCP et UDP.

C. Changement des adresses IP

La liste des adresses IP a changé et vous apercevez l’adresse IP que nous avons spécifié manuellement « 192.168.1.111 ».

D. Valider l’utilisation de TraceWrangler

En allant dans les propriétés du fichier de capture, un commentaire doit apparaitre : "Sanitized by TraceWrangler v0.6.8 build 949", ce qui indique que TraceWrangler a modifié le fichier de capture.

VI. Conclusion

Cet article sur TraceWrangler va vous permettre de partager des fichiers de capture sur le discord IT-Connect en toute sécurité pour que la communauté puisse vous apporter de l'aide dans vos analyses !

Le prochain article portera sur la gestion des captures réseau en continu avec Wireshark.

L'article Wireshark – Comment anonymiser un fichier de capture avec TraceWrangler ? est disponible sur IT-Connect : IT-Connect.