La CISA a mis en ligne un script permettant de récupérer les machines virtuelles des serveurs VMware ESXi chiffrés par les récentes attaques de ransomware ESXiArgs. Faisons le point.

Pour rappel, depuis la fin de semaine dernière, il y a énormément de cyberattaques à destination des serveurs VMware ESXi ! Les pirates cherchent à exploiter la vulnérabilité CVE-2021-21974 (associée au service SLP), pour laquelle il existe un patch depuis février 2021. Plusieurs versions de VMware ESXi sont affectées, dont ESXi 6.5, ESXi 6.7 et certaines versions d'ESXi 7.

Même si plusieurs milliers de serveurs ESXi ont été chiffrés, la campagne n'est pas aussi efficace qu'elle en a l'air, car le ransomware utilisé par les cybercriminels ne parvient pas à chiffrer certains fichiers. Grâce à cela, il est possible de restaurer les disques durs virtuels des machines virtuelles ! C'est d'ailleurs clairement mentionné sur le site enes.dev : merci à ses auteurs, Enes Sonmez et Ahmet Aykac.

Disponible sur GitHub, le script ESXiArgs-Recover va permettre aux entreprises affectées de restaurer leurs machines virtuelles à partir des fichiers non chiffrés ("flat"). Sur la page du script, c'est précisé : "Le CISA est conscient que certaines organisations ont réussi à récupérer des fichiers sans payer de rançon. Le CISA a compilé cet outil en se basant sur des ressources accessibles au public, notamment un tutoriel rédigé par Enes Sonmez et Ahmet Aykac. Cet outil fonctionne en reconstruisant les métadonnées des machines virtuelles à partir des disques virtuels qui n'ont pas été chiffrés par le logiciel malveillant."

Une fois le processus effectué à l'aide du script ESXiArgs-Recover, il convient de créer une nouvelle machine virtuelle et de lui attacher le disque virtuel restauré. Toutefois, ce script peut ne pas fonctionner dans certains cas et l'agence CISA le met à disposition sans aucune garantie.

N'attendez pas d'en arriver-là, mettez à jour vos serveurs VMware ESXi ! Ou, à minima désactivez le service SLP en attendant de le faire.

• Comment patcher VMware ESXi 7 ?
• Comment migrer de VMware ESXi 6.7 à ESXi 7 ?

Source

L'article Victime du ransomware ESXiArgs ? La CISA a mis en ligne un script de récupération ! est disponible sur IT-Connect : IT-Connect.

I. Présentation

Mettre à jour un serveur Linux qui n'est pas connecté à internet peut sembler être une tâche difficile, mais il existe plusieurs techniques pour maintenir votre système à jour même sans connexion à internet.

Dans cet article, je vais vous montrer deux méthodes pour mettre à jour un serveur Linux "offline" (Debian Familly), à savoir :

• En utilisant une connexion reverse SOCKS proxy avec SSH afin de permettre à notre serveur d'accéder à internet temporairement uniquement à travers notre Proxy SOCKS
• Via l'utilitaire apt-offline

II. Propos liminaires et prérequis

Il y a plusieurs raisons pour lesquelles certains serveurs ne doivent pas être connectés à Internet :

• Sécurité : certains serveurs contiennent des informations sensibles ou confidentielles qui ne doivent pas être exposées à Internet. En les isolant du réseau public, on peut réduire les risques de piratage ou d'intrusion.
• Conformité : des serveurs peuvent être utilisés pour stocker des informations qui doivent respecter des normes de sécurité ou de confidentialité spécifiques, telles que les données de cartes de crédit ou les dossiers médicaux. En les isolant d'Internet, on peut garantir qu'ils respectent ces normes.
• Fiabilité : certains hôtes peuvent être utilisés pour des applications critiques qui ne doivent pas être interrompues (chaines de production...). En les isolant d'Internet, on peut minimiser les risques de perturbations ou de panne de service.

Dans mon cas, voilà les machines qui composeront mon petit lab' pour la démonstration :

Un hyperviseur (type 2) VMware Workstation

• Un client Linux (Kali Linux dans mon cas. Il sera parfois nommé Hôte A, pour éviter les répétitions)
  • Configuration réseau :
    • eth0 : 192.168.130.128/24 - vmnet 8 - Accès à internet
    • eth1 : 192.168.24.128/24 - vmnet 2 - Réseau local, sans accès à internet
• Un serveur Linux (Ubuntu dans mon cas. Il sera parfois nommé Hôte B, pour éviter les répétitions)
  • Configuration réseau :
    • eth0 : 192.168.24.129/24 - vmnet2 - Réseau local, sans accès à internet

III. Reverse Socks proxy

Pour vous illustrer ce principe de connexion, je vous propose le schéma suivant :

A. Mise en place du proxy inverse

Dans un premier temps, je vais me connecter en SSH à ce serveur depuis ma machine kali  :

ssh user@192.168.24.129

Par défaut, sur ce serveur, je n'ai pas accès à internet comme le prouve la capture suivante :

Afin d'ouvrir un accès provisoire à internet, je vais instancier un reverse proxy socks, pour créer un "tunnel réseau temporaire" entre la machine cliente (Kali) et mon serveur (Ubuntu).

La commande suivante équivaut à dire : "Je veux établir un reverse proxy socks entre mon server (ici : ubuntu) et ma machine cliente (kali), afin de faire transiter tout ou partie de mon traffic réseau via cette connexion".

ssh -D 1337 -q -C -N -f kali@192.168.24.128

Voici une description des options utilisées dans cette commande SSH :

• -D : permet de configurer un proxy SOCKS* local sur le port spécifié (1337 dans cet exemple). Cela permet aux applications de se connecter à Internet en passant par ce proxy SOCKS.
• -q : mode non-verbeux, q pour "quiet"
• -C : compresse les données transmises. Cela améliore les performances pour les connexions à bas débit.
• -N : indique à SSH de ne pas exécuter de commandes à distance. Elle doit être utilisée pour les connexions de tunneling uniquement.
• -f : met en arrière-plan la connexion SSH courante après l'authentification.

Quant à SOCKS : Protocole de "proxy" (couche session (5) du modèle OSI) qui permet à des clients d'envoyer des requêtes à travers un serveur "intermédiaire" aussi appelé mandataire pour atteindre des serveurs distants / internet. Avec SOCKS, vous pouvez encapsuler la majorité des protocoles "commun" comme HTTP, FTP, SSH, etc.

Afin de vérifier si la connexion s'est correctement établie entre les deux hôtes, vérifiez si le port local est bien ouvert, en exécutant la commande suivante sur l'hôte B :

nc -zv localhost 1337

La connexion a bien été établie ! Maintenant, si je souhaite avoir accès à un site web, il me suffit de "proxyfier" ma commande. Voici un exemple avec la commande curl pour atteindre une page web.

curl -x socks5h://localhost:1337 http://google.com/ | head

B. Mise à jour du serveur à travers le reverse proxy socks

Pour mettre à jour mon serveur avec apt voici comment je vais procéder.

Je vais créer le fichier /etc/apt/apt.conf.d/proxy.conf avec le contenu suivant afin d'indiquer à apt que je souhaite que les processus de mise à jour ce fasse à travers ce proxy :

Une fois que les modifications ont été enregistrés, il ne me reste plus qu'a tester si la mise à jour des référentiels distant fonctionne :

sudo apt update

Et voilà.

Pour les pentester en herbe, je vous invite à garder cet exemple dans un coin de votre tête, cette méthode pourrait vous être fort utile dans un contexte de pivoting.

IV. apt-offline

apt-offline est un outil de ligne de commande qui permet de mettre à jour et d'installer des paquets sur un système Debian ou Ubuntu qui n'est pas connecté à internet. Cependant, ce paquet n'est pas nativement présent... bien dommage car de ce fait vous êtes obligé de récupérer ce paquet en connectant votre machine à internet "directement" au moins une fois. J'espère que cet outil sera présent nativement sur les prochaines versions.

Je vais donc installer ce paquet sur mes deux machines :

sudo apt update && sudo apt install apt-offline

voici en quelques lignes comment cela fonctionne :

• Depuis la machine déconnectée, apt-offline génère un fichier au format .sig qui contient toutes les meta-données nécessaires pour mettre à jour ou installer des paquets, y compris toutes les dépendances associés au(x) paquet(s).
• Ce fichier doit être par la suite transféré sur votre machine - disposant d'une connexion internet et du paquet apt-offline - afin de générer un fichier "bundle" (.zip). Celui-ci contiendra tous les artefacts liés aux mises à jour / installation de paquet(s).
• Ensuite, il suffit d'effectuer le transfert de ce fichier .zip de nouveau vers votre machine déconnectée d'internet et de lancer le processus de mise à jour depuis le fichier "bundle" au format ZIP.

Nous avons vu la théorie, maintenant passons à la pratique !

Remarque : si vous testez cette méthode après avoir fait la première, je vous invite à supprimer le fichier que nous avons crée précédemment dans le but d'éviter tout comportement hasardeux d'apt (fichier : /etc/apt/apt.conf.d/proxy.conf)

A. Mise à jour des référentiels apt

Générez le fichier .sig depuis le serveur "déconnecté" comme cela :

sudo apt-offline set --update apt-offline-update.sig

Dès lors, transférez ce fichier sur votre machine disposant d'internet (et du paquet apt-offline) afin de lancer le processus de mise à jour.

sudo apt-offline get --bundle bundle-update.zip apt-offline-update.sig

Une fois que le processus est terminé, on peut constater que le fichier bundle-update.zip a bien été crée. Il représente l'empactement des "artefact" des mise à jour pour notre serveur ubuntu déconnecté. Nous devons transférer ce fichier (dans mon cas bundle-update.zip) sur le serveur distant, à travers l'une des méthodes suivantes (liste non exhaustive) :

• ftp
• sftp/scp
• support physique

Je n'ai plus qu'à copier ce fichier sur machine "déconnectée", puis à réaliser l'extraction des artefacts de mise à jour en saisissant :

sudo apt-offline install bundle-update.zip

B. Mise à niveau de votre système

Pour mettre à niveau votre système, voici comment il faut procéder :

Générez le fichier descriptif update_upgrade.sig depuis l'hôte B.

Après le transfert du fichier .sig de l'hôte B vers l'hôte A, vous devez empaqueter les mises à jour dans le fichier bundle_update_upgrade.zip :

sudo apt-offline get --bundle bundle_update_upgrade.zip update_upgrade.zip 

Puis, réalisez l'extraction des mises à jour afin de les insérer provisoirement dans le cache d'apt de l'hôte B.

sudo apt-offline install bundle_update_upgrade.zip

On termine par la mise à jour de l'hôte B :

sudo apt upgrade

C. Installation d'un package

Pour installer un package, voici comment procéder. Dans cet exemple, je souhaite installer le package fortune :

sudo apt-offline set --install-packages fortune --update apt-offline-update-install-fortune.sig

Depuis l'hôte A disposant d'une connexion internet :

sudo apt-offline get --bundle bundle-update-install-fortune.zip apt-offline-update-install-fortune.sig

Transférez le fichier .zip sur votre "hôte déconnecté", et lancez le processus d'extraction (les données concernant la mise à jour seront insérées dans le cache du processus apt) :

sudo apt-offline install bundle-update-install-fortune.zip

Dès lors, vous pouvez installer le paquet fortune via la commande suivante :

sudo apt install fortune

V. Conclusion

En fonction de votre contexte technique et de vos contraintes, si vous souhaitez mettre un jour un serveur qui est déjà dans un environnement de production "déconnecté" d'internet, utilisez la première méthode.

Pour un serveur qui va être mis en production (et qui peut encore bénéficier d'un accès à la toile), préférez la deuxième option et installez le paquet apt-offline en amont. Je le répète mais c'est bien dommage que apt-offline ne soit pas un paquet installé nativement chez Ubuntu (22.04) pour le moment (ce n'est peut être pas le cas pour les autres distribution de la "Debian Family").

L'article Comment mettre à jour un serveur Linux qui n’est pas connecté à Internet ? est disponible sur IT-Connect : IT-Connect.

Par surprise, Microsoft a organisé un événement pour annoncer des nouveautés au sujet de son moteur de recherche Bing. Forcément, on s'attendait à entendre parler d'OpenAI et de ChatGPT. Faisons le point sur les annonces.

Microsoft a annoncé une nouvelle version de Bing, son moteur de recherche, ainsi que de son navigateur, Edge. Ces deux nouvelles versions sont particulières, car elles seront alimentées par la technologie d'intelligence artificielle développée par OpenAI. Il ne s'agit pas d'intégrer ChatGPT à Bing puisque Microsoft affirme que ce sera encore plus puissant.

Lors de cette conférence ouverte par Satya Nadella, le CEO de Microsoft, l'entreprise américaine a donné des détails sur le nouveau Bing par la voix de Yusuf Mehdi.

Une nouvelle version pour Bing

A cette occasion, Microsoft a montré la nouvelle version de Bing avec une boite de recherche beaucoup plus importante que la simple barre habituelle. Celle-ci peut contenir un texte plus important : jusqu'à 1 000 caractères. Bing sera donné d'un onglet "Recherche" et d'un onglet "Chat" pour basculer facilement entre les deux fonctions.

Un chatbot sera intégré à Bing, ce qui donne du sens à cette nouvelle boite de recherche. Ainsi, l'utilisateur pourra poser des questions dans Bing et obtenir des réponses en langage naturel. Au-delà de questions classiques, le chatbot se présentera comme un véritable assistant pour organiser un voyage, par exemple.

On constate également, sous les réponses retournées, la présence de liens vers différents sites pour approfondir le sujet.

Le chatbot Bing intégré à Microsoft Edge

Le navigateur Microsoft Edge va aussi bénéficier du chatbot de Bing ! La firme de Redmond souhaite l'intégrer au navigateur et vous pourrez l'utiliser pour qu'il vous résume un article, ou un rapport. Si l'on prend l'exemple d'un rapport financier, le chatbot pourra aussi comparer les résultats en plus de les analyser.

Directement à partir d'Edge, au sein d'un panneau latéral, le chatbot sera capable de traduire du texte dans plusieurs langues, mais aussi de traduire un bout de code informatique dans le langage de votre choix. Par exemple, on peut lui demander de traduire un bout de code Python en Rust.

Pour découvrir un aperçu de ces nouveautés, je vous encourage à regarder les images de ce flux Twitter.

@yusuf_i_mehdi talks about how Bing will launch an all new search engine with AI powered. It’s better, will answer questions, you can chat with it and it can create content for you. pic.twitter.com/cjsgSywhY2

— Barry Schwartz (@rustybrick) February 7, 2023

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

Comment essayer le nouveau Bing dès maintenant ?

Une version limitée du nouveau Bing est déjà accessible en ligne, avec des questions prédéfinies, pour ceux qui souhaitent le tester dès maintenant ! Pour cela, il faut accéder à l'adresse suivante : https://bing.com/new

Sur cette page, vous pouvez vous inscrire à la liste d'attente permettant d'avoir un accès au nouveau Bing.

Source

L'article C’est officiel, Microsoft va doper Bing et Edge avec un chatbot IA ! est disponible sur IT-Connect : IT-Connect.

Des fichiers OneNote sont utilisés dans le cadre de campagnes de phishing pour distribuer un malware et infecter les ordinateurs des utilisateurs. Grâce à l'infection avec ce malware, les pirates ont un accès à distance à la machine.

Puisque Microsoft a pris la décision de désactiver les macros dans les documents Office, les cybercriminels cherchent de nouvelles façons d'infecter les machines des utilisateurs. Jusqu'ici, les fichiers Excel et Word infectés étaient très fréquents. Désormais, des alternatives sont utilisées comme les fichiers ISO, les archives ZIP, ainsi que les blocs-notes OneNote malveillants !

Inclus à Microsoft Office et Microsoft 365, OneNote est aussi une application autonome disponible gratuitement et que tout le monde peut utiliser pour sa prise de notes. Même si vous n'utilisez pas cette application, elle est probablement installée sur votre PC, si la suite Office est présente. De ce fait, Windows est capable d'ouvrir les fichiers ".one" correspondants à OneNote, et ça, les pirates l'ont bien compris !

Depuis plusieurs mois, les pirates utilisent ce format de fichier pour distribuer un malware dans le cadre de campagnes de phishing (notamment aux couleurs de DHL). D'ailleurs, sur le blog SpiderLabs de Trustwave, il y a tout un rapport à ce sujet.

Un script VBS malveillant intégré aux fichiers OneNote

À la différence de Word et Office, l'application OneNote ne supporte pas les macros. De ce fait, les attaquants utilisent une autre fonction de OneNote : l'intégration de pièces jointes au bloc-notes.

Dans le cas présent, les cybercriminels ont intégré un script VBS malveillant comme pièce jointe au fichier OneNote, et celui-ci sert à télécharger le malware à partir d'un serveur distant.

Pour inciter l'utilisateur à exécuter le script VBS, le message "Double click to view file" s'affiche, laissant entendre que l'utilisateur doit double cliquer pour accéder au contenu du bloc-notes. Même si OneNote affiche un avertissement, il ne faut pas être naïf : la majorité des utilisateurs vont ignorer l'avertissement.

Une fois en place sur la machine, le malware est capable de voler des informations et des données. Les Trojans AsyncRAT et XWorm sont évoqués.

De manière générale, il faut être méfiant à l'ouverture des pièces jointes ! Si vous n'avez pas pour habitude de faire circuler des fichiers OneNote par e-mail, il me semble pertinent de bloquer l'extension ".one".

Source

 

L'article Les pirates utilisent des fichiers OneNote pour diffuser des malwares ! est disponible sur IT-Connect : IT-Connect.

A l'occasion de sa conférence officielle Cloud 11, OnePlus a dévoilé sa première tablette sous Android : la OnePlus Pad. Voici ce qu'il faut savoir à son sujet...

A l'intérieur de son châssis unibody en aluminium, la OnePlus Pad cache une puce de chez MediaTek, à savoir une puce Dimensity 9000 accompagnée par 8 ou 12 Go de RAM selon la version. Quant au stockage en UFS 3.1, il est d'une capacité de 128 Go.

Cette tablette hérite d'un écran LCD de 11,61 pouces avec les caractéristiques suivantes : une définition d'image de 2 800 x 2 800 px, un taux de rafraichissement de 144 Hz, et un ratio de 7:5. Les bords autours de l'écran sont très fins, comme on peut le voir sur les photos officielles.

OnePlus a habitué ses utilisateurs à la charge très rapide de ses appareils. Avec la OnePlus Pad, il faut compter 80 minutes pour une charge complète de la batterie de 9 510 mAh grâce à la prise en charge de SuperVOOC à 67 W. Le fabricant annonce une autonomie de 14h30 avec une charge complète.

Pour la partie photos et vidéos, la tablette a un capteur principal (arrière) de 13 mpx et un capteur frontal de 8 mpx. Le premier est capable de filmer en 4K, tandis que le second se limite au full HD. Enfin, OnePlus a précisé que sa tablette était compatible WiFi 6 et Bluetooth 5.3.

La tablette OnePlus Pad aura le droit à des accessoires comme le OnePlus Stylo qui est un stylet pour l'écran tactile, ainsi qu'une coque officielle et un clavier.

La OnePlus Pad a une fiche technique haut de gamme ! Ce nouveau modèle va apporter un vent de fraicheur appréciable sur le marché des tablettes Android...

Pour le moment, nous ne connaissons ni le prix ni la date de sortie de cette tablette. OnePlus va communiquer sur le sujet dans les prochaines semaines... Stay connected !

Par ailleurs, OnePlus a annoncé d'autres appareils : son nouveau smartphone OnePlus 11, ainsi que de nouveaux écouteurs et un clavier mécanique !

Source

L'article OnePlus dévoile sa première tablette, la OnePlus Pad est disponible sur IT-Connect : IT-Connect.