Des chercheurs en sécurité ont découvert une vulnérabilité critique dans KeePass, ce qui pourrait permettre à un attaquant de récupérer en clair tous les mots de passe stockés dans votre coffre-fort !

Pour rappel, KeePass est un gestionnaire de mots de passe open source qui permet de stocker ses identifiants et autres informations sensibles dans un coffre-fort chiffré et sécurisé. J'ai évoqué KeePass (ainsi que KeePass XC) dans un précédent article.

Associée à la référence CVE-2023-24055, cette faille de sécurité critique pourrait permettre à un attaquant ayant un accès en écriture au fichier de configuration XML, d'obtenir les mots de passe en clair en jouant sur les paramètres d'exportation de KeePass.

Sur Internet, il y a déjà plusieurs exploits PoC disponibles, comme c'est le cas sur l'espace GitHub d'Axel Hernandez. D'ailleurs, sur cette page il référence les actions possibles en exploitant cette vulnérabilité.

Si vous utilisez le gestionnaire de mots de passe KeePass, vous devez impérativement mettre a jour le logiciel sur votre PC, d’autant plus si vous utilisez une version 2.5X (même si c'est un peu flou pour les versions encore plus anciennes). Pour vous protéger, vous devez utiliser la version 2.53 de KeePass, qui est la plus récente à ce jour. KeePass est une cible très intéressante pour les cybercriminels car c'est l'un des gestionnaires de mots de passe les plus populaires et il est très apprécié dans le monde de l'IT !

Une vulnérabilité contestée

Il est important de préciser que cette faille de sécurité hérite actuellement du statut "Disputed" comme on peut le voir sur le site américain du NIST, car l'éditeur de KeePass estime que la base de données de mots de passe n'est pas censée être protégée contre un attaquant disposant déjà d'un accès local sur un PC.

Toutefois, c'est une réaction un peu étonnante à mon sens. Même si l'attaquant dispose d'un accès local au PC, il est préférable que la base de mots de passe reste un coffre-fort inviolable et accessible uniquement en ayant connaissance du mot de passe maître.

Quoi qu'il en soit, il est recommandé d'appliquer la mise à jour sans attendre !

Source

L'article Faille critique dans KeePass : un attaquant peut exporter les mots de passe en clair ! est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à résoudre l'erreur "Une référence a été renvoyée par le serveur" qui peut s'afficher lorsque l'on essaie d'activer la corbeille Active Directory sur un environnement AD.

Au moment de cliquer sur le bouton "Activer la corbeille" dans le Centre d'administration Active Directory, ou lors de l'exécution de la commande "Enable-ADOptionalFeature" pour activer la corbeille, l'erreur "Une référence a été renvoyée par le serveur" peut s'afficher. En anglais, le message d'erreur est "A referral was returned from the server".

Parfois, quand la méthode en interface graphique ne passe pas, la méthode basée sur PowerShell peut fonctionner, mais là ce n'est pas le cas, alors que faire ?

• Tutoriel - La Corbeille Active Directory

II. Impossible d'activer la corbeille AD

Dans le cas présent, cette erreur était liée directement aux rôles FSMO ! Pour rappel, il existe 5 rôles FSMO et chaque rôle peut être détenu par un seul contrôleur de domaine, au niveau du domaine ou de la forêt, selon le rôle.

• Les rôles FSMO

Ici, vis-à-vis de la corbeille AD, le problème est lié à deux rôles FSMO :

• Le rôle "Contrôleur de schéma"
• Le rôle "Maître d'attribution des noms de domaine"

Si ces rôles ne sont pas détenus par le même contrôleur de domaine, alors cette erreur s'affichera au moment d'activer la corbeille AD, et elle ne pourra pas être activée.

A partir du console, vous pouvez lister rapidement les maîtres des différents rôles avec cette commande :

netdom query fsmo

Vous devriez constater que les deux rôles précédents cités ne sont pas détenus par le même DC. De ce fait, vous allez devoir utiliser l'interface graphique (console Schéma Active Directory), ntdsutil ou PowerShell pour transférer le rôle FSMO.

Dans l'exemple ci-dessous, c'est le rôle "Contrôleur de schéma" qui est transféré vers un autre DC nommé "DC-1", en l'occurrence celui qui détient le rôle de "Maître d'attribution des noms de domaine".

Move-ADDirectoryServerOperationMasterRole -Identity "DC-1" -OperationMasterRole SchemaMaster -Force

Cette commande doit être exécutée à partir d'un compte qui a les droits d'administrateur du schéma. Ainsi, les deux rôles seront regroupés sur le même DC et il sera possible d'activer la corbeille AD !

Vous pouvez dire adieu à l'erreur "Une référence a été renvoyée par le serveur" !

L'article Corbeille Active Directory – Résoudre l’erreur « Une référence a été renvoyée par le serveur » est disponible sur IT-Connect : IT-Connect.

Plusieurs services du Cloud Azure de Microsoft ont reçu une mise à jour pour corriger des vulnérabilités importantes de type SSRF et permettant à un attaquant d'obtenir un accès non autorisé à des ressources Cloud.

Cet ensemble de vulnérabilités a été découvert au sein des services Azure Functions, Azure API Management, Azure Digital Twins et Azure Machine Learning, par des chercheurs en sécurité d'Orca Security au dernier trimestre de 2022. En exploitant cette faille de sécurité via une attaque de type SSRF (Server-side request forgery), l'attaquant peut envoyer une requête malveillante à destination du service Azure vulnérable et réussir à accéder à des ressources où l'accès devrait être refusé. Ce type d'attaque peut permettre d'exfiltrer des données également.

À ce sujet, voici ce que précisent les chercheurs d'Orca Security dans leur rapport : "Les vulnérabilités Azure SSRF découvertes permettaient à un attaquant de scanner les ports locaux, de trouver de nouveaux services, points de terminaison et fichiers - fournissant des informations précieuses sur les serveurs et services éventuellement vulnérables à exploiter pour obtenir un accès initial et l'emplacement des informations potentielles à cibler".

En ce qui concerne Azure Digital Twins et Azure Functions, l'attaque est possible sans être authentifié, ce qui n'est pas le cas avec Azure API Management et Azure Machine Learning où il faut être authentifié pour tenter une attaque. Malgré tout, Microsoft a fait le nécessaire à présent et ces vulnérabilités ne sont plus exploitables.

À ce jour, les chercheurs n'ont trouvé aucune preuve que les failles ont été activement exploitées dans le cadre d'attaques. Toutefois, les administrateurs sont invités à vérifier la configuration de leurs services Azure, notamment pour configurer correctement les règles de trafic entrant et sortant pour appliquer le principe du moindre privilège.

Même si l'on parle très souvent des vulnérabilités dans les systèmes d'exploitation et les applications, cet exemple concret montre également que les environnements Cloud sont concernés par les mêmes problématiques. D'où l'important de durcir la configuration soi-même de son propre tenant dans le Cloud, que ce soit chez Microsoft ou ailleurs, dans la liste des options qui sont proposées aux administrateurs bien entendu.

Source

L'article Microsoft : à cause de ces failles Azure, un attaquant auraient pu accéder à vos ressources Cloud est disponible sur IT-Connect : IT-Connect.

Alors qu'il fascine autant qu'il inquiète, ChatGPT devrait devenir encore plus précis, complet et performant dans les mois à venir ! Pourquoi ? Voici ce qu'il faut savoir !

Actuellement, ChatGPT s'appuie sur le modèle de langage d'OpenAI associé au "GPT-3.5", et dans les mois à venir, ChatGPT devrait passer sur "GPT-4", actuellement en cours de développement. Pour bien comprendre la différence et le potentiel de cette nouvelle version, il suffit de s'intéresser aux nombres de paramètres :

• GPT-3 à 175 milliards de paramètres
• GPT-4 à 100 trillions de paramètres, ce qui correspond à 100 000 milliards

Si l'on regarde l'image ci-dessous, on voit que la différence est... tout simplement énorme !

GPT-4 is going to launch soon.
And it will make ChatGPT look like a toy...

→ GPT-3 has 175 billion parameters
→ GPT-4 has 100 trillion parameters

I think we're gonna see something absolutely mindblowing this time!

And the best part? pic.twitter.com/FAB5gFjveb

— Simon Høiberg (@SimonHoiberg) January 11, 2023

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

En faisant cette comparaison, on peut presque dire que GPT-3 n'est qu'un tout petit aperçu des possibilités de GPT-4, et par extension de ChatGPT. Dans la pratique, le modèle de langage GPT-4 devrait permettre d'apporter des réponses encore plus précises et en s'exprimant plus comme un humain. Toutefois, il n'ira pas jusqu'à lier une relation avec l'humain qui l'interroge. Grâce à cette nouvelle version, ChatGPT pourrait se perfectionner et réduire le taux de réponses incorrectes.

Pour le moment, nous ne savons pas quand ChatGPT bénéficiera de GPT-4 mais une chose est sûre : la sortie ne sera pas précipitée ! En effet, Sam Altman, le PDG d'OpenAI, a précisé que GPT-4 sortira quand il pourra être mis à disposition de tout le monde manière sûre et responsable.

Même si ChatGPT est au centre de toutes les attentions, OpenAI ne jure pas uniquement par cet outil. Lors d'un interview, Sam Altman, a précisé qu'OpenAI souhaitait créer une intelligence artificielle capable de générer des vidéos. Des travaux de recherches sont actuellement menés à ce sujet. Il a aussi évoqué Google, en affirmant que la firme de Mountain View pourrait contre-attaquer en mettant au point sa propre alternative à ChatGPT.

Source

L'article En passant de GPT-3 à GPT-4, ChatGPT sera encore plus puissant et précis ! est disponible sur IT-Connect : IT-Connect.

Synology commence l'année 2023 en lançant un nouveau NAS ! Pas n'importe lequel, puisqu'il s'agit du Synology DS723+ qui est désormais la référence de la série Plus au format deux baies. Faisons le point sur les caractéristiques de ce modèle destiné à succéder au DS720+.

Synology DS723+ : CPU, RAM et stockage

Sous le capot de ce NAS, Synology a inclus un processeur AMD Ryzen R1600 doté de deux cœurs et cadencé à 2,6 GHz (mode burst jusqu'à 3,2 GHz). Ce processeur est accompagné par 2 Go de RAM en DDR4 ECC, qu'il est possible d'étendre jusqu'à 32 Go au maximum. Il s'agit de la même quantité de mémoire que la génération précédente, c'est dommage, car c'est un frein si l'on envisage de faire un peu de virtualisation (dans ce cas, il faudra passer à la caisse).

Comme je le disais en introduction, il s'agit d'un modèle deux baies, capables d'accueillir deux disques durs ou disques SSD. En complément, le DS723+ est équipé de deux emplacements pour SSD NVMe que l'on peut exploiter pour mettre en place du cache SSD ou un espace de stockage supplémentaire.

Synology DS723+ : la connectique

En ce qui concerne la connectique du DS723+, elle va probablement faire des déçus. Pourquoi ? Et bien parce que si l'on regarde le boîtier dans tous les sens, on constate qu'il ne contient qu'un seul port USB 3.2 Gen1 et il se situe en façade. Si vous utilisez beaucoup les ports USB sur les NAS, c'est un point sur lequel vous devez faire attention.

Pour le reste, rendez-vous à l'arrière du boîtier où l'on peut voir deux interfaces réseau 1 Gbit/s (toujours pas de 2,5 Gbit/s), un port eSATA ainsi que la possibilité d'ajouter une carte d'extension pour bénéficier d'une interface réseau 10 Gbit/s. Sur le site Synology, on peut lire que ce modèle "peut accueillir jusqu'à 7 baies grâce à l'unité d'extension DX517", qui viendra se connecter sur le port eSATA du NAS.

Pour le tarif, je ne suis pas parvenu à trouver d'informations précises. Même si ce NAS est censé être disponible dès maintenant, il semble difficile à trouver sur les sites de e-commerce habituels. Rappelons que le DS720+ est disponible au prix de 499,95 euros TTC, donc il devrait être vendu au moins à ce prix-là.

Tous les détails sur le Synology DS723+ sont disponibles sur le site officiel du fabricant :

• Fiche produit - Synology DS723+

Source : communiqué de presse

L'article Synology DS723+ : présentation de ce nouveau NAS deux baies est disponible sur IT-Connect : IT-Connect.