I. Présentation

Aujourd’hui, nous allons découvrir une nouvelle fonctionnalité de Wireshark qui permet de décoder un protocole. Cette fonctionnalité permet d’afficher les échanges applicatifs quand un port non standard est utilisé.

Par exemple, pour un serveur Web les ports standard sont 80 et 443, donc si vous utilisez le port 5000 Wireshark ne va pas vous afficher de flux HTTP : à la place du protocole HTTP, vous trouverez "data" dans les détails du paquet.

Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :

• Tutoriel - Installation pas-à-pas de Wireshark
• Tutoriel - Découverte de l'interface Wireshark
• Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
• Tutoriel - Wireshark et les filtres de capture
• Tutoriel - Wireshark et les filtres d'affichage
• Tutoriel - Wireshark et la résolution de noms
• Tutoriel - Wireshark et les commentaires
• Tutoriel - Wireshark : activer la géolocalisation d’adresses IP
• Tutoriel - Wireshark - Comment déchiffrer les flux TLS comme le HTTPS ?
• Téléchargement - Wireshark

II. Comment découvrir le flux applicatif ?

A. Quelle méthode utiliser ?

Pour découvrir le flux applicatif derrière un port non standard, il n’y a qu’un seul moyen dans Wireshark, c’est de regarder dans la vue « Packets Octets ». Pour se faire, il faut sélectionner un paquet dans la liste des paquets de votre fichier de capture.

B. Limite de cette méthode

Cette méthode est pratique quand les flux ne sont pas chiffrés, si on souhaite utiliser cette méthode avec des flux chiffrés il faudra d’abord déchiffrer les flux que ce soit via le certificat ou en live en enregistrant les clés de sessions TLS (comme nous l'avons vu précédemment).

Une autre limite à cette méthode est sur les applications éditeurs propriétaires non reconnus par Wireshark, car ceux-ci n’ont pas été ajoutés à la liste des protocoles connus par Wireshark.

III. Utilisation de la fonctionnalité Decode As

A. Trouver les paquets avec des données

Pour trouver des paquets avec des données applicatives, vous pouvez regarder la taille des paquets envoyés sur le réseau.

Dans le panneau « Packet List », vous devez regarder la colonne « Length » à la recherche de paquets supérieurs à 64 octets.

Dans l’image ci-dessus, vous voyez des paquets à 257 octets (en-têtes protocolaires + données). Dans la colonne "Info", vous pouvez voir la taille des données transmises sur le réseau, ici 199 octets. Donc nous allons examiner les paquets avec des données applicatives.

B. Découverte du protocole utilisé

Pour examiner le paquet, nous allons regarder le détail du paquet. Dans cette partie, on va s'intéresser au port TCP utilisé.

Le port TCP qui m’intéresse dans ce cas présent est le port de destination, ici « 1512 ». Vous pouvez remarquer qu'en dessous de TCP, nous avons « DATA » au lieu de l’application comme TLS, http, smtp… Car Wireshark ne reconnaît pas le protocole.

Note : Wireshark s’appuie sur les numéros de port TCP/UDP pour reconnaître l’application.

Maintenant nous allons regarder le panneau « Packet Octets ».

Dans l’image ci-dessus, on arrive à voir des données applicatives :

<188>568: Feb 24 16:03:46.718 CET: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: test] [Source: 10.10.10.10] [localport: 22] [Reason: Login Authentication Failed] at 16:03:46 CET Thu Feb 24 2022

Ce type de données ressemble à un message de log envoyé vers un syslog.

C. Décoder le protocole

Maintenant que nous avons identifié le protocole utilisé, nous allons le décoder pour avoir un affichage plus lisible et correspondant à l’applicatif.

Sur la liste des paquets, effectuez un clic droit sur un paquet pour sélectionner « Décoder comme… »

Une nouvelle fenêtre s’ouvre, pour configurer le protocole :

Ici, il faut sélectionner le port TCP que nous souhaitons déclarer comme port TCP applicatif dans la « colonne valeur ». Pour cela, cliquez sur « le numéro de port TCP ». Ici on choisit : 1512.

Ensuite, il reste à modifier une colonne : la colonne « Actual » qui va nous permettre de choisir le protocole à décoder. Il suffit de cliquer sur « (none) » pour afficher la liste des protocoles.

Sélectionnez « Syslog » puis cliquez sur « OK » une fois votre configuration terminée.

N.B : Vous pouvez taper les premières lettres du protocole pour arriver sur celui dont vous avez besoin.

D. Vérification

Une fois que vous avez cliqué sur « OK », Wireshark recharge automatiquement votre capture réseau.

Maintenant à la place de TCP, vous allez voir le protocole SYSLOG et dans la colonne info , vous allez voir les messages applicatifs.

Par ailleurs, dans le détail du paquet, vous devez voir apparaître « Syslog » au lieu de DATA :

IV. Modifier les ports d’un protocole

Il est possible de modifier les ports d’un protocole dans Wireshark en passant par « Editer » afin d’ajouter des ports en dur dans la configuration de Wireshark.

Vous devez cliquer sur « Editer » ensuite « Préférences… ».

Une nouvelle fenêtre s’ouvre, cliquez sur la flèche à côté de "Protocols" pour dérouler la liste des protocoles de Wireshark.

Cliquez sur « Syslog » dans cette liste.

Vous pouvez ajouter une liste de ports en utilisant une virgule pour la séparation.

Une fois terminée, vous devez cliquer sur OK pour recharger la trace réseau.

N.B : le fond vert valide la syntaxe, un fond rouge vous avertit d’une erreur.

V. Conclusion

Cet article sur Wireshark et la fonctionnalité "décoder un protocole" peut-être une aide précise lors d'une analyse liée à un incident de cybersécurité si les ports par défaut sont modifiés, ou bien si les équipes en charge des applications utilisent des ports exotiques.

Le prochain article sera sur le logiciel TraceWrangler qui permet d’anonymiser un fichier de capture.

L'article Wireshark – Comment décoder un protocole ? est disponible sur IT-Connect : IT-Connect.

Patchée en septembre 2022, la vulnérabilité CVE-2022-3236 affecte les firewalls Sophos et permet à un attaquant d'exécuter du code à distance sur l'équipement, à partir du moment où ce dernier est exposé sur Internet. À ce jour, il y aurait encore environ 4 000 firewalls Sophos vulnérables !

Plusieurs mois après la sortie du bulletin de sécurité de Sophos et la mise à disposition du correctif, certains firewalls Sophos restent vulnérables à la faille de sécurité CVE-2022-3236. Une mauvaise nouvelle pour les organisations concernées quand on sait que cette faille de sécurité a été exploitée dans le cadre de cyberattaques, notamment dans le Sud de l'Asie.

Initialement, Sophos a déployé ce correctif sous la forme d'un hotfix, ce qui signifie qu'il se déploie automatiquement sur les firewalls Sophos où l'option est activée. C'est le cas par défaut, mais l'administrateur a la possibilité de modifier cette configuration.

Plus précisément le correctif a été déployé automatiquement sur les versions v19.0 MR1, 19.0.1 et antérieures. En ce qui concerne les firewalls Sophos exécutant des versions antérieures, il est nécessaire de mettre à niveau manuellement le système dans le but de pouvoir recevoir le hotfix de façon automatique. In fine, cela permet d'être protégé contre la faille de sécurité CVE-2022-3236.

Cette faille de sécurité permet d'exécuter du code à distance sur l'équipement Sophos et elle est exploitable au travers de deux portails : User Portal et Webadmin. À partir du moment où ces portails sont accessibles depuis l'interface WAN du firewall et que votre appareil n'a pas le correctif, vous êtes vulnérable.

Et des firewalls Sophos vulnérables à cette faille de sécurité, il y en a encore beaucoup ! Jacob Baines de chez VulnCheck a effectué un scan sur Internet à la recherche de firewalls Sophos. Résultat, il en a détecté 88 000 et sur ce total, il y en a environ 6% soit à peu près 4 000 firewalls, qui exécutent une version du système qui n'a pas reçu le correctif pour la faille CVE-2022-3236.

Pour le moment, il n'y a pas d'exploit public au sujet de la vulnérabilité CVE-2022-3236, mais jusqu'à quand ? Cela semble est d'autant plus plausible que, car Jacob Baines a pu reproduire l'exploit en s'appuyant sur des informations partagées par la Zero Day Initiative ! Vous pouvez retrouver le rapport complet et très intéressant sur cette page.

En résumé : Sophos a fait le nécessaire depuis septembre dernier au sujet de cette faille de sécurité, donc mettez à jour maintenant pour éviter d'utiliser une version obsolète et pour vous protéger contre cette faille de sécurité.

Source

L'article Environ 4 000 firewalls Sophos vulnérables à une faille de sécurité critique ! est disponible sur IT-Connect : IT-Connect.

Les utilisateurs de Git doivent passer aux stands pour effectuer une mise à jour afin d'être protégé contre deux vulnérabilités critiques qu'un attaquant pourrait exploiter pour exécuter du code à distance sur la machine affectée. Faisons le point.

Ces deux failles de sécurité sont associées aux références  CVE-2022-23521 et CVE-2022-41903, et force est de constater que de nombreuses versions de Git sont affectées : v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2.36.3, v2.37.4, v2.38.2, et v2.39.0.

Je suis concerné, que dois-je faire ? Mettre à jour vers une version patchée, à savoir une version de cette liste : 2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3, et v2.39.1. Ces nouvelles versions sont disponibles depuis le mardi 17 janvier 2023, pour différents systèmes (Windows, Linux...).

La vulnérabilité CVE-2022-23521 semble la plus grave des deux : "Le problème de sécurité le plus grave découvert permet à un attaquant de déclencher un exploit de type "heap-based memory corruption" pendant les opérations de type clone et pull, ce qui peut entraîner l'exécution de code", d'après les chercheurs en sécurité, Markus Vervier et Eric Sesterhenn, de l'entreprise X41 D-Sec qui ont fait la découverte de ces vulnérabilités (voir ce rapport complet). Par ailleurs, ces vulnérabilités pourraient permettre de générer un déni de service sur la machine.

Si vous ne pouvez pas effectuer la mise à jour de Git dans l'immédiat, sachez qu'il n'y a pas de solution de contournement pour la faille CVE-2022-23521. Pour la seconde, à savoir la CVE-2022-41903, la seule solution de contournement proposée par Git est de désactiver l'action "git archive" sur les dépôts non approuvés.

Des mises à jour pour GitLab et GitHub

En réaction à ce bulletin de sécurité de Git, l'éditeur GitLab a mis en ligne des nouvelles versions de ses clients ( 15.7.5, 15.6.6, et 15.5.9), que ce soit pour la Community Edition (CE) ou l'Enterprise Edition (EE). Enfin, du côté de GitHub il y a également des mises à jour disponibles, notamment une nouvelle version de GitHub Desktop qui embarque Git v2.35.6.

Il est à noter qu'une troisième vulnérabilité, associée à la référence CVE-2022-41953 affecte particulièrement l'application Git GUI pour Windows. Pour le moment, le correctif n'est pas disponible pour cet outil (mais il sera corrigé dans une version v2.39.1) !

Source

L'article Mettez à jour Git, GitLab et GitHub pour vous protéger de ces deux failles critiques ! est disponible sur IT-Connect : IT-Connect.

Ces dernières semaines, on entend parler régulièrement de ChatGPT (peut-être un peu trop pour certains) et cela n'est probablement pas prêt de s'arrêter, car les géants de la tech, en particulier Microsoft, s'intéressent à lui. Aujourd'hui, on apprend que le service Azure OpenAI est disponible pour tout le monde et ce dernier permettra, entre autres, d'interagir avec ChatGPT dans un avenir proche. Voici ce qu'il faut savoir.

C'est par l'intermédiaire d'un tweet de Satya Nadella, PDG de Microsoft, que l'information a circulée : "ChatGPT sera bientôt disponible pour le service Azure OpenAI, qui est maintenant disponible pour tout le monde, car nous aidons les clients à appliquer les modèles d'IA les plus avancés du monde à leurs propres impératifs commerciaux.".

Grâce à Azure OpenAI, les entreprises peuvent utiliser des modèles de langage via le Cloud de Microsoft. Ainsi, ce service donne accès à DALL-E 2, une intelligence artificielle capable de générer des images à partir d'une description par texte, Codex (associé au service GitHub Copilot), GPT-3.5, et ChatGPT, mais un peu plus tard dans l'année, car c'est précisé "ChatGPT coming soon" sur la feuille de route.

Déjà disponible en version Preview depuis novembre 2021, Azure OpenAI s'ouvre au monde à partir de maintenant, même si certaines personnes vont surtout attendre l'intégration de ChatGPT, il est déjà utilisable via PowerBI, ou encore Microsoft Designer. Microsoft précise que certaines entreprises utilisent déjà Azure OpenAI, notamment Moveworks et KPMG.

Microsoft est à fond sur OpenAI, l'entreprise à l'origine de ChatGPT. Après avoir déjà investi 1 milliard de dollars en 2019, la firme de Redmond pourrait participer encore un peu plus à la croissance d'OpenAI en investissant 10 milliards de dollars. Rappelons également que Microsoft souhaite intégrer ChatGPT à Bing, mais également à certaines applications de la suite Office dont Outlook, PowerPoint et Word. Malgré tout, OpenAI s'ouvre aux autres éditeurs et une API ChatGPT devrait permettre aux développeurs d'interfacer des applications tierces.

Un article complet, mis en ligne par Eric Boyd de chez Microsoft, est disponible sur le blog Azure de Microsoft : GA Azure OpenAI

Source

L'article Azure OpenAI est disponible pour tout le monde, et ChatGPT sera bientôt intégré ! est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à exécuter un script PowerShell en tant qu'administrateur, que ce soit en mode interactif, en ligne de commande ou avec une tâche planifiée ! Parfois, il n'y a pas d'autres solutions que d'exécuter un script avec les droits admin sur un serveur afin de réaliser certaines actions, mais comment faire ?

II. Exécuter PowerShell en tant qu'admin

A. À partir de l'interface graphique

Commençons par évoquer l'ouverture de la console PowerShell en tant qu'administrateur, via l'interface graphique de Windows. Que ce soit sur Windows Server, Windows 10 ou Windows 11, d'ailleurs. Tout d'abord, avec un clic droit sur l'icône dans la barre des tâches ou dans le menu Démarrer, on a l'option "Exécuter en tant qu'administrateur" qui permet d'ouvrir la console avec les droits admins pour cette fois-ci.

Si l'on souhaite l'ouvrir tout le temps avec les droits admins sur un raccourci, on peut épingler PowerShell à la barre des tâches, faire un clic droit sur l'icône, puis un clic droit sur "Windows PowerShell" afin de cliquer sur "Propriétés".

Ici, via l'onglet "Raccourci", vous pouvez cliquer sur le bouton "Avancé" afin de cocher l'option "Exécuter en tant qu'administrateur".

Désormais, lorsque vous allez utiliser ce raccourci pour lancer PowerShell, la console s'exécutera avec les droits admin directement.

Vous pouvez aussi utiliser le raccourci clavier "Win + X" ou faire un clic droit sur le bouton du menu Démarrer puisqu'il contient une entrée "Windows PowerShell (admin)". Sur un poste Windows 11, le principe reste le même sauf que c'est Windows Terminal qui est utilisé par défaut, donc l'option se nomme "Terminal (administrateur)".

De manière générale, retenez que, lorsque la console PowerShell est exécutée avec les droits admins, le titre de la console contient le préfixe "Administrateur :" ou "Administrator :".

B. À partir de la ligne de commande

Pour lancer une console PowerShell en tant qu'admin sans utiliser l'interface graphique, mais en utilisant l'Invite de commande, PowerShell, Windows PowerShell ou Windows Terminal, c'est également possible. Voici quelques commandes utilisables grâce au paramètre "runAs" qui va générer une élévation de privilèges.

Exécuter Windows PowerShell en tant qu'admin :

powershell.exe Start-Process powershell -Verb runAs

Exécuter PowerShell en tant qu'admin :

pwsh.exe -Command Start-Process pwsh -Verb runAs

Une fois la console ouverte avec les droits admins, vous pouvez exécuter un script : il bénéficiera des autorisations de la console en cours d'exécution ! Il est à noter que si vous êtes déjà dans PowerShell, vous pouvez utiliser cette syntaxe :

Start-Process powershell -Verb runAs

III. Exécuter un script PowerShell avec les droits admins

Si l'on reprend le principe de la commande précédente, on peut la compléter avec le paramètre -ArgumentList pour exécuter directement un script PowerShell. Ainsi, l'exemple ci-dessous permet d'exécuter le script "C:\TEMP\ScriptAdmin.ps1" avec les droits admin, via Windows PowerShell.

Start-Process powershell -Verb runAs -ArgumentList "-file C:\TEMP\ScriptAdmin.ps1"

Ceci fonctionne également avec PowerShell :

Start-Process pwsh -Verb runAs -ArgumentList "-file C:\TEMP\ScriptAdmin.ps1"

Même s'il faut valider l'UAC (fenêtre de sécurité Windows), le script sera exécuté avec les droits administrateur sur la machine !

En parlant d'UAC, il existe plusieurs façons de la contourner, notamment en exécutant le script à partir d'une tâche planifiée. Pour cela, il faut créer une tâche via le planificateur de tâches Windows, et cocher l'option "Exécuter avec les autorisations maximales" dans l'onglet "Général" comme sur l'image ci-dessous.

Au sein de l'onglet "Actions" de la tâche planifiée, il suffira d'appeler "powershell.exe" ou "pwsh.exe" afin d'exécuter le script de votre choix. Pour plus de détails à ce sujet, consultez cet article : Tâche planifiée - Script PowerShell.

IV. Conclusion

En appliquant l'une des méthodes ci-dessus, vous êtes en mesure d'exécuter un script PowerShell en tant qu'administrateur sur une machine, que ce soit sur un serveur ou un poste de travail. Sur une machine Linux, il suffira d'ajouter le préfixe "sudo" pour bénéficier d'une élévation de privilèges au sein de PowerShell.

Si vous avez des questions ou que vous souhaitez apporter des précisions supplémentaires, n'hésitez pas à poster un commentaire sur cet article ou à rejoindre notre serveur Discord.

L'article Comment exécuter un script PowerShell en tant qu’administrateur ? est disponible sur IT-Connect : IT-Connect.