Joomla, un système de gestion de contenus similaire à WordPress, est affecté par 5 failles de sécurité qui peuvent permettre à un attaquant d'exécuter du code arbitraire grâce à des failles XSS. Faisons le point sur cette menace.

Même s'il n'est pas aussi populaire que WordPress, Joomla représente une alternative sérieuse et ce CMS est utilisé aujourd'hui pour faire tourner au moins 1,6 million de sites web (d'après une donnée de 2020).

Un nouveau bulletin de sécurité a été publié sur le site de Joomla pour avertir les utilisateurs de la présence de 5 failles de sécurité dans le core du CMS. Voici la liste des vulnérabilités en question :

• CVE-2024-21722 : la fonctionnalité de gestion du MFA ne termine pas correctement les sessions d'un utilisateur lorsqu'il modifie ses méthodes d'authentification associées au MFA
• CVE-2024-21723 : Une analyse inadéquate des URLs pourrait entraîner une redirection ouverte.
• CVE-2024-21724 : Une validation inadéquate lors de la sélection d'un média est à l'origine de plusieurs vulnérabilités de type cross-site scripting (XSS) dans diverses extensions.
• CVE-2024-21725 : Un échappement inadéquat des adresses de messagerie entraîne des vulnérabilités de type XSS dans divers composants.
• CVE-2024-21726 : Un filtrage inadéquat du contenu dans le code de filtrage conduit à des vulnérabilités de type XSS.

D'après les informations disponibles sur le site de Joomla, la CVE-2024-21725 elle celle qui représente le risque le plus élevé. Un rapport publié par Stefan Schiller sur le site de Sonar donne des précisions sur une autre vulnérabilité, la CVE-2024-21726, découverte par l'équipe de chercheurs en sécurité de Sonar.

Ce rapport précise : "Les attaquants peuvent tirer parti de ce problème de sécurité pour exécuter un code à distance en incitant un administrateur à cliquer sur un lien malveillant." - En effet, une vulnérabilité de type XSS peut permettre à un attaquant d'injecter des scripts malveillants dans le contenu diffusé aux autres utilisateurs du site, ce qui permet d'exécuter un script malveillant dans le navigateur de la victime.

Comment se protéger ?

Joomla a mis en ligne de nouvelles versions de son CMS pour vous protéger de ces vulnérabilités : Joomla 5.0.3 et Joomla 4.4.3. Vous devez installer cette mise à jour de sécurité dès que possible. Sonar vous encourage également à agir rapidement : "Nous ne divulguerons pas de détails techniques pour l'instant, mais nous tenons à souligner l'importance d'une action rapide pour atténuer ce risque."

Source

The post Plusieurs failles de sécurité XSS découvertes dans Joomla exposent des sites Web ! first appeared on IT-Connect.

En réponse à un incident de sécurité récent, Microsoft a pris la décision d'ajouter de "nouvelles fonctionnalités" de journalisation gratuitement pour tous ses utilisateurs, dans le but d'en faire profiter également certaines agences gouvernementales américaines.

Microsoft a apporté plusieurs changements, comme indiqué dans cet article, notamment pour Purview Audit (Standard) et ils ont pour objectif d'offrir une meilleure visibilité sur les événements, ainsi qu'un historique plus important. "Ces données améliorent les capacités d'identification des menaces lors de la compromission des boites e-mails d'entreprises.", précise Microsoft qui a collaboré avec l'agence CISA.

Ce changement est une réponse à l'incident de sécurité qui a impacté directement des agences gouvernementales américaines, clientes de Microsoft. En effet, il s'agit d'un incident qui remonte au mois de mai 2023, lorsqu'un groupe de cybercriminels chinois, surnommé Storm-0558 par Microsoft, est parvenu à avoir un accès complet à 25 comptes de messagerie pendant un mois.

Ce qui change dans Purview

Microsoft va automatiquement activer les journaux sur les comptes clients et augmentera la période de conservation des journaux, afin qu'elle passe de 90 jours à 180 jours, par défaut. "Au minimum, Microsoft enregistrera et stockera en votre nom pendant 180 jours dans Purview Compliance et aucune action supplémentaire n'est requise pour ce changement.", peut-on lire.

L'entreprise américaine précise également que les capacités de journalisation étendues augmenteront de manière significative, on parle de "x10", les données entrant dans votre SIEM ou tout autre système utilisé pour analyser les journaux d'audit de Microsoft 365. Par ailleurs, Microsoft et la CISA fournissent également le "Microsoft Expanded Cloud Log Implementation Playbook" pour faciliter l'analyse des nouveaux événements, ce qui devrait être utile également dans le cadre d'une réponse à incidents.

L'objectif de ces changements est également de répondre à un standard de sécurité : "En outre, ces données fourniront de nouvelles données télémétriques qui aideront un plus grand nombre d'agences fédérales à respecter les exigences en matière de journalisation imposées par le mémorandum M-21-31 de l'OMB."

Source

The post En réponse à un incident de sécurité, Microsoft améliore les logs de Purview pour tout le monde ! first appeared on IT-Connect.

Au sein de la dernière Build de Windows 11 accessible via le programme Windows Insiders, Microsoft a introduit plusieurs nouveautés pour son assistant Copilot. Parmi ces nouveautés, la possibilité pour Copilot d'interagir avec Power Automate pour automatiser les tâches répétitives.

Les nouveautés évoquées dans cet article sont disponibles dans Windows 11 Insider Preview Build 26058, via le canal Dev. Il y a quelques heures, Microsoft a mis à jour le journal des nouveautés de cette version pour ajouter les dernières améliorations apportées à Copilot.

Pour rappel, Copilot for Windows est un assistant propulsé par de l'intelligence artificielle capable de répondre à des questions diverses et variées. Il est disponible pour Windows 11, mais aussi Windows 10 (grâce à l'installation d'une mise à jour).

Copilot avec Power Automate

L'assistant Copilot est capable d'interagir avec la plateforme d'automatisation low-code Power Automate, liée à Power Platform. Ceci va permettre d'automatiser certaines tâches répétitives en créant des interactions entre plusieurs applications.

Ce qui est intéressant, c'est que cette "connexion" entre Copilot et Power Automate passe par l'installation d'un plugin. Ceci laisse entendre que d'autres plugins seront ajoutés par la suite.

"Cette première version du plugin offre des fonctions d'automatisation pour Excel, la manipulation des PDF et la gestion des fichiers.", précise Microsoft. L'entreprise américaine donne également quelques exemples de ce que vous pouvez demander à Copilot grâce à ce plugin :

• Écrire un courriel à mon équipe pour lui souhaiter un bon week-end.
• Dresser la liste des 5 plus hautes montagnes du monde dans un fichier Excel.
• Renommer tous les fichiers PDF d'un dossier en ajoutant le mot final à la fin.
• Déplacer tous les documents Word dans un autre dossier.
• Je dois diviser un PDF en fonction de la première page. Pouvez-vous m'aider ?

Copilot pour gérer le système

Cette version renforce l'intégration de Copilot dans Windows puisque l'IA va pouvoir mieux interagir avec le système d'exploitation. Ainsi, vous pouvez demander à Copilot de vider la Corbeille de Windows, de vous indiquer l'état de la batterie, de vous montrer les réseaux Wi-Fi disponibles ou encore de vous afficher votre adresse IP.

Il peut également être utilisé pour gérer certaines fonctionnalités liées à l'accessibilité : activer le narrateur, activer les sous-titres en direct, ou encore changer la taille du texte.

À cela s'ajoutent d'autres possibilités, dont celles-ci :

• Basculer vers un thème sombre ou un thème lumineux
• Activer le Bluetooth.
• Activer la fonction "ne pas déranger".
• Faire une capture d'écran.
• Régler le volume, à le modifier ou à le mettre en sourdine.
• Démarrer une application.
• Demander de l'aide si une fonctionnalité du PC ne fonctionne pas correctement : Audio, Windows Update, Appareil photo, Bluetooth, Imprimante, Réseau, etc.

Ceci pourrait s'avérer utile si ces "ordres" peuvent être transmis à Copilot par l'intermédiaire de la commande vocale. S'il faut écrire les consignes, c'est moins utile : autant régler le volume soi-même plutôt que de demander à Copilot de le faire.... D'autant plus que pour ce cas précis, il y a bien souvent des raccourcis sur les claviers.

Qu'en pensez-vous ?

The post Windows 11 : Copilot peut s’appuyer sur Power Automate pour automatiser des tâches first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons utiliser Microsoft Intune pour déployer le navigateur Google Chrome sur des appareils Windows 10 et Windows 11. Pour cela, nous allons utiliser le package MSI de Google Chrome mis à disposition par Google lui-même.

• Voir la vidéo sur YouTube

Précédemment, nous avions vu comment déployer une autre application au format MSI : 7-Zip. Si vous souhaitez en savoir plus sur le déploiement des Applications métiers, Line-of-business app ou encore LOB app, vous pouvez consulter l'article ci-dessous :

• Comment déployer une "Application métier" au format MSI avec Intune ?

Pour rappel, la fonction de déploiement d'une application métier sur les appareils Windows proposée par Intune prend en charge les formats de fichiers suivants : .msi, .appx, .appxbundle, .msix et .msixbundle.

II. Télécharger le package MSI de Google Chrome

La première étape consiste à télécharger le package MSI de Google Chrome puisqu'il va nous permettre de déployer l'application sur les appareils Windows 10 et Windows 11.

Vous pourrez trouver le package MSI de Google Chrome grâce au lien ci-dessous. Choisissez le canal "Stable", puis le type de fichier "MSI" et l'architecture "64 bits" avant de cliquer sur le bouton "Télécharger". Il s'agit d'un paquet d'installation complet (pas un installeur qui récupère les sources sur Internet).

• Télécharger Google Chrome

Suite au téléchargement, vous obtenez un fichier d'une centaine de méga-octets nommé "googlechromestandaloneenterprise64.msi". Pour l'installer silencieusement, voici la commande à exécuter :

googlechromestandaloneenterprise64.msi /quiet

Nous allons préciser ce commutateur lors de la création de l'application sur l'interface Intune. D'ailleurs, nous allons pouvoir passer sur le portail Intune dès maintenant...

III. Créer une application métier dans Intune

Connectez-vous le portail d'administration d'Intune et créez une nouvelle application métier :

• intune.microsoft.com

A. Sélectionner le package MSI

Une fois connecté au portail Intune, naviguez sur l'interface de cette façon :

1 - Cliquez sur "Applications", puis "Windows".

2 - Cliquez sur le bouton "Ajouter".

3 - Un panneau latéral s'ouvre. Choisissez "Application métier" comme type d'application.

4 - Cliquez sur "Sélectionner".

À l'étape suivante :

1 - Cliquez sur le lien "Sélectionner un fichier de package d'application".

2 - Chargez le package MSI de Google Chrome.

3 - Cliquez sur "OK".

B. Informations sur l'application

L'étape "Informations sur l'application" sert à personnaliser le déploiement de l'application. Au-delà de pouvoir personnaliser le nom et la description, nous devons répondre à un ensemble de "questions".

Concernant le "Contexte d'installation d'application", cette application sera installée au niveau de la machine et sera disponible pour tous les utilisateurs. Comme nous pouvons le constater dans le cas de Chrome, cette option peut être grisée (avec une valeur prédéfinie).

L'option "Ignorer la version de l'application" doit être définie sur "Oui" pour Google Chrome. Ainsi, on s'assure qu'Intune gérera correctement le fait que cette application bénéficie des mises à jour automatique. Sinon, le navigateur risque de se réinstaller "en boucle".

Enfin, pour l'option "Arguments de ligne de commande", nous devons préciser le commutateur permettant d'effectuer une installation silencieuse, soit "/quiet" pour Google Chrome.

Ce qui donne :

Cliquez sur "Suivant".

C. Affectations

Pour finir, affectez l'application Google Chrome aux appareils ou aux utilisateurs de votre choix, selon vos besoins. Comme pour les applications au format EXE, nous pouvons rendre cette application obligatoire, la proposer pour les appareils inscrits via le portail d'entreprise ou déclencher la désinstallation. Dans cet exemple, tous les appareils sont sélectionnés, car il s'agit d'un Lab.

Poursuivez jusqu'à la fin et finalisez la création de l'application.

D. Finaliser la création de l'application

Lorsque vous finalisez la création de l'application, le package MSI est chargé sur Microsoft Intune. Ceci peut prendre un peu de temps en fonction de votre débit et de la taille du package.

Il ne reste plus qu'à tester sur un appareil Windows.

IV. Tester le déploiement de l'application

Dans cet exemple, un appareil sous Windows 11 est utilisé pour vérifier le bon fonctionnement de la stratégie Intune. Après une synchronisation, l'application Google Chrome est bien visible sur l'appareil :

Du côté du portail Microsoft Intune, l'état du déploiement de l'application sur cet appareil remonte également :

V. Conclusion

Si vous suivez rigoureusement ce tutoriel, vous allez pouvoir déployer le navigateur Google Chrome sur les machines Windows 10 et Windows 11 de votre parc informatique qui sont inscrites dans Intune.

The post Intune – Comment déployer Google Chrome sur Windows ? first appeared on IT-Connect.

Si vous utilisez VMware vSphere et que VMware Enhanced Authentication Plug-in (EAP) est installé sur votre machine, vous devez le désinstaller dès que possible : il contient deux failles de sécurité qui ne seront pas corrigées par VMware, car c'est un composant en fin de vie. Faisons le point.

VMware a mis en ligne un nouveau bulletin de sécurité pour deux vulnérabilités présentes dans le plugin "VMware Enhanced Authentication". Il s'agit d'un logiciel qui s'installe sur Windows et qui permet de bénéficier d'une authentification transparente sur la console de gestion de vSphere, en s'appuyant sur l'authentification Windows et la fonctionnalité de carte à puce de Windows.

Il est encore utilisé aujourd'hui par des administrateurs systèmes, bien qu'il soit obsolète et en fin de vie depuis mars 2021, suite à la sortie de VMware vCenter Server 7.0 Update 2. "VMware prévoit d'interrompre la prise en charge de l'authentification de session Windows (SSPI) utilisée dans le cadre de l'Enhanced Authentication Plug-in, de la prise en charge des cartes à puce et de RSA SecurID pour vCenter Server.", précise le journal des modifications de cette version.

VMware Enhanced Authentication Plug-in : CVE-2024-22245 et CVE-2024-22250

Le nouveau bulletin de sécurité de VMware fait référence à ces deux vulnérabilités :

• CVE-2024-22245 :

Il s'agit d'une vulnérabilité critique associée à un score CVSS de 9.6 sur 10. Elle peut être utilisée pour relayer des tickets de service Kerberos. VMware précise qu'un attaquant pourrait un utilisateur cible en "demandant et en relayant des tickets de service pour des Service Principal Names (SPN) arbitraires d'Active Directory".

• CVE-2024-22250 :

Il s'agit d'une vulnérabilité importante associée à un score CVSS de 7.8 sur 10 et qui va permettre d'effectuer une élévation de privilèges. Elle peut être exploitée par un attaquant qui dispose déjà d'un accès local non privilégié sur une machine Windows. Grâce à cette vulnérabilité, il peut détourner une session EAP privilégiée lorsqu'elle est initiée par un utilisateur de domaine privilégié sur le même système.

Comment se protéger ?

Il n'y a pas et il n'y aura pas de correctif pour ces deux vulnérabilités. VMware invite les administrateurs systèmes à ne plus utiliser l'EAP, ce qui signifie qu'il faut désinstaller le plugin de votre navigateur et/ou l'application pour Windows associée à un service. Ceci fait référence à "VMware Enhanced Authentication Plug-in 6.7.0" et "VMware Plug-in Service".

Pour vous accompagner dans cette démarche, VMware a mis en ligne un nouvel article de support avec des instructions. En fait, vous pouvez utiliser l'interface graphique de Windows pour désinstaller les applications (méthode classique) ou utiliser les commandes PowerShell suivantes :

# VMware Enhanced Authentication Plug-in 6.7.0
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
# VMware Plug-in Service
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()

Si vous ne pouvez pas faire la désinstallation dans l'immédiat, VMware vous encourage à arrêter et désactiver le service. Voici les commandes fournies :

Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"

Pour finir, je tiens à préciser que le composant VMware Enhanced Authentication n'est pas installé par défaut, y compris sur le serveur VMware vCenter.

Si vous avez des interrogations, vous pouvez commenter cet article ou vous référer à la documentation de VMware.

Source

The post Si vous utilisez ce plugin d’authentification VMware, vous devez le désinstaller dès maintenant ! first appeared on IT-Connect.