Apple a déployé un nouveau correctif pour macOS dans le but de corriger une vulnérabilité dans la fonction Gatekeeper ! En exploitant cette faille de sécurité, un attaquant peut contourner ce mécanisme de sécurité et faire en sorte que l'utilisateur exécute une application malveillante sur son Mac. Faisons le point.

La fonctionnalité Gatekeeper

Avant de parler de cette vulnérabilité, quelques rappels sur l'utilité de la fonction Gatekeeper de macOS. L'objectif de Gatekeeper est de s'assurer qu'il n'y a que les logiciels de confiance qui puissent être exécutés sur votre Mac. Pour cela, toutes les applications de l'App Store sont révisées et celles provenant d'Internet doivent être signées par un développeur approuvé par Apple. Dans le cas où le processus de validation échoue, une alerte s'affiche à l'écran pour avertir l'utilisateur d'un potentiel danger.

Pour effectuer cette vérification, le système s'appuie sur l'attribut com.apple.quarantine qui fonctionne dans le même principe que l'attribut Mark Of The Web (MOTW) sur Windows.

Apple détaille cette fonctionnalité sur son site Internet.

La vulnérabilité Achilles

Cette découverte est à mettre au crédit de Microsoft, et plus particulièrement du chercheur en sécurité Jonathan Bar Or, qui a découvert cette faille de sécurité surnommée Achilles et associée à la référence CVE-2022-42821.

La faille Achilles permet de contourner le filtre Gatekeeper grâce à l'utilisation d'une archive ZIP spécialement conçue, au sein de laquelle l'attaquant peut inclure son logiciel malveillant. Grâce à cette vulnérabilité, la charge malveillante est exécutée sur macOS au lieu d'être bloquée par Gatekeeper.

Microsoft précise également que la fonctionnalité Lockdown Mode introduite dans macOS Ventura ne protège pas contre ce type d'exploit. L'équipe Security Threat Intelligence ajoute : "Les utilisateurs finaux doivent appliquer le correctif quel que soit le statut de la fonction Lockdown Mode".

Le 13 décembre 2022, Apple a mis en ligne des correctifs pour macOS afin de combler cette faille de sécurité. Cela s'applique à macOS 13 Ventura, macOS 12.6.2 Monterey, et macOS 1.7.2 Big Sur. Désormais, vous devez passer par la case mise à jour sur votre macOS, comme les utilisateurs de Windows d'ailleurs puisque le Patch Tuesday de Décembre 2022 est disponible depuis la semaine dernière également.

Source

L'article Apple macOS : cette faille dans Gatekeeper autorise l’exécution de logiciels malveillants est disponible sur IT-Connect : IT-Connect.

Des cybercriminels ont mis en ligne un paquet Python malveillant correspondant à SentinelOne, dont l'objectif est clair : dérober les données des développeurs. Faisons le point sur cette nouvelle menace.

Découvert par la société ReversingLabs, cette nouvelle menace cible particulièrement les développeurs. Il est légitime de se demander pourquoi ? Et bien, car il s'agit d'un paquet malveillant qui prétend être un client SDK légitime de SentinelOne, alors que ce n'est pas le cas.

Pour éviter d'éveiller les soupçons, ce paquet Python offre bien la fonctionnalité attendue : accéder facilement à l'API de SentinelOne à partir d'un autre projet. Cependant, les cybercriminels l'ont modifié de manière à intégrer un Cheval de Troie dont l'objectif est de voler les données des ordinateurs compromis.

Une fois en place, le fichier malveillant "api.py" génère clairement une activité malveillante puisqu'il charge les données de la machine locale vers un serveur distant correspondant à l'adresse IP "54[.]254[.]189[.]27". Parmi les données ciblées, on peut citer : les clés SSH, les fichiers ".gitconfig", les fichiers hosts, les historiques de saisies dans les terminaux (Bash, Zsh), des informations de configuration AWS, etc.

Pour qu'il soit facilement installable et pour que le piège soit complet, les pirates informatiques l'ont mis en ligne sur le dépôt PyPI, où l'on retrouve des centaines de milliers de paquets Python. Il a été mis en ligne la première fois le 11 décembre 2022, ce qui est assez récemment. Puis, il a été mis à jour 20 fois en quelques jours dans le but d'améliorer ses fonctionnalités malveillantes, d'après les chercheurs en sécurité de ReversingLabs. On peut imaginer que c'est aussi un moyen de montrer que le projet est actif. Encore une fois, on est clairement sur une campagne de type typosquatting comme Mickaël vous l'expliquait dans un précédent article.

Depuis, la société ReversingLabs a pu remonter l'information à l'éditeur SentinelOne et signaler le paquet malveillant à PyPi, ce qui a conduit à la suppression du paquet. En quelques jours, toutes les versions publiées par les cybercriminels ont reçu plus de 1 000 téléchargements sur PyPI ! Malheureusement, cela pourrait être préjudiciable pour les entreprises concernées dans les semaines et mois à venir...!

Source

L'article Ce paquet malveillant SentinelOne veut s’en prendre aux données des développeurs est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans ce tutoriel aux allures d'astuce, nous allons voir comment obtenir l'adresse IP publique à partir de la ligne de commande Linux, ou à partir du terminal si vous préférez. Il est très simple d'obtenir l'adresse IP configurée sur une machine avec la commande "ip address", mais généralement ce n'est pas l'adresse IP publique (sauf sur un VPS, par exemple).

Si la machine est connectée derrière un routeur où il y a du NAT, c'est l'adresse IP publique du routeur (interface WAN) qui sera utilisée pour naviguer sur Internet, et elle n'est pas configurée directement sur la machine. Pour obtenir cette information en ligne de commande, on a plusieurs solutions possibles...

II. Utilisation de wget

Sous Linux, la commande wget sert à télécharger des fichiers, mais aussi à récupérer le contenu d'une page Web (en jouant avec les options). Ainsi, on va pouvoir exploiter les options de wget pour récupérer l'adresse IP sur une page Web. Reste ensuite à identifier un site en ligne capable de nous retourner l'adresse IP publique, sans autre chose. Autrement dit, une page brute avec notre adresse IP publique.

La bonne nouvelle, c'est qu'il existe différents sites comme https://api.ipify.org et https://ipecho.net/plain.

On va pouvoir récupérer l'adresse IP publique avec cette commande :

wget -qO- https://api.ipify.org

Sauf que pour que ce soit plus propre au niveau de la sortie, on va compléter de cette façon :

wget -qO- https://api.ipify.org | xargs echo

Ce qui donne :

III. Utilisation de cURL

Cet article est fait pour cURL, qui, lui aussi, est très pratique pour effectuer des requêtes sur différents protocoles. Ainsi, on va pouvoir appliquer le même principe qu'avec wget, ce qui donne :

curl -s https://api.ipify.org | xargs echo

On aurait pu le faire aussi avec un autre site que j'ai évoqué précédemment :

curl -s https://ipecho.net/plain | xargs echo

IV. Stocker l'adresse IP publique dans une variable

Si l'on couple l'utilisation de la commande wget ou cURL avec Bash, on peut très bien stocker l'information dans une variable pour l'exploiter par la suite... Voici un exemple avec la variable nommée "IpPublique".

IpPublique=$(curl -s https://api.ipify.org)
echo "Mon adresse IP publique est : $IpPublique"

Ce qui donne :

V. Conclusion

Vous êtes désormais capable de récupérer votre adresse IP publique en ligne de commande sous Linux, que ce soit sous Debian, Ubuntu, Rocky Linux, Fedora, etc... Il existe d'autres méthodes basées sur les DNS, notamment avec les commandes dig et host.

L'article Linux : comment obtenir son adresse IP publique en ligne de commande ? est disponible sur IT-Connect : IT-Connect.

Aïe ! Tout ne semble pas se passer comme prévu pour Microsoft avec les mises à jour de décembre 2022 ! La firme américaine a ajouté un nouveau problème connu sur son site et celui-ci concerne Windows 10 ! La dernière mise à jour peut générer un écran bleu de la mort avec le code d'erreur 0xc000021a. Que se passe-t-il ?

Pas de répits pour les administrateurs système en cette fin d'année 2022 puisque les mises à jour de décembre sont à l'origine d'un nouveau bug. Sur son site, Microsoft précise : "Après l'installation de la KB5021233, certains périphériques Windows peuvent se lancer avec une erreur (0xc000021a) sur un écran bleu." - Il s'avère que suite à l'installation de cette mise à jour, il peut y avoir un décalage dans les versions du fichier hidparse.sys situé dans "C:/Windows/System32" et "C:/Windows/System32/drivers", ce qui peut faire échouer la validation de la signature lors du nettoyage.

• Tout savoir sur le Patch Tuesday - Décembre 2022

Pour corriger ce bug, il n'est pas question de supprimer le fichier dans "C:/Windows/System32" puisque Microsoft recommande de démarrer la machine en mode de récupération, dans le but d'ouvrir une invite de commandes, et d'exécuter la commande suivante :

xcopy C:\windows\system32\drivers\hidparse.sys C:\windows\system32\hidparse.sys

Cette commande va permettre de copier la version du fichier "hidparse.sys" située dans "C:\Windows\system32\drivers\" vers "C:\Windows\system32\". Le fait d'effectuer cette manipulation en mode hors ligne est probablement nécessaire, car il s'agit d'un fichier système.

Microsoft précise que ce bug n'affecte pas Windows Server, ni Windows 11, mais les versions suivantes de Windows 10 :

• Windows 10, version 22H2
• Windows 10, version 21H2
• Windows 10, version 21H1
• Windows 10, version 20H2

Il n'est pas précisé si ce bug se produit sur des machines avec des configurations matérielles spécifiques, mais ce fichier fait probablement référence à un pilote HID pour Windows. La firme de Redmond travaille sur une solution définitive, mais en attendant, il convient d'appliquer la solution de contournement évoquée ci-dessus si vous êtes concernés.

Avez-vous rencontré ce problème ?

L'article Windows 10 : la mise à jour de décembre 2022 à l’origine d’un écran bleu de la mort ! est disponible sur IT-Connect : IT-Connect.

Microsoft a pris la décision de renforcer les liens entre deux logiciels phares de son écosystème : Outlook et Teams, puisque le chat de Teams va être intégré directement à la messagerie Outlook. Cela n'est pas sans rappeler ce que l'on peut retrouver au sein de l'interface de Gmail, côté Google.

Microsoft Teams est devenu tellement important et populaire dans les entreprises et dans les établissements scolaires que Microsoft veut continuer de le mettre en avant, de l'intégrer au mieux de ses principaux outils. Précédemment, l'entreprise américaine avait intégré Teams à Windows 11 par l'intermédiaire de la fonction "Conversation".

D'après la feuille de route de Microsoft au sujet de Microsoft 365, Teams devrait être intégré à Outlook d'ici mars 2023. Ce qui n'est pas clair, c'est si cette intégration concerne la version Web d'Outlook et/ou le client de messagerie Outlook que l'on installe par l'intermédiaire du pack Office.

Ce qui est sûr, c'est que dans un premier temps, en février 2023, les messages Teams seront disponibles au travers de la recherche Web d'Outlook. Mais, pour l'intégration du chat au sein d'Outlook, il faudra patienter jusqu'au mois de mars. Par ailleurs, Microsoft envisage d'intégrer un système de suggestion de fichiers basé sur l'IA directement dans les conversations. Pour le moment, il y a encore des zones d'ombres au sujet de cette intégration, et on peut se demander aussi s'il sera possible de la désactiver ou si ce sera obligatoire à partir du moment où l'on est connecté à son compte Microsoft 365.

Au final, en termes d'expérience utilisateur, cela devrait être plutôt sympa et pratique, mais il faut tout de même espérer que cette intégration n'alourdisse pas trop le client de messagerie Outlook... D'autant plus quand on sait que Teams n'est pas l'application la plus légère...

Qu'en pensez-vous ? N'hésitez pas à donner votre avis en postant un commentaire !

Source

L'article Début 2023, Outlook va accueillir le chat de Microsoft Teams ! est disponible sur IT-Connect : IT-Connect.