Les deux versions de Windows 11, à savoir Windows 11 21H2 et Windows 11 22H2 ont le droit à une mise à jour pour terminer l'année, à l'occasion du Patch Tuesday de décembre 2022. Les références associées par Microsoft à ces mises à jour sont les suivantes : KB5021255 et KB5021234.

Ces mises à jour vont permettre de corriger les failles de sécurité dans Windows, mais également de corriger des bugs et des problèmes de performances. Au total, on parle d'un ensemble de 29 bugs corrigés, sans parler des vulnérabilités.

Les changements mis en avant par Microsoft sont les suivants :

• Cette mise à jour résout un problème connu qui pourrait affecter le Gestionnaire des tâches. Il se peut que certains éléments de l'interface utilisateur s'affichent dans des couleurs inattendues. Certaines parties de l'interface utilisateur peuvent ne pas être lisibles. Ce problème peut se produire si l'option "Choisissez votre mode" est définie sur "Personnalisé" dans la section Personnalisation > Couleurs des Paramètres.
• Les abonnés à Microsoft OneDrive verront désormais des alertes de stockage sur la page Systèmes de l'application Paramètres. Ces alertes apparaissent lorsque vous êtes proche de votre limite de stockage. Vous pouvez également gérer votre stockage et en acheter davantage si nécessaire.
• Il est désormais plus facile de voir le montant total de la capacité de stockage de vos abonnements OneDrive. Le stockage total apparaît sur la page Comptes dans l'application Paramètres.
• Windows Spotlight est désormais accessible aux côtés des thèmes dans les options de personnalisation, ce qui facilite l'accès à cette fonctionnalité.
• Correction d'un problème qui empêchait certaines applications modernes de s'ouvrir (issues du Microsoft Store).
• Correction d'un problème qui pouvait empêcher certaines applications de répondre lorsque vous utilisez la boîte de dialogue Ouvrir un fichier.
• Si vous avez remarqué que l'Explorateur de fichiers a cessé de fonctionner lorsque vous fermez les menus contextuels et les éléments de menu, Microsoft a résolu ce problème.

Pour en savoir plus sur l'ensemble des changements, rendez-vous sur le site de Microsoft.

Ces mises à jour sont disponibles dès maintenant via les canaux habituels comme le Windows Update. Voici la KB associée à chaque version :

• Windows 11 22H2 : KB5021255
• Windows 11 21H2 : KB5021234

Pour en savoir plus sur tous les correctifs de sécurité mis en ligne par Microsoft, lisez cet article dédié au Patch Tuesday de décembre 2022. Pour les mises à jour Windows 10, il y a également un article dédié (voir ici).

Source

L'article Mises à jour de Windows 11 de Décembre 2022 : KB5021255 et KB5021234, quoi de neuf ? est disponible sur IT-Connect : IT-Connect.

Microsoft a mis en ligne de nouvelles mises à jour pour Windows 10, les dernières de l'année 2022. Il est temps de regarder de plus près le contenu de ces mises à jour, tout en sachant que Windows 10 version 1909 et Windows 10 version 2004 n'ont plus le droit aux mises à jour.

Au-delà d'intégrer des correctifs de sécurité, cette mise à jour permet de corriger un ensemble de bugs. Voici les principaux changements mis en avant par la firme de Redmond :

• Cette mise à jour résout un problème qui affecte l'application Appareil photo. L'application cesse de répondre lorsque la mémoire est faible.
• La zone de recherche apparaît désormais, par défaut, dans la barre des tâches lorsque celle-ci se trouve en haut de votre écran ou lorsque vous activez le mode "petits icônes" de la barre des tâches. Vous pouvez utiliser la boîte de recherche pour découvrir des informations et effectuer des recherches sur votre PC et sur le Web directement à partir de votre barre des tâches. Pour configurer l'affichage de la recherche, cliquez avec le bouton droit de la souris sur la barre des tâches de votre écran principal et passez la souris sur Recherche.
• Simplifiez votre expérience de la barre des tâches ! Cortana n'est plus préintégré à votre barre des tâches par défaut. Toutefois, c'est possible de le réintégrer.
• Cette mise à jour résout un bug à l'origine d'échecs de mise à jour persistants pour le Microsoft Store.
• Cette mise à jour résout un problème qui affecte certaines imprimantes, dont les impressions sont mal alignées.

Pour en savoir plus sur tous les changements, vous pouvez consulter le site de Microsoft. Il y a aussi une information importante, c'est la fin du support de Windows 10 21H1 : cette version vient de recevoir sa dernière mise à jour, car le support a pris fin ce mardi 13 décembre 2022.

Windows 10 : les KB de Décembre 2022

Voici un résumé des mises à jour publiées :

• Windows 10 versions 20H2, 21H1, 21H2 et 22H2 :  KB5021233
• Windows 10 version 2004 : Fin du support
• Windows 10 version 1909 : Fin du support
• Windows 10 version 1903 : Fin du support
• Windows 10 version 1809 :  KB5021237
• Windows 10 version 1803 : Fin du support
• Windows 10 version 1709 : Fin du support
• Windows 10 version 1703 : Fin du support
• Windows 10 version 1607 : KB5021235
• Windows 10 version 1507 :  KB5021243

Pour en savoir plus sur tous les correctifs de sécurité mis en ligne par Microsoft, lisez cet article dédié au Patch Tuesday de décembre 2022.

Source

L'article Mises à jour Windows 10 de Décembre 2022 : KB5021233 et KB5021237, quoi de neuf ? est disponible sur IT-Connect : IT-Connect.

Microsoft a mis en ligne le dernier Patch Tuesday de l'année 2022 ! Pour ce mois de décembre, l'entreprise américaine a corrigé 49 failles de sécurité ainsi que deux failles zero-day dont une qui serait activement exploitée dans le cadre d'attaques. C'est l'heure de faire le point.

Dans ce Patch Tuesday, nous retrouvons des correctifs pour de nombreux produits et composants de Microsoft, notamment .NET Framework, le pilote Bluetooth de Windows, Dynamics, le composant Windows Graphics, OneNote, Outlook, Visio, SharePoint, la librairie Windows Codecs, Hyper-V, le noyau Windows, Windows PowerShell, le spouleur d'impression, SmartScreen, Windows Terminal ou encore Windows Subsystem for Linux.

Parmi ces 49 vulnérabilités, il y en a 6 qui sont considérées comme étant critiques et qui permettent une exécution de code à distance :

• Microsoft Dynamics : CVE-2022-41127
• Microsoft Office SharePoint : CVE-2022-44690 et CVE-2022-44693
• Windows PowerShell : CVE-2022-41076
• Windows SSTP : CVE-2022-44670 et CVE-2022-44676

En complément des vulnérabilités évoquées dans cet article, sachez que Microsoft a également corrigé 25 vulnérabilités dans le navigateur Edge le 5 décembre dernier.

Les deux vulnérabilités zero-day

Maintenant, parlons des deux vulnérabilités zero-day corrigées par Microsoft.

• CVE-2022-44698 - Windows SmartScreen (Mark-of-the-Web)

Découverte par Will Dormann, cette vulnérabilité affecte la fonctionnalité Windows SmartScreen et plus particulièrement la gestion du tag Mark-of-the-Web. Cela fait suite à la vulnérabilité corrigée le mois dernier par Microsoft, associée à la référence CVE-2022-41091, et pour laquelle Will Dormann avait trouvé un nouveau chemin d'exploitation.

Voici ce que précise Microsoft sur son site : "Un attaquant peut créer un fichier malveillant qui échappe aux défenses Mark of the Web (MOTW), ce qui entraîne une perte limitée de l'intégrité et de la disponibilité des fonctions de sécurité telles que Mode Protégé dans Microsoft Office, qui repose sur le marquage MOTW." - Ainsi, un attaquant peut créer un fichier JavaScript signé avec une signature malformée dans le but qu'il soit exécuté sur la machine, ce qui permet potentiellement d'installer un logiciel malveillant.

D'après les informations fournies par Microsoft, cette vulnérabilité est exploitée dans le cadre de cyberattaques, notamment par le groupe Magniber Ransomware. Toutes les versions de Windows à partir de Windows 10 et Windows Server 2016 sont affectées.

• CVE-2022-44710 - DirectX

Découverte par Luka Pribanić, cette faille de sécurité est connue publiquement mais elle n'est pas exploitée au sein d'attaques pour le moment. Microsoft estime que cette faille de sécurité est complexe à exploiter, mais si un attaquant réussie son attaque, il obtiendra les droits SYSTEM sur la machine locale. Cette vulnérabilité affecte uniquement Windows 11 22H2.

Restez connectés : des articles sur les mises à jour Windows 10 et Windows 11 seront mis en ligne dans la matinée !

Source

L'article Patch Tuesday – Décembre 2022 : 49 vulnérabilités et 2 zero-day corrigées par Microsoft est disponible sur IT-Connect : IT-Connect.

Un chercheur en sécurité de chez SafeBreach a découvert une vulnérabilité qui affecte plusieurs solutions de protection pour Windows ! En exploitant cette vulnérabilité, il est possible de faire en sorte que l'antivirus efface n'importe quel fichier de la machine, y compris un fichier système.

À l'occasion de l'événement Black Hat Europe, le chercheur en sécurité Or Yair, de l'entreprise SafeBreach, a dévoilé sa dernière trouvaille qui permet d'abuser du fonctionnement classique des antivirus. Quand un fichier malveillant est détecté par un antivirus, celui-ci est placé en quarantaine ou supprimé. Grâce à ce nouvel exploit, il est parvenu à faire en sorte que l'antivirus efface un fichier pourtant légitime ! Et voilà, votre antivirus prend la forme d'un wiper...!

En règle générale, l'antivirus détecte le fichier malveillant puis le supprime pour protéger l'utilisateur. Ici, l'objectif va être d'agir juste après la détection du fichier et avant qu'il ne soit supprimé dans le but de créer un lien symbolique vers un autre fichier dans le but de supprimer le fichier ciblé, et non le fichier détecté initialement. Autrement dit, il y a une opportunité entre le moment où la menace est détectée et le moment où est elle est supprimée.

Sur 11 solutions testées, 6 ont supprimé le mauvais fichier. Puisque l'antivirus dispose de privilèges élevés sur la machine locale, cette technique est tout à fait capable d'effacer un fichier système.

Des solutions populaires affectées

Cette nouvelle technique baptisée Aïkido fonctionne avec des solutions populaires : Microsoft Defender, Microsoft Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus et AVG Antivirus. A l'inverse, les solutions suivantes ne sont pas tombées dans le panneau : Palo Alto XDR, Cylance, CrowdStrike, McAfee et Bitdefender.

Désormais, les éditeurs ont fait le nécessaire pour que cette vulnérabilité ne puisse plus être exploitée donc nous vous encourageons à mettre à jour votre solution de sécurité afin de bénéficier de la dernière version.

Le rapport complet est disponible sur le site de SafeBreach.

Source

L'article Windows : 6 antivirus populaires détournés pour supprimer des fichiers légitimes est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à installer et configurer un serveur avec Grafana et VictoriaMetrics pour réaliser de la supervision de serveurs ! Dans un précédent tutoriel, je vous ai indiqué comment utiliser Grafana Cloud pour la supervision de vos serveurs. Cela étant, l'hébergement des données sont limitées aux US et la version gratuite ne permet pas de superviser plus de deux serveurs.

Toutefois, il ne faut pas oublier que ce que propose Grafana Cloud est avant tout une compilation d'outils open source tels que Prometheus, Grafana, Loki, etc. Il est donc tout à fait possible de monter son propre serveur de monitoring à l'aide de ces outils.

• Supervisez votre serveur rapidement avec Grafana Cloud

II. Les outils nécessaires

A. Grafana

Cet outil de visualisation n'est plus à présenter, il est en usage depuis un moment et se prête à plusieurs utilisations, allant de la supervision de flux réseau, monitoring de serveur et même suivi de la consommation de son compteur Linky ou les valeurs des cryptomonnaies !

Cet outil s'appuie sur des sources de données qui peuvent être d'autres outils open source comme InfluxDB ou encore Prometheus. Son système de requêtes intégré permet de parser les données récoltées et de les visualiser avec tout un tas de possibilités (histogrammes, courbes, camemberts, etc.) et de créer un tableau de bord avec les données importantes que nous aurons décidé d'afficher, ni plus, ni moins.

B. VictoriaMetrics

Prometheus à un défaut : le stockage de données importantes et à long terme. VictoriaMetrics vient combler ce manque. Il s'agit d'une base de données de séries temporelles de haute performance qui est conçue pour traiter de grandes quantités de données rapidement et efficacement. Elle est optimisée pour travailler avec des métriques et fournit un certain nombre de fonctionnalités qui la rendent bien adaptée au stockage et à l'analyse de données de séries temporelles.

Grâce à cela, nous allons pouvoir avoir un stockage sur une longue période, nous permettant d'analyser les données sur des plages plus longues. Le stockage est aussi optimisé, il utilise trois fois moins de place que Prometheus. Plusieurs tests indiquent aussi que les performances, notamment au niveau RAM sont meilleures, mais n'ayant jamais fait de benchmark, je ne peux l'affirmer.

La bonne nouvelle, c'est que VictoriaMetrics est compatible avec le format de Prometheus et peut donc être ajoutée en tant que source de données dans Grafana!

C. Grafana Agent

Dans le précédent tutoriel, je vous avais présenté cet outil qui permet de collecter automatiquement les métriques sur un serveur et de les envoyer à une instance Prometheus qui était hébergée dans le cloud. Nous allons réutiliser le même agent, mais cette fois-ci nous enverrons les métriques sur notre propre serveur.

III. Installation

Note : toutes les étapes qui vont suivre ont été réalisées sur Debian 11

Tout d'abord et comme d'habitude, une petite mise à jour de mon serveur tout neuf avant l'installation des paquets :

apt-get update && apt-get upgrade -y

Bien, maintenant, installons Grafana. Commençons par installer les outils nécessaires à l'ajout des dépôts :

apt-get install -y apt-transport-https software-properties-common wget

Ajoutons la clé des dépôts :

wget -q -O /usr/share/keyrings/grafana.key https://apt.grafana.com/gpg.key

Installons ensuite les dépôts :

echo "deb [signed-by=/usr/share/keyrings/grafana.key] https://apt.grafana.com stable main" | tee -a /etc/apt/sources.list.d/grafana.list

Il ne nous reste plus qu'à faire une mise à jour des paquets et à procéder à l'installation :

apt-get update && apt-get install -y grafana

Il faut maintenant démarrer le démon Grafana et faire en sorte qu'il démarre automatiquement :

systemctl daemon-reload
systemctl enable grafana-server
systemctl start grafana-server

Une fois l'installation terminée, vous devriez pouvoir vous connecter à l'interface web de Grafana à l'adresse http://ip_grafana:3000. Le mot de passe par défaut est "admin/admin" il faudra le changer à la première connexion.

Notre serveur de visualisation est maintenant prêt :

Bien, maintenant, installons VictoriaMetrics :

apt-get install -y victoria-metrics

Pour parfaire notre installation, nous allons modifier le comportement de VictoriaMetrics au démarrage. Pour cela, il faut modifier le fichier de systemd qui se trouve dans "/lib/systemd" :

nano /lib/systemd/system/victoria-metrics.service

Pour ma part, voici à quoi il ressemble :

[Unit]
Description=High-performance, cost-effective and scalable time series database, long-term remote storage for Prometheus
Documentation=https://victoriametrics.github.io/
After=network.target

[Service]
Type=simple
User=_victoria-metrics
LimitNOFILE=65536
LimitNPROC=32000
StartLimitBurst=5
StartLimitInterval=0
Restart=on-failure
RestartSec=1
EnvironmentFile=/etc/default/victoria-metrics
ExecStart=/usr/bin/victoria-metrics $ARGS

[Install]
WantedBy=multi-user.target

Je vais rajouter des arguments au lancement du programme qui vont modifier son comportement par défaut :

ExecStart=/usr/bin/victoria-metrics \
-storageDataPath=/var/lib/victoria-metrics-data \
-httpListenAddr=0.0.0.0:8428 \
-retentionPeriod=1 \
$ARGS \

Les explications :

• ExecStart : le lieu où est stocké le fichier binaire. Ne pas le modifier sauf si vous avez installé VM via les sources
• storageDataPath : le chemin du dossier de stockage, si vous ne l'avez pas crée à cet endroit, modifiez-le en conséquence
• httpListenAddress : l'adresse et le port d'écoute. Comme je veux envoyer des métriques depuis un autre serveur, j'écoute depuis toute IP. Je laisse le port par défaut, bien entendu, il peut être changé.
• retentionPeriod : comme son nom l'indique, la période de rétention des métriques. Cette valeur est donnée en mois donc ici, je conserve les données pendant 1 mois puis elles seront automatiquement supprimées, veillez donc à adapter ce nombre à votre usage. Je ne peux malheureusement pas vous donner une idée du volume à prévoir, mais 10Go me semble un minimum. Cela dépend en effet du nombre de serveurs monitorés et de ce que vous monitorez par serveur.
• $ARGS : dans le cas où je souhaiterais lancer le service avec d'autres arguments, je laisse cette variable

Une fois les modifications apportées, enregistrez le fichier. Il faut recharger la configuration de systemd vu qu'on a modifié un fichier de lancement :

systemctl daemon-reload

Puis, relancez le programme :

systemctl restart victoria-metrics

Pour tester son bon fonctionnement, nous allons faire une requête sur le port 8424 avec cURL sur l'API, ce qui nous assurera la réception des métriques :

curl http://localhost:8428/api/v1/query -d 'query={job=~".*"}'

Si tout fonctionne bien, vous devriez avoir ceci comme résultat :

{"status":"success","data":{"resultType":"vector","result":[]}}

IV. Envoi des données

Notre "pile" est prête, il ne lui reste plus qu'à recevoir des données à ingurgiter!

Pour cela, sur chaque serveur que vous souhaitez monitorer, récupérez et installez l'agent Grafana, que vous pouvez trouver ici : GitHub - Agent Grafana

Je vais faire l’exemple sur une machine Windows, pour une Linux ce sera sensiblement la même chose, les champs devront être modifiés en conséquence.

Une fois l'agent installé, le fichier de configuration se trouve dans "C:\Program Files\Grafana Agent\agent-config.yaml". Nous allons le modifier pour nos besoins :

Tout d'abord, la dernière partie :

integrations:
   windows_exporter:
     enabled: true

C'est ici que nous allons déclarer notre serveur, il faut donc rajouter, juste après la dernière ligne : prometheus_remote_write suivi de l'URL, ce qui donne pour moi :

integrations:
  windows_exporter:
    enabled: true
  prometheus_remote_write:
  - url: http://192.168.152.129:8428/api/v1/write

Bien entendu, remplacez l'IP par celle de votre serveur.

Note : le langage utilisé ici est du YAML qui est TRÈS sensible à l'indentation. Respectez donc bien les alignements, sinon, le service ne démarrera pas!

Ensuite, nous allons dire ce que nous devons envoyer en début de fichier. Par défaut, il enverra tout ce qui est classifié en "Warning", si vous voulez un monitoring complet, il faut basculer en "info" mais attention, cela augmentera la quantité de logs!

server:
  log_level: info

Enregistrez le fichier et relancez le service Grafana Agent. Pour vérifier que cela fonctionne, relancez la commande précédente :

curl http://localhost:8428/api/v1/query -d 'query={job=~".*"}'

Le terminal devrait vous afficher tout un tas d'informations, signe que les métriques arrivent bien.

Pour un serveur Linux, le fichier de configuration est quasiment identique, pour l'exemple, voici le mien :

integrations:
  node_exporter:
    enabled: true
  prometheus_remote_write:
  - basic_auth:
  url: http://ip_serveur/api/v1/write
  windows_exporter:
    enabled: false
prometheus:
  configs:
  - name: integrations
  global:
    scrape_interval: 15s
  wal_directory: /tmp/grafana-agent-wal
server:
http_listen_port: 12345

V. Visualisation dans Grafana

Nous allons ajouter la source de données dans Grafana afin de pouvoir travailler avec les métriques. Pour cela, sur la page d'accueil, cliquez sur "Add your first data source" :

Il faut choisir le type, pour rappel, ici nous utilisons une base Prometheus. Après avoir cliqué, les champs suivants doivent être renseignés :

• Name : le nom que vous souhaitez donner à votre source de données
• URL : l'adresse de votre serveur VictoriaMetrics. Si comme moi, c'est sur la même machine que Grafana, alors ce sera "https://localhost:8428"

C'est tout ! Cliquez sur "Save & test" en bas de page, vous devriez avoir un message de réussite.

Note : il est possible de demander une authentification afin que la source des métriques soit vérifiée. Je ne le présente pas ici pour ne pas alourdir le tuto, je laisse le soin aux personnes désireuses de mettre cela en place de suivre la documentation.

Bien, maintenant, cliquez sur l’icône en forme de boussole à gauche (Explore), vous arriverez sur une page ressemblant à celle-ci :

Cliquez sur "Select Metrics", vous devriez voir apparaître les métriques qui ont été collectées. Pour cet essai, nous allons afficher windows_cs_hostname et le formatage en tables :

Cliquez sur le bouton "Run Query" en haut à droite de la fenêtre, vous devriez voir apparaître les données telles que le nom de votre machine et votre domaine le cas échéant.

Super, votre monitoring fonctionne !

VI. Dashboard

Grâce aux commandes de requêtes, vous pourrez construire votre propre tableau de bord. Mais rassurez-vous, si vous voulez quelque chose de directement prêt à l'emploi, j'ai ce qu'il vous faut!

En effet, les dashboards Grafana peuvent être exportés et comme nous utilisons la même configuration que Grafana Cloud ... nous pouvons y récupérer nos dashboards!

Note : Il y a tout de même un mais... En effet, sur Grafana Cloud, pour les hôtes Windows, nous utilisons en plus de Prometheus, Loki, qui permet de récupérer plus de logs, comme il n'est pas présent, nous ne pourrons pas utiliser le dashboard qui s’appelle "Windows logs".

Vous n'avez pas de compte Grafana Cloud ? Pas grave, je vous mets les dashboards à disposition :

• Pour Windows : windows_dashboard
• Pour Linux : linux_dashboard

Les fichiers sont en format JSON, vous pouvez les importer dans Grafana en cliquant sur l'icône à droite qui ressemble à ceci :

Cliquez sur "Import" puis sur "Import JSON" et sélectionnez le fichier.

Dans notre exemple, pour Windows, voici le résultat :

VI. Conclusion

Dans ce tutoriel, nous avons vu comment déployer une pile Grafana+VictoriaMetrics pour créer son serveur de monitoring auto-hébergé. Celui-ci peut évidemment se déployer sur un serveur Cloud pour un monitoring multi-site. Attention toutefois à la sécurité dans ce cas-là, car il vous faudra ouvrir un port d'entrée pour les métriques, et celles-ci transitent en clair !

Cet outil est vraiment puissant, vous pouvez voir le détail de chaque requête sur les dashboard afin de voir comment elles sont créées, à partir de là, vous pouvez construire vos propres requêtes pour un tableau de bord à votre image !

L'article Installez Grafana et VictoriaMetrics pour superviser vos serveurs est disponible sur IT-Connect : IT-Connect.