Une extension pour Google Chrome nommée "Internet Download Manager" et téléchargée par plus de 200 000 utilisateurs intègre un adware !

L'extension "Internet Download Manager" est disponible dans le Chrome Web Store depuis au moins juin 2019, si l'on se réfère aux avis publiés par les utilisateurs, et elle est installable dans Google Chrome, mais aussi d'autres navigateurs basés sur Chromium.

En soi, l'extension intègre réellement un gestionnaire de téléchargements donc elle remplit sa mission. Par contre, elle ne s'arrête pas là et elle vient clairement polluer le navigateur de l'utilisateur. En effet, voici quelques actions indésirables constatées :

• Ouverture de nouveaux onglets vers des sites de spam
• Modification du moteur de recherche par défaut (pour mettre smartwebfinder[.]com)
• Invitation abusive pour inciter l'utilisateur à télécharger d'autres programmes

Il existe bien un logiciel légitime nommé "Internet Download Manager" qui s'installe sur Windows, dont l'éditeur est l'entreprise Tonec. Ce même éditeur propose des extensions officielles pour Firefox et Chrome, sauf que ces extensions ne s'appellent pas "Internet Download Manager" mais "IDM Integration Module" ! Dans sa FAQ, Tonec précise que toutes les autres extensions "Internet Download Manager" que l'on peut trouver sur le Chrome Web Store sont fausses !

En ce qui concerne l'extension malveillante, elle est maintenue par les propriétaires du site "Puupnewsapp" qui vous font une promesse avec cette extension : augmenter la vitesse de téléchargement de 500% grâce à ce super logiciel ! Ce qui est étonnant, c'est qu'en plus du téléchargement de l'extension, les utilisateurs sont invités à téléchargés un exécutable et un fichier nommé "Windows.zip".

hxxps://www.puupnewsapp[.]com/idman638build25.exe
hxxps://www.puupnewsapp[.]com/windows.zip

L'exécutable correspond au logiciel Internet Download Manager, et il s'avère valide : il est même signé par Tonec, l'éditeur officiel. Quant à l'archive ZIP, elle contient des fichiers NodeJS et l'objectif est de modifier les paramètres du Registre correspondant à Chrome et Firefox.

Quand on regarde les commentaires de cette extension, on peut voir que certains utilisateurs ont compris qu'il s'agissait d'une extension malveillante. Même si certains utilisateurs affirment que tout va bien avec cette extension, ce sont peut-être de faux commentaires. Dans tous les cas, les faits sont là : cette extension compte plus de 200 000 installations, et c'est déjà beaucoup trop.

Cette extension a été signalée à Google et à Tonec : reste à savoir quel sort lui sera réservé, car pour le moment, elle est toujours en ligne.

Source

The post Google Chrome : une fausse extension « Internet Download Manager » compte plus de 200 000 installations ! first appeared on IT-Connect.

Cette semaine, les utilisateurs de la solution Plex ont reçu un e-mail pour les informer d'une potentielle fuite de données, et que par précaution, il était préférable de procéder à un changement de mot de passe. Que s'est-il passé ?

Pour rappel, Plex est une plateforme de streaming qui donne accès à des films et de la musique, mais qui sert aussi à gérer sa propre médiathèque personnelle. En effet, Plex peut s'installer sur un ordinateur ou sur la majorité des NAS pour vous permettre de créer votre propre mediacenter. Personnellement, je l'utilise sur un NAS !

Ce mercredi 24 août 2022, j'ai reçu un e-mail de la part de Plex où il est précisé en guise d'introduction : "Nous tenons à vous informer qu'un incident impliquant les informations de votre compte Plex a eu lieu hier. Même si nous pensons que l'impact réel de cet incident est limité, nous voulons nous assurer que vous disposez des bonnes informations et des bons outils pour assurer la sécurité de votre compte."

En s'intéressant plus en détail au contenu de ce communiqué, on apprend qu'une activité suspecte sur une base de données a été découverte. D'après Plex : "il semble qu'un tiers ait pu accéder à un sous-ensemble limité de données comprenant des e-mails, des noms d'utilisateur et des mots de passe chiffrés". En prenant en considération le fait qu'il pourrait y avoir une fuite des identifiants et mots de passe, Plex recommande à tous les utilisateurs de procéder à la réinitialisation du mot de passe de leur compte.

Au-delà des identifiants, on peut s'interroger sur les données de paiement, car Plex propose des fonctionnalités payantes accessibles au travers d'un Plex Pass qui permet de devenir un membre premium. À ce sujet, Plex tient à rassurer ses clients : "Les cartes de crédit et autres données de paiement ne sont pas stockées sur nos serveurs, elles n'étaient pas vulnérables dans cet incident."

Même si l'impact est limité, pour reprendre les termes utilisés dans le communiqué de Plex, il est difficile de mesurer clairement l'impact de cette potentielle fuite de données : combien d'utilisateurs sont impactés ? Quoi qu'il en soit, pensez à changer votre mot de passe dès maintenant et à activer l'authentification multifacteurs sur votre compte.

• Réinitialiser son mot de passe Plex
• Activer le MFA sur son compte Plex

The post Fuite de données : Plex demande à ses utilisateurs de changer leur mot de passe ! first appeared on IT-Connect.

Il se passe quelque chose entre la solution VMware Carbon Black et les serveurs Windows Server ainsi que les postes de travail Windows : plusieurs dizaines d'entreprises se plaignent que les machines plantent, en affichant un écran bleu de la mort (BSoD). Que se passe-t-il ?

VMware Carbon Black est une solution de sécurité (EDR) qui s'installe sur les postes de travail et les serveurs (endpoint).

Depuis hier vers 16h00, à savoir mardi 23 août 2022, de nombreuses entreprises reportent des problèmes avec ce logiciel et les machines sous Windows. Plus de 50 entreprises semblent touchées par ce problème qui a des conséquences importantes : il fait littéralement planter Windows, en générant un écran bleu de la mort avec le message "PFN_LIST_CORRUPT.". Un administrateur système, dont l'entreprise est impactée, affirme qu'il a plus de 500 terminaux qui plantent à répétition avec des écrans BSoD !

D'après les remontées, plusieurs versions de Windows sont impactées par ce problème : Windows Server 2012 R2 (x64), Windows Server 2016 (x64), et Windows Server 2019 (x64), sans oublier Windows 10 (x64) pour la partie desktop. Il s'avère que c'est la version 3.7.0.1253 de VMware Carbon Black qui est à l'origine de ces bugs à répétition.

De son côté, VMware a mené des investigations suite à ces différentes alertes émises par les clients. L'entreprise américaine a procédé à la suppression des règles défectueuses et à l'origine ces erreurs. Comme solution de contournement temporaire, VMware recommande de mettre les endpoints en mode Bypass via la console Carbon Black Cloud afin que les appareils impactés démarrent et prennent en compte la suppression de la règle.

De son côté, VMware a fait la déclaration suivante au site BleepingComputer : "VMware Carbon Black est au courant d'un problème affectant un nombre limité de terminaux de clients, où certaines anciennes versions de capteurs ont été affectées par une mise à jour de nos capacités de prévention comportementale. Le problème a été identifié et corrigé, et VMware Carbon Black travaille avec les clients concernés." - Désormais, tout semble rentrer dans l'ordre petit à petit pour les entreprises impactées, mais on peut imaginer à quel point ce problème peut être impactant (et mettre une pression de dingue aux équipes IT).

Source

The post VMware Carbon Black à l’origine d’écran bleus de la mort sur Windows Server et Windows 10 first appeared on IT-Connect.

Amazon propose une offre très intéressante sur un kit Ring Alarm de 2ème génération comprenant 6 appareils différents, au prix de 179,99 euros au lieu de 249,99 euros. Soit une remise de près de 30% sur ce pack.

Ce kit Ring Alarm V2 intègre les éléments suivants : une base (alarme), un pavé numérique, un capteur de contact, un détecteur de mouvements, un amplificateur de portée qui sert à étendre le réseau Z-Wave et une caméra Ring Indoor Cam offerte en supplément. Pour un kit de démarrage et sécuriser son logement, c'est particulièrement intéressant. Il y a également des offres sur des kits Ring Alarm avec un plus grand nombre d'appareils. Quoi qu'il en soit, c'est une solution évolutive donc vous pouvez acquérir de nouveaux capteurs, de nouvelles caméras, voire même une sirène extérieure par la suite.

La marque Ring (d'Amazon) est présente sur le marché depuis plusieurs années et les appareils sont aboutis. Sans surprise, ils sont compatibles avec l'assistant vocal Amazon Alexa, et pilotables à distance à partir de son smartphone. Pour bénéficier de certaines fonctionnalités (voir le site de Ring), il faut savoir qu'il est nécessaire de souscrire à un abonnement à partir de 10 euros par mois (peu importe le nombre d'appareils), même si ce n'est pas une obligation.

Pour en savoir plus ou acheter ce kit, voici le lien vers l'offre :

• Amazon - Kit Ring Alarm

The post Bon plan : sécurisez votre logement avec ce kit Ring Alarm (6 pièces) à 180 euros ! first appeared on IT-Connect.

I. Présentation

Dans un tutoriel précédent, nous avons découvert la vulnérabilité "Broken owner" de l'Active Directory liée aux délégations d’administration et de manipulations que nous effectuons au quotidien sur les objets de l'annuaire Active Directory.

Nous allons poursuivre l'aventure et voir dans cet article comment corriger cette vulnérabilité en ajustant les propriétaires des objets, puis nous verrons dans un troisième article, qui clôturera cette série, comment éviter que cela se produise.

• Premier article : Sécurité de l'Active Directory : attention aux objets avec un propriétaire inadapté

II. Retour sur la vulnérabilité "Broken owner"

A. Rappel

D'après l'article précédent, cette vulnérabilité se produit lorsqu’un objet est créé dans l’AD par un compte à non-privilège (à l’issue d’une délégation) ou créé par un compte à privilège qui ne l’est plus (après le retrait de ce dernier des groupes à privilèges).

B. Recommandations

D'après l’ANSSI et Microsoft, il est recommandé de mettre en place un groupe à privilèges comme propriétaire des objets, parmi ceux-ci: Administrateurs du domaine, Administrateur  de l’entreprise, Administrateurs. Il s'agit d'éléments natifs, que vous connaissez probablement.

C. Pourquoi faut-il corriger le propriétaire ?

Il est indispensable de corriger l’objet afin d'ajuster le propriétaire dans l'objectif d'atténuer la surface d’attaque et les chemins d'accès. Pour rappel, une personne malveillante ne cherche pas absolument à être admin du domaine, mais plutôt à compromettre les données ou les extraire. De ce fait, garder les objets sans propriétaire (owner) ou avec un owner sensible expose votre entreprise à des risques de sécurité permanent, en plus d'alourdir la tâche de l’équipe SOC.

Dans le schéma ci-dessous, après la correction, la personne malveillante ne pourra plus se procurer les objets dont le HelpDesk est propriétaire, ce qui l'empêchera de s'octroyer les droits et d'accéder aux ressources de l’objet (Utilisateur RSI ou Secrétaire dans notre cas).

D. Comment corriger le propriétaire de l'objet ? 

Deux méthodes s’offrent à nous : faire le changement manuellement à partir de l’onglet "Sécurité" et choisir un groupe à privilège par défaut (par exemple "Admin du domaine"), ou utiliser un script. Cette seconde option sera traitée dans un second temps, dans cet article.

Voici un exemple de modification sur le compte "Florian". Actuellement le propriétaire est "helpdesk1".

On le change pour définir le groupe "Admins du domaine" à la place.

Note : Si vous choisissez un groupe étant membre d’un groupe à privilèges, mais qu’il n’est pas natif (exemple "GG_admins" membre de admins du domaine), la correction sur les objets Owner ne se fera pas automatiquement, et c’est ce groupe qui résidera comme Owner. Dans le cas où il ne fera plus partie du groupe à privilèges ("Admin du domaine"), les objets seront une nouvelle fois vulnérables.

Après correction, nous constatons qu’il n’est plus possible à l’utilisateur "HelpDesk1" de faire des modifications sur l'objet "Florian". Les ACLs sont grisées :

E. Les Exceptions

Avant de faire tout changement, prenez le temps d’analyser le résultat du premier script, dont on a déjà parlé dans l'article précédent. En effet, certaines applications manipulent des objets AD au cours de leur cycle de vie, devenant ainsi propriétaire de certains. Le changement de propriétaire sur les objets dont elles sont propriétaires pourrait les empêcher de réaliser totalement leurs tâches.

Pour cette raison, il convient d'auditer votre configuration avant de réaliser la correction.

F. Persistance

Bien que la correction constitue un premier remède, cela n’est pas suffisant. Si le propriétaire s'est déjà procuré les droits "Contrôle total" (CT) ou de modification des permissions sur un objet, la correction n’apportera pas grande chose au niveau de la sécurité. Cette subtilité sera abordée dans le prochain article.

III. Corriger les propriétaires avec un script PowerShell

Pour automatiser la correction des propriétaires des objets, nous avons développé un script simple d’utilisation (et open source) pour nous faciliter la tâche ! Voici le lien du script PowerShell : Script CABOO (Correct Broken Owner)

Le projet porte le nom de CABOO (Correct-AD-Broken-Owner-Object). Pour l'utiliser, il vous suffit de le télécharger et de l'ouvrir avec PowerShell ISE ou VSCode.

L'exécution de ce script nécessite les prérequis ci-dessous :

• Une machine membre du domaine
• Un compte utilisateur membre du groupe "Administrateur du domaine"

Pourquoi faut-il l'exécuter en mode administrateur ? Cela se justifie par le fait que les deux commandes pour remplacer le propriétaire ne passent pas avec les droits standards.

$ownerinfo.PsBase.ObjectSecurity.SetOwner($NewOwner)
$ownerinfo.PsBase.CommitChanges()

Le script utilise le même principe que le script d’audit SCABOO.

A. Corriger les propriétaires sur une OU

Lancez le script et choisissez l’option "2". Ensuite indiquez votre OU et valider par OK.

1 - Sélectionnez l’OU

2 - Choisissez le nouveau propriétaire (pour suivre les recommandations, cochez "Admins du domaine")

3 - Vérifiez que le bon groupe est sélectionné, puis appuyez sur OK

Le traitement est alors lancé ! En cas d’erreur, cela sera affiché sur le résultat final ou en cours du scan. De toute façon, il est possible d'arrêter le script à tout moment.

Une fois l'exécution terminée, une page HTML s'affiche en guise de rapport pour indiquer indiquer les objets changés, ainsi que l’ancien propriétaire. Le nouveau, vous le connaissez.

B. Exclure un utilisateur ou un groupe

Si vous voulez exclure un compte ou un groupe du processus de correction, il suffit d’ajouter ce dernier à la variable "$skipdefaultgroups" présente à la ligne 50 du script. Indiquez bien le nom du groupe, sans le nom du domaine.

Exemple : pour ne pas corriger les objets ayant "SCCM$" ou "Exchange" comme propriétaire, faites ceci :

C. Scanner sur un type d’objet

Si votre OU contient des utilisateurs, groupes et machines, et que vous ne souhaitez faire la correction que sur les utilisateurs, il suffit de commenter la ligne "$newowner" sur le type que vous souhaitez ignorer. Dans notre cas, nous allons ignorer le traitement sur les types "OU" et "groupes".

Si vous obtenez une erreur lors du traitement, c’est que le script n’est pas lancé en mode admin. Sinon, lisez le code d’erreur afficher sur la console PowerShell ISE (ou VSCode) lors du traitement. Dans notre cas "error" signifie que le traitement n’est pas abouti, et aucune modification n’a été faite. Vous pouvez contribuer à ce script ou le modifier à votre convenance !

Rendez-vous prochainement pour la suite de cet article, où nous verrons comment éviter de se retrouver avec des propriétaires inadaptés sur les objets de l'Active Directory.

The post Active Directory : comment corriger les propriétaires inadaptés sur les objets ? first appeared on IT-Connect.