Microsoft a mis en ligne les nouvelles mises à jour pour Windows 10 afin de corriger des bugs et des failles de sécurité sur les versions encore prises en charge. Ainsi, les mises à jour KB5016616 et KB5016623 sont disponibles au téléchargement sur les machines Windows 10 !

Sur son site, Microsoft met en avant plusieurs changements suivants associés à ces mises à jour, dont voici la liste :

• Corrige un problème qui affecte l'impression de fichiers
• Corrige un problème connu qui peut empêcher l'affichage de l'indicateur de saisie et de la barre de langue dans la zone de notification. Ce problème affecte les appareils sur lesquels plusieurs langues sont installées.
• Ajoute une fonctionnalité qui améliore l'expérience lors d'une mise à niveau du système d'exploitation.
• Corrige un problème pouvant entraîner l'échec de la lecture de clips vidéo dans les jeux utilisant DX12.
• Corrige un problème qui affecte certains jeux qui s'appuient sur l'API XAudio pour jouer des effets sonores.
• Corrige un problème qui affecte la hauteur de la box de recherche, lorsque vous utilisez plusieurs écrans ayant des résolutions différentes sur une même machine.
• Corrige un problème qui empêche l'ouverture de certains outils de dépannage.

Ce mois-ci, ce sont les correctifs de sécurité qui seront particulièrement importante puisque Microsoft a corrigé des failles dans le Spouleur d'impression, les services d'accès distants via les protocoles PPTP et SSTP, ainsi que l'outil de diagnostic et de support MSDT. Concernant l'outil MSDT, il faut savoir que Microsoft a corrigé une faille de sécurité zero-day nommée "DogWalk" et exploitée dans le cadre d'attaques. En espérant qu'il n'y ait pas d'effets de bords sur le fonctionnement des impressions et des accès VPN.

Pour rappel, cette mise à jour n'est pas disponible pour Windows 10 version 2004 ni pour Windows 10 version 1909 puisque le support a pris fin. En résumé, cela nous donne :

• Windows 10 versions 20H2, 21H1 et 21H2 : KB5016616
• Windows 10 version 2004 : Fin du support
• Windows 10 version 1909 : Fin du support
• Windows 10 version 1903 : Fin du support
• Windows 10 version 1809 : KB5016623
• Windows 10 version 1803 : Fin du support
• Windows 10 version 1709 : Fin du support
• Windows 10 version 1703 : Fin du support
• Windows 10 version 1607 : KB5016622
• Windows 10 version 1507 : KB5016639

Ces mises à jour sont disponible via Windows Update, WSUS, le catalogue Microsoft Update, etc... Retrouvez également notre article sur le Patch Tuesday d'août 2022 qui est riche en correctif de sécurité puisque Microsoft a corrigé 121 failles de sécurité.

Source

The post Mise à jour Windows 10 d’août 2022 : KB5016616 et KB5016623, quoi de neuf ? first appeared on IT-Connect.

Pour ce mois d'août 2022, Microsoft a mis en ligne un Patch Tuesday conséquent puisque l'entreprise américaine a corrigé 121 failles de sécurité ainsi que deux failles zero-day dont une faille exploitée nommée "DogWalk". Faisons le point.

Parmi ces 121 vulnérabilités, 17 sont considérés comme étant critiques, car elles permettent l'exécution de code à distance ou l'élévation de privilèges. Les produits et services concernés par les failles critiques sont :

• Active Directory (ADDS) - CVE-2022-34691

Cette vulnérabilité touche l'ensemble des versions de Windows et voici ce que nous dit Microsoft à son sujet : "Un utilisateur authentifié pourrait manipuler les attributs des comptes d'ordinateur qu'il possède ou gère, et acquérir un certificat auprès des services de certificats d'Active Directory qui permettrait l'élévation des privilèges sur le système."

• Azure Batch Node Agent - CVE-2022-33646
• Microsoft Exchange Server - CVE-2022-21980, CVE-2022-24516 et CVE-2022-24477
• Accès à distance PPTP - CVE-2022-35752, CVE-2022-35753, CVE-2022-35744 et CVE-2022-30133
• Accès à distance SSTP - CVE-2022-35745, CVE-2022-35766, CVE-2022-35794, CVE-2022-34714, CVE-2022-34702 et CVE-2022-35767
• Hyper-V - CVE-2022-34696
• Noyau Windows - CVE-2022-35804

En ce qui concerne les autres produits concernés, et sans parler de Microsoft Edge avec ses 20 vulnérabilités corrigées qui viennent s'additionner à ce total de 121, voici la liste : .NET Core, Azure Real Time Operating System, Azure Site Recovery, Azure Sphere, le pilote Bluetooth de Microsoft, Microsoft Office dont Excel et Outlook, l'outil de diagnostic MSDT, Visual Studio, Windows Defender Credential Guard, IIS, Windows Kerberos, Windows Secure Boot, le Spouleur d'impression Windows ou encore Windows Storage Spaces Direct. Le mois dernier, Microsoft a déjà corrigé 32 failles de sécurité dans Azure Site Recovery, et ce mois-ci, la firme de Redmond en a corrigé 34 supplémentaires !

Deux failles zero-day corrigées dont DogWalk

Comme je le disais en introduction, le Patch Tuesday de ce mois-ci corrige deux vulnérabilités zero-day, dont une qui serait activement exploitée dans le cadre de cyberattaques.

Commençons par la vulnérabilité non exploitée par les pirates informatiques. Il s'agit de la faille avec la référence CVE-2022-30134, associée à Microsoft Exchange et de type "divulgation d'informations". Sur son site, Microsoft précise : "Un attaquant qui réussit à exploiter cette vulnérabilité peut lire des messages électroniques ciblés.", donc on peut comprendre que l'attaquent peut accéder à certains e-mails. Voici les versions d'Exchange concernées :

• Microsoft Exchange Server 2019 Cumulative Update 12
• Microsoft Exchange Server 2019 Cumulative Update 11
• Microsoft Exchange Server 2016 Cumulative Update 23
• Microsoft Exchange Server 2016 Cumulative Update 22
• Microsoft Exchange Server 2013 Cumulative Update 23

Parlons maintenant de la vulnérabilité connue sous le nom de "DogWalk" et associée à la référence CVE-2022-34713. Comme la vulnérabilité Follina, elle se situe dans l'outil de support de Microsoft nommé "MSDT" (Microsoft Support Diagnostic Tool) et toutes les versions de Windows (desktop et server) sont affectées ! D'ailleurs, ces travaux sont liés, car le chercheur en sécurité Imre Rad a découvert cette vulnérabilité en janvier 2020, mais Microsoft a décidé de ne pas la corriger après avoir estimé qu'il ne s'agissait pas d'une faille de sécurité. Néanmoins, après la découverte de la vulnérabilité Follina dans MSDT (via Microsoft Office), les chercheurs en sécurité ont mis la pression à Microsoft pour que la vulnérabilité DogWalk soit également corrigée ! C'est désormais chose faite !

A vos mises à jour !

Source

The post Patch Tuesday – Août 2022 : Microsoft corrige 121 failles de sécurité et 2 zero-day first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment installer Windows Terminal sur Windows Server 2022 pour profiter de ce très bon gestionnaire de consoles sur un environnement serveur. Attention toutefois, cela fonctionne uniquement lorsque l'environnement de Bureau est installé (et pas en mode core) et seulement avec Windows Server 2022.

L'installation de Windows Terminal doit être effectuée manuellement avec des lignes de commande puisque le Microsoft Store n'est pas présent sur Windows Server et que, normalement, c'est le canal classique pour se procurer Windows Terminal. A l'exception de Windows 11 où c'est intégré au système.

Pour rappel, Windows Terminal est une application capable de gérer des consoles de différents types dans une même fenêtre, via un système d'onglets : Windows PowerShell, PowerShell, Invite de commandes, Azure Cloud Shell, SSH, etc.... Et l'application dispose de nombreuses options de personnalisation (ce qui n'est pas pour me déplaire).

II. Installation du package VCLibs

Avant de parler de l'installation de Windows Terminal, il est indispensable d'installer un prérequis : VCLibs, correspondant à une librairie C++. Sinon, vous allez obtenir un message d'erreur du style "0x80073D19" au moment d'installer Windows Terminal.

Pour télécharger le package VCLibs correspondant à votre version de Windows, rendez-vous sur cette page :

• Télécharger VCLibs

Ouvrez une console Windows PowerShell en tant qu'administrateur afin d'installer le package précédemment téléchargé avec la commande Add-AppxPackage.

cd C:\Users\Administrateur.IT-CONNECT\Downloads\
Add-AppxPackage -Path .\Microsoft.VCLibs.x64.14.00.Desktop.appx

Première étape validée. Passons à la seconde.

III. Installation du package Windows Terminal

Pour installer Windows Terminal sur Windows Server 2022, il faut télécharger le package d'installation de l'application. La bonne nouvelle, c'est que les packages sont disponibles sur GitHub directement sur le dépôt officiel.

• Télécharger Windows Terminal

Je vous encourage à télécharger la dernière version stable de Windows Terminal. Attention, en haut de la liste, ce sont les versions "Preview" qui s'affichent. Ensuite, récupérer la version qui mentionne "Win10" pour avoir un paquet d'installation complet. Finalement, le nom prend cette forme :

Microsoft.WindowsTerminal_Win10_<Version>_8wekyb3d8bbwe.msixbundle

À partir du moment où vous avez le package en votre possession, vous pouvez passer à l'installation toujours avec la commande Add-AppxPackage et sur le même principe que la commande précédente. Voici la commande à exécuter, en adaptant éventuellement le chemin :

Add-AppxPackage -Path .\Microsoft.WindowsTerminal_Win10_1.14.1861.0_8wekyb3d8bbwe.msixbundle

Désormais, l'application "Terminal" est visible sur votre serveur Windows Server 2022 !

Comme vous pouvez le voir ci-dessous, j'utilise bien Windows Terminal sur le dernier système Windows Server de Microsoft.

Profitez bien de l'application : elle fonctionne sur le même principe que sur un poste client sous Windows 10 ou Windows 11.

The post Installation de Windows Terminal sur Windows Server 2022 first appeared on IT-Connect.

L'organisation FIRST a publié le standard TLP 2.0, une nouvelle version du standard Traffic Light Protocol dont la première version est sortie il y a 5 ans. Mais au fait, c'est quoi ce standard ?

Dans le domaine de la sécurité informatique, le standard TLP est très populaire au sein des équipes de réponse à incident, car il a pour objectif d'assurer un échange d'informations sécurisé. En fait, ce standard oblige chaque personne qui transmet une information à associer une couleur à cette information. Bien sûr, on ne choisit pas une couleur au hasard, car il y a un véritable code couleur qui indique le niveau de la confidentialité de l'information. Autrement dit, c'est un moyen de savoir si l'information peut être rendue publique ou si elle doit être diffusée de manière plus restreinte.

Le protocole TLP s'applique aussi bien pour les solutions de messagerie (e-mail et chat) que pour les documents et les échanges d'informations automatisés. A chaque fois, il y a des règles à respecter pour mettre en évidence le label de chaque information.

Dans son communiqué, l'organisation FIRST (Forum of Incident Response and Security Teams) précise : "TLP fournit un schéma simple et intuitif pour indiquer avec qui, des informations potentiellement sensibles, peuvent être partagées." - Pour que le système fonctionne, il convient que les personnes à l'origine de l'information et les personnes destinataires soient en mesure de comprendre correctement le code couleur.

De TLP 1.0 à TLP 2.0, qu'est-ce qu'il y a de nouveau ?

Le code couleur évolue légèrement puisque l'étiquette "TLP:WHITE" est remplacée par "TLP:CLEAR" et qu'il y a une nouvelle étiquette disponible intitulée "TLP:AMBER+STRICT". Cette nouvelle étiquette permet de restreindre la diffusion de l'information uniquement en interne au sein de l'entreprise.

• TLP:RED = Uniquement pour des destinataires individuels, aucune autre divulgation.
• TLP:AMBRE = Divulgation limitée, les destinataires ne peuvent diffuser ces informations qu'en cas de besoin au sein de leur organisation et/ou avec leurs clients.
• TLP:AMBRE+STRICT = Restreins le partage à l'organisation uniquement.
• TLP:GREEN = Divulgation limitée, les destinataires peuvent diffuser cette information au sein de leur communauté.
• TLP:CLEAR = Les destinataires peuvent diffuser cette information au monde entier, il n'y a pas de limite de divulgation.

Ces étiquettes sont évolutives dans le sens où, si un destinataire a besoin de partager l'information plus largement que l'autorise l'étiquette TLP qui l'accompagne, il doit demander (et obtenir) l'autorisation explicite de la source.

Source

The post Cybersécurité : le standard TLP 2.0 est là, 5 ans après la première version first appeared on IT-Connect.

Un nouveau botnet surnommé RapperBot s'en prend aux serveurs Linux en effectuant des attaques par brute force sur les accès SSH ! Son objectif est de compromettre la machine pour obtenir un accès persistant.

Les chercheurs en sécurité de FortiGuard Labs ont découvert ce nouveau malware qui semble actif depuis la mi-juin 2022 et qui serait basé sur le cheval de Troie nommé Mirai, même s'il est différent dans son comportement. Suite à cette découverte, les chercheurs en sécurité l'ont traqué pendant 1 mois et demi, et il s'avère que ce nouveau botnet a utilisé plus de 3 500 adresses IP uniques, réparties dans le monde, pour effectuer des attaques brute force à destination de l'accès SSH de serveurs Linux, plutôt orienté IoT.

La menace RapperBot est un fork de Mirai, et même s'il réutilise certaines parties du code source de Mirai, il a des caractéristiques différentes. Le rapport de Fortinet précise : "Contrairement à la majorité des variantes de Mirai, qui effectuent des attaques par brute force sur les accès Telnet dans le but de trouver un accès avec un mot de passe par défaut ou un mot de passe faible, RapperBot scanne et attaque exclusivement les accès SSH qui acceptent les connexions par mot de passe."

Toujours d'après ce même rapport de Fortinet : "La majeure partie du code source du malware correspond à l'implémentation d'un client SSH 2.0 qui peut se connecter et attaquer par brute force tout serveur SSH prenant en charge l'échange de clés Diffie-Hellmann avec des clés de 768 ou 2048 bits, et le chiffrement des données à l'aide d'AES128-CTR."

Que se passe-t-il sur les machines compromises ?

Alors qu'au début le dictionnaire de mots de passe était codé en dur dans le binaire du malware, il s'avère que désormais cette liste est téléchargée à partir du serveur Command & Control. Dans le cas où une attaque réussit, le malware renvoie au serveur C2 les identifiants qui ont fonctionné. Lorsqu'une machine est compromise, RapperBot modifie les clés SSH du serveur Linux de manière à être persistant même si le mot de passe SSH venait à être modifié. Même si le malware est supprimé, les cybercriminels pourraient continuer d'accéder au serveur Linux grâce à la modification du fichier "~/.ssh/authorized_keys" de l'hôte.

Ce n'est pas tout ! En effet, le malware ajoute l'utilisateur root "suhelper" sur les machines compromises et il crée une tâche Cron qui crée à nouveau l'utilisateur toutes les heures au cas où un administrateur découvre le compte et le supprime.

Même si la majorité des botnets effectuent des attaques DDoS, ce n'est pas si évident que cela avec RapperBot. Ses capacités à effectuer des attaques DDoS seraient limitées. Les chercheurs en sécurité évoquent une autre piste : les cybercriminels pourraient revendre les accès persistants à d'autres cybercriminels spécialistes des attaques par ransomwares. Pour le moment, il n'y a aucune preuve de cela et les chercheurs n'ont pas eu de cas où une autre charge malveillante était exécutée sur le serveur. Disons que le malware se niche simplement sur les hôtes Linux compromis et qu'il reste en sommeil, même s'il semble tout de même essayer de compromettre d'autres machines.

Un rapport détaillé est disponible sur le site de Fortinet. où il y a également la liste d'une partie des adresses IP malveillantes.

• Tutoriel - Recommandations pour la sécurisation de l'accès SSH

Source

The post RapperBot, un nouveau botnet Linux qui s’attaque aux accès SSH ! first appeared on IT-Connect.