Cisco a corrigé des failles de sécurité critiques dans ses routeurs VPN de la gamme Small Business. En exploitant ces vulnérabilités, un attaquant non authentifié peut exécuter des commandes à distance sur le routeur et déclencher un déni de service (DoS).
Tout d'abord, il faut savoir que ces deux failles de sécurité sont identifiées avec les références CVE-2022-20842 et CVE-2022-20827. Ces vulnérabilités ont été découvertes par des chercheurs en sécurité de chez IoT Inspector, de chez Chaitin et de l'équipe CLP. Elles se situent dans les interfaces de gestion Web des routeurs, au niveau de la fonction qui sert à mettre à jour la base de données de filtrage Web, à cause d'une validation insuffisante des données en entrée.
D'après Cisco, l'exploitation de ces deux failles de sécurité passe par une requête HTTP spécialement conçue et qui est envoyée à destination du routeur. Cette requête HTTP est exécutée à distance et ne nécessite pas d'être authentifiée, par contre, elle va permettre aux attaquants "d'exécuter du code arbitraire en tant que super-utilisateur sur le système d'exploitation ou de provoquer le redémarrage de l'appareil, ce qui entraîne un déni de service". Dans les deux cas, il est question de l'exécution de commandes avec les privilèges "root" sur le système basé sur Linux et la seule condition d'exploitation est de pouvoir joindre l'interface de gestion du routeur vulnérable.
Alors, quels sont les appareils Cisco concernés par ces deux failles de sécurité ? Cette liste des routeurs affectés comprend les routeurs VPN Cisco des séries RV160, RV260, RV340 et RV345 de la gamme Small Business, tout en sachant que la CVE-2022-20842 n'affecte que les deux derniers modèles. La liste détaillée est disponible sur le site de Cisco, avec le détail sur les versions de firmware.
La bonne nouvelle, c'est que Cisco a publié des mises à jour logicielles pour corriger les deux vulnérabilités donc si vous utilisez ces routeurs, vous savez ce qu'il vous reste à faire ! Autre bonne nouvelle, Cisco affirme ne pas avoir connaissance d'une exploitation active de ces vulnérabilités ni de l'existence d'exploits disponible publiquement.
Microsoft a publié de nouvelles versions de Windows 11 dans le canal Beta accessible par l'intermédiaire du programme Windows Insider et elles intègrent des améliorations afin d'être plus efficaces lorsqu'il s'agit de bloquer les attaques par ransomware.
Au sein des versions 22621.450 et 22622.450 de Windows 11, Microsoft Defender for Endpoint devient plus performant pour détecter et intercepter les attaques avancées, notamment basées sur un ransomware. Amanda Langowski et Brandon LeBlanc de Microsoft précisent : "Nous avons amélioré la capacité de Microsoft Defender for Endpoint à identifier et à intercepter les ransomwares et les attaques avancées", comme on peut le lire dans la publication relative à ces nouvelles versions. La petite subtilité entre ces deux versions, c'est que dans la version 22621.450, ces nouveautés sont désactivées par défaut.
Pour le moment, Microsoft n'a pas donné d'informations supplémentaires sur les améliorations apportées donc il faut se satisfaire de cette simple mention dans la liste des nouveautés.
Par ailleurs, ces nouvelles versions apportent d'autres améliorations, notamment :
Amélioration de la réplication du stockage au travers des connexions WAN avec une bande passante faible ou encombrée.
Compression des fichiers indépendamment de leur taille, si vous avez configuré la compression SMB.
Résolution de l'erreur 0x80070026 qui se produit lors de la copie de fichiers à partir de lecteurs réseau et provoquant le blocage de Microsoft Edge lors de l'utilisation du mode IE.
La sécurité de l'Active Directory est un véritable enjeu pour les entreprises et il n'est pas forcément simple de garder un œil sur l'état général de son annuaire Active Directory sans utiliser des outils adaptés. Fort heureusement, ces outils existent, que ce soit pour surveiller l'activité de l'Active Directory ou pour l'auditer comme nous l'avons vu récemment avec PingCastle.
Aujourd'hui, je vais vous présenter un autre outil gratuit pour auditer l'Active Directory : Purple Knight, édité par l'entreprise Semperis. Ce logiciel s'utilise gratuitement et il n'y a pas de commercialisation de licences, car Semperis commercialise un autre produit : Semperis Directory Services Protector (DSP). Dans cet article, je m'intéresse à l'audit de l'Active Directory, mais ce logiciel est capable d'auditer Azure Active Directory également.
Environ 100 points liés à la sécurité de l'Active Directory sont vérifiés par Purple Knight, aussi bien sur la sécurité des comptes, la délégation Active Directory, les stratégies de groupe, l'infrastructure Active Directory en elle-même, que les options liées à Kerberos.
II. Télécharger et installer Purple Knight
Pour télécharger Purple Knight, il est nécessaire de compléter un formulaire sur le site officiel afin de recevoir un e-mail avec un lien de téléchargement. Contrairement à PingCastle, il faut fournir quelques informations pour télécharger Purple Knight. Rendez-vous sur cette page :
Personnellement, j'ai reçu l'e-mail avec le lien de téléchargement dans la foulée après avoir complété le formulaire. On obtient une archive ZIP d'environ 100 Mo. Le contenu de cette archive ZIP doit être extrait sur votre machine. On obtient ceci :
Les deux PDF font office de documentation sur l'utilisation du logiciel et le répertoire "Scripts" contient un ensemble de scripts PowerShell signés que l'outil va exécuter pour réaliser son audit :
III. Lancer un audit avec Purple Knight
Pour lancer un audit avec Purple Knight, c'est tout simple : il faut exécuter le fichier "PurpleKnight.exe". Un assistant s'ouvre. Commençons par accepter les conditions d'utilisation avant de poursuivre.
La seconde étape consiste à sélectionner l'environnement cible, à auditer donc. Ici, c'est l'Active Directory du domaine "it-connect.local" qui va nous intéresser, donc il faut cocher la case à côté de "Active Directory" puis cliquer sur le bouton "Select" pour sélectionner le domaine. On peut sélectionner plusieurs domaines. Quand c'est fait, on peut cliquer sur "Next".
La troisième étape consiste à sélectionner les éléments à analyser, au cas par cas ou par catégorie. Pour que l'audit soit complet, il vaut mieux tout sélectionner afin d'avoir un résultat pertinent qui reflète réellement l'état actuel de votre annuaire Active Directory.
Nous pouvons voir que, sous chaque catégorie, il y a la liste des éléments qui seront évalués. Il faut cliquer sur "Run tests" pour démarrer l'audit.
L'audit en lui-même est rapide et ne nécessite que 1 ou 2 minutes pour vérifier environ 100 points différents.
Quand l'audit est terminé, l'idéal est de cliquer sur "View report" pour afficher le rapport HTML dans un navigateur. Ce même rapport peut être exporté au format PDF ou au format CSV, comme le montre le bouton "Save as" en bas de l'interface.
Passons à la prochaine étape où nous allons nous intéresser au rapport en lui-même.
IV. Interpréter le rapport d'audit
C'est l'heure du verdict : nous allons parcourir le rapport d'audit pour voir quelles sont les faiblesses de notre Active Directory relevée par Purple Knight.
En ce qui me concerne, l'Active Directory de mon lab a obtenu la lettre B et le score de 88%. Ici, plus le score est élevé, mieux c'est !
Ce qui m'intéresse dans un premier temps, c'est le résultat pour la ligne "IOEs found", 15 dans mon cas. En fait, IOE signifie Indicators of Exposure (Indicateurs d'exposition) et cela correspond au nombre de règles pour lesquelles mon Active Directory n'est pas conforme aux recommandations.
En descendant dans la page, nous pouvons ceux qui sont critiques et qu'il faut traiter en priorité. En cliquant sur le lien "Read More" on est envoyé directement à la section du rapport qui donne des détails techniques sur la règle, mais aussi les éléments de l'Active Directory concernés.
Toujours un peu plus bas dans le rapport, il y a un score par catégorie cette fois-ci. Sur son site, Semperis précise : "Le score global moyen de Purple Knight est de 61 %, la sécurité de Kerberos étant en moyenne de 43 % et celle de Group Policy de 58 %.", ce qui vous permettra de vous situer. En naviguant dans le menu à gauche du rapport, on peut parcourir chaque section et voir l'ensemble des points vérifiés avec le résultat associé.
Selon les résultats et le contenu du rapport, il conviendra d'analyser chaque point afin de mettre un plan d'action pour y remédier. Selon votre score initial, fixez-vous l'objectif d'atteindre un score minimum de 90% même si l'idéal c'est bien sûr 100%.
A chaque fois, différentes informations sont fournies comme le niveau de sévérité, une description, la probabilité de compromission en exploitant cette faiblesse, des détails sur les éléments de votre Active Directory concernés par la règle, ainsi que des informations sur les étapes à réaliser pour résoudre ce défaut de sécurité.
La règle ci-dessous m'indique que j'ai un compte administrateur sur mon Active Directory qui est actif (utilisable, disons), mais qui n'a pas été utilisé depuis longtemps.
Le compte en question, nommé "wapt.wads", est listé par l'outil pour m'aider à résoudre le problème. Son emplacement dans l'annuaire est indiqué, tout comme la date de dernière connexion.
Après avoir résolu le problème, l'élément passe en vert (bien sûr, il faut relancer une analyse) :
Ce qui est plaisant avec Purple Knight, c'est qu'il fait le lien entre les points vérifiés et les recommandations du MITRE et de l'ANSSI. Du coup, si l'on prend l'exemple de l'ANSSI, chaque élément vérifié à un "ANSSI ID", par exemple "vuln1_user_accounts_dormant", que l'on peut retrouver dans le guide "Point de contrôle de l'Active Directory" de l'ANSSI disponible ici. C'est très pratique, car Purple Knight permet de voir rapidement si notre Active Directory respecte les recommandations de l'ANSSI.
Enfin, sachez que vous pouvez retrouver l'ensemble de vos rapports d'audit dans le répertoire "Output" de Purple Knight :
V. Conclusion
Pour auditer l'Active Directory, Purple Knight est une très bonne solution complémentaire à Ping Castle. Même s'il y a des règles communes, les éléments sont présentés différemment donc cela peut vous aider à mieux comprendre certains points à corriger. Les deux outils étant gratuits, il me semble pertinent d'auditer son annuaire Active Directory avec les deux outils d'autant plus que les scans s'effectuent rapidement.
Pour terminer, voici une liste de tutoriels qui pourront vous aider à corriger certains points :
Microsoft vient de lancer un nouveau service de sécurité baptisé "Microsoft Defender Experts for Hunting" à destination des clients Microsoft 365 Defender. Quel est son objectif ?
Annoncé en mai dernier, le service Defender Experts for Hunting permet aux entreprises d'obtenir de l'aide supplémentaire lorsqu'une menace est présente sur un terminal de l'entreprise. Dans le cas présent, l'entreprise paie les experts en sécurité de Microsoft pour obtenir une aide supplémentaire dans le but de se débarrasser de la menace détectée. Cela s'applique sur les machines, sur Office 365, sur les applications hébergées dans le Cloud et les services d'identité.
Dans le cadre d'une sollicitation, les experts de Microsoft utiliseront les données de Defender pour enquêter sur les menaces et fournir aux clients des instructions de remédiation. Vasu Jakkal, vice-président de Microsoft chargé de la sécurité, affirme : "Nos experts enquêteront sur tout ce qu'ils trouveront et vous transmettront les informations sur l'alerte et les instructions de remédiation afin que vous puissiez réagir rapidement". Microsoft sera là également pour vous fournir des recommandations spécifiques "pour vous aider à comprendre et à améliorer la sécurité."
Le service Defender Experts for Hunting en quelques points :
Recherche et analyse des menaces - Exposer les menaces avancées, identifier la portée et l'impact des activités malveillantes
Notifications des experts Defender - Les notifications s'affichent comme des incidents dans Microsoft 365 Defender pour fournir des informations spécifiques sur la portée, la méthode d'entrée et les instructions de remédiation.
Experts à la demande - Sélectionnez "Demander aux experts Defender" dans le portail Microsoft 365 Defender pour obtenir des conseils d'experts sur les menaces auxquelles votre organisation est confrontée.
Analyse par Intelligence Artificielle
Rapports - Intègre les dernières menaces
En fait, Defender Experts for Hunting fait partie d'une gamme de trois nouveaux services introduits sous la marque Microsoft Security Experts. Voici les services inclus :
Comment profiter de Microsoft Defender Experts for Hunting ? Et bien, ce service est vendu séparément des autres produits Microsoft 365 Defender et si l'achat vous intéresse, il faut compléter ce formulaire. Pour en savoir plus, vous pouvez regarder la documentation de Microsoft.
Sur Amazon, le disque SSD M.2 NVMe Crucial P5 Plus avec une capacité de 1 To est en réduction ! Son prix tombe à 109,99 euros : ce qui est une baisse de prix intéressante, si vous recherchez un SSD NVMe !
Ce disque SSD NVMe est nettement plus performant que les disques avec une interface SATA III 6Gb/s. Ici, on est sur un modèle avec une interface PCIe 4.0 et on parle d'une vitesse de lecture de 6600 Mo/s et une vitesse d'écriture de 5 000 Mo/s . Un modèle performant à un bon prix, c'est une bonne opportunité pour celui qui cherche à s'équiper.
Il s'installe dans un PC ou un NAS, à condition d'avoir un port adéquat, et pour les gamers, sachez que ce modèle est compatible avec les consoles PS5. Enfin, ce disque SSD NVMe bénéficie d'une garantie de 5 ans par le fabricant Crucial.
Note : même si les sites officiels sont rarement les moins chers, il est actuellement affiché à 178,79 euros sur le site de Crucial.
Les autres bons plans du jour sur Amazon
Pour le reste, voici quelques offres sympas sur Amazon pour s'équiper :
Disque SSD NVMe Crucial P2 (CT2000P2SSD8) en 2 To (moins performant que le modèle présenté ci-dessus) : 147,99 euros au lieu de 174 euros - Voir l'offre
Souris sans-fil Logitech MX Anywhere 2S : 35,50 euros au lieu de 52 euros - Voir l'offre
