Atlassian a corrigé une nouvelle faille de sécurité critique dans une application pour Confluence Server et Confluence Data Center qui pourrait permettre à un attaquant de s'authentifier à distance sur un serveur non protégé. Faisons le point.

Associée à la référence CVE-2022-26138, cette faille de sécurité est liée à des identifiants codés en dur pour un compte nommé "disabledsystemuser". Ce compte sert à aider les administrateurs pour migrer des données d'une app vers Confluence Cloud. L'app en question qui intègre ces identifiants en dur, c'est "Questions for Confluence" dans plusieurs versions 2.7.34, 2.7.35, et 3.0.2. À ce jour, et d'après les statistiques de la marketplace d'Atlassian, ce sont environ 8 000 serveurs qui utilisent cette application et qui sont donc vulnérables à cette vulnérabilité.

Dans son bulletin de sécurité, Atlassian affirme : "Le compte disabledsystemuser est créé avec un mot de passe codé en dur et est ajouté au groupe confluence-users, qui permet par défaut de visualiser et de modifier toutes les pages non restreintes de Confluence.". Autrement dit, ce compte est présent avec le même nom d'utilisateur et le même mot de passe sur toutes les instances. De ce fait, cela signifie que : "Un attaquant distant et non authentifié connaissant le mot de passe codé en dur pourrait exploiter cette situation pour se connecter à Confluence et accéder à toutes les pages auxquelles le groupe confluence-users a accès.".

Bien qu'il n'y ait aucune évidence que cette vulnérabilité est exploitée dans le cadre d'attaques, d'après l'analyse d'Atlassian, il est recommandé de mettre à jour votre instance dès que possible. Désinstaller l'application "Questions for Confluence" de son serveur Confluence ne suffit pas, et si vous ne pouvez pas patcher pour le moment, Confluence recommande de patcher ou de supprimer (ou désactiver) le compte "disabledsystemuser" (voir cette doc) pour s'en débarrasser et se protéger contre ce vecteur d'attaque.

Enfin, l'éditeur précise que vous pouvez savoir si vous êtes affecté par cette vulnérabilité, en vérifiant si vous avez un compte utilisateur actif avec ces informations :

• Utilisateur : disabledsystemuser
• Identifiant : disabledsystemuser
• Email : dontdeletethisuser@email.com

Pour rappel, le mois dernier Atlassian Confluence était concerné par une faille de sécurité zero-day.

Source

The post Atlassian corrige une faille de sécurité dans Confluence liée à des identifiants codés en dur first appeared on IT-Connect.

Microsoft a pris la décision de bloquer les macros VBA par défaut dans la suite Office : le déploiement de ce paramétrage est en cours, après l'avoir temporairement supprimé au début du mois de juillet à la suite des retours des utilisateurs.

Environ 15 jours après avoir pris la décision de ne plus bloquer les macros VBA dans Microsoft Office par défaut, la firme de Redmond a annoncé qu'elle commençait, une nouvelle fois, à bloquer les macros par défaut. En espérant que cette fois-ci ce soit définitif.

Pourquoi un nouveau revirement de situation ? Tout d'abord, il n'est pas surprenant dans le sens où Microsoft avait indiqué que ce blocage serait mis en place à un moment donné, même si l'entreprise était revenue sur sa décision.

Visiblement, ce nouveau changement intervient après que Microsoft ait amélioré sa documentation à destination des utilisateurs et des administrateurs sur le sujet du blocage des macros, et des options disponibles lorsqu'une macro est bloquée. En tout cas, c'est ce qui est indiqué dans un message sur Microsoft 365 : "Sur la base de l'analyse des commentaires des clients, nous avons apporté des mises à jour à la fois à notre documentation pour l'utilisateur final et pour l'administrateur afin de clarifier les options dont vous disposez pour les différents scénarios." - Pour avoir consulté cette documentation il y a peu, je confirme qu'elle est plus étoffée.

Voici quelques liens utiles :

• Microsoft Docs - Blocage des macros dans Office
• Microsoft Support - Une macro potentiellement dangereuse a été bloquée.

En complément, vous pouvez consulter mon tutoriel :

• Tutoriel - Bloquer les macros par GPO

Il y a quelques jours, j'ai enregistré un tutoriel vidéo sur le blocage des macros dans Office à partir d'une GPO, et même si Microsoft met en place ce paramétrage par défaut, elle reste pertinente à mon sens : rendez-vous lundi. D'ailleurs, Microsoft précise : "Si vous avez déjà activé ou désactivé la stratégie Bloquer l'exécution des macros dans les fichiers Office provenant d'Internet, votre organisation ne sera pas affectée par ce changement.".

The post Microsoft (re)commence à bloquer les macros VBA dans la suite Office ! first appeared on IT-Connect.

Microsoft a opéré un changement intéressant dans l'une des dernières builds en phase de développement de Windows 11 : la stratégie de verrouillage de comptes est activée par défaut. Qu'est-ce que cela signifie ? A quoi est-ce que ça peut servir ?

Avec la stratégie de verrouillage de comptes activée par défaut, et d'après la configuration en place dans cette nouvelle build, Windows 11 va verrouiller un compte utilisateur pendant 10 minutes dans le cas où il y a 10 tentatives de connexion en échec dans un laps de temps de 10 minutes. Ceci s'applique également au compte Administrateur local.

Sur Twitter, David Weston de chez Microsoft a publié un tweet avec les détails de cette nouvelle politique de verrouillage de comptes. Jusqu'ici, bien que prise en charge, cette fonctionnalité était configurée de manière à ne jamais verrouiller un compte, même avec plusieurs dizaines ou centaines de tentatives de connexion.

Ce changement opéré dans la build "Windows 11 Insider Preview 22528.1000" va permettre de lutter contre les attaques de type brute force, c'est-à-dire quand on essaie des mots de passe en boucle pour essayer de se connecter à un compte utilisateur. Dans le cadre de Windows 11, cette protection peut s'avérer particulièrement utile sur l'accès RDP (s'il est actif) via le Bureau à distance puisque le poste peut être victime d'une attaque par brute force en provenance d'une autre machine sur le réseau.

En matière de sécurité, c'est un bon point pour assurer un niveau de protection minimal à tous les utilisateurs de Windows 11. David Weston précise : "Cette technique est très couramment utilisée dans les attaques par ransomwares et d'autres attaques. Ce contrôle rendra le brute force beaucoup plus difficile, ce qui est génial !".

Utilisateurs de Windows 10 et des autres versions de Windows, sachez que vous pouvez configurer manuellement la politique de verrouillage de comptes sur une machine en locale, ou par l'intermédiaire d'un Active Directory comme je l'expliquais dans un précédent tutoriel (voir ici).

Source

The post Par défaut, Windows 11 va être capable de bloquer les attaques brute force RDP first appeared on IT-Connect.

Ce nouveau ransomware, nommé Luna et repéré par les chercheurs en sécurité de chez Kaspersky, est capable de chiffrer les machines sous Windows, Linux, mais également VMware ESXi. Une nouvelle fois, et je le répète, un ransomware s'en prend aux serveurs VMware ESXi dans le but de chiffrer l'ensemble des machines virtuelles.

Repéré par les chercheurs en sécurité de chez Kaspersky dans une annonce présente sur un forum du dark web, le ransomware Luna s'adresser aux cybercriminels parlant le russe. En effet, d'après Kaspersky, l'annonce indique que Luna ne travaille qu'avec des affiliés russophones et l'anglais ne serait pas irréprochable dans les notes de la rançon.

Bien qu'il semble encore en phase de développement, les chercheurs en sécurité ont pu l'analyser. Il utilise un schéma de chiffrement peu courant qui combine un échange de clés Diffie-Hellman avec une courbe elliptique Curve25519, avec l'algorithme de chiffrement symétrique AES (Advanced Encryption Standard). Pour le moment, les options disponibles sont peu nombreuses comme le montre cette image issue de la publication de Kaspersky.

Au niveau du code en lui-même, il s'avère que le ransomware Luna est écrit en Rust, ce qui permet de faciliter la portabilité d'un système à un autre en modifiant un minimum de code. Les chercheurs précisent : "Les échantillons Linux et ESXi sont compilés à partir du même code source avec quelques modifications mineures par rapport à la version Windows. Le reste du code ne présente aucune modification significative par rapport à la version Windows.". Cela confirme une tendance dans la création de logiciels malveillants : les pirates utilisent de plus en plus les langages Rust et Golang.

Les ransomwares compatibles avec VMware ESXi sont de plus en plus nombreux, et de nouveaux noms sortent chaque fois. Après RedAlert début juillet, le ransomware Black Basta en juin dernier et le ransomware Cheerscrypt en mai dernier, sans compter d'autres, plus anciens comme HelloKitty, c'est Luna qui vient s'ajouter à cette liste.

Maintenez à jour vos serveurs VMware ESXi pour vous protéger contre les failles de sécurité et éviter la compromission pouvant mener à l'exécution d'un ransomware.

Source

The post Luna, un ransomware codé en Rust qui s’attaque à VMware ESXi, Linux et Windows first appeared on IT-Connect.

I. Présentation

Dans ce septième volet de la série sur Wireshark, nous allons voir comment ajouter/modifier et supprimer des commentaires dans une trace réseau. Pourquoi ajouter des commentaires sur une trace réseau ? La réponse est simple, cela permet de noter notre analyse directement sur la trace réseau ou bien si un collègue doit prendre la suite de votre analyse, il trouvera vos annotations.

Voici la liste des précédents articles de cette série sur Wireshark :

• Tutoriel - Installation pas-à-pas de Wireshark
• Tutoriel - Découverte de l'interface Wireshark
• Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
• Tutoriel - Wireshark et les filtres de capture
• Tutoriel - Wireshark et les filtres d'affichage
• Tutoriel - Wireshark et la résolution de noms
• Téléchargement - Wireshark

II. Prérequis

Le seul prérequis dont nous avons besoin pour pouvoir enregistrer les commentaires dans une trace réseau et de sauvegarder notre capture réseau au format pcapng.

III. Ajouter des commentaires sur un paquet

Pour ajouter un commentaire sur un paquet rien de plus simple, il suffit de faire un clic droit sur le paquet dans la liste des paquets et de cliquer sur commentaires du paquet.

Ensuite, une nouvelle fenêtre apparaît, vous pouvez écrire votre commentaire et le valider en cliquant sur "OK".

Évitez les accents dans les commentaires, sinon voici ce que ça peut donner à l'affichage :

Vous pouvez aussi ajouter un commentaire depuis le menu "Editer" puis "Commentaires du paquet" et "Add New Comment".

Comment vérifier que le commentaire a été ajouté sur le paquet ? Maintenant que nous avons ajouté un commentaire, nous allons vérifier qu’il a bien été pris en compte. Pour cela, allez sur le paquet juste en dessous ou au-dessus du paquet commenté et cliquez de nouveau sur le paquet commenté. Ensuite, cliquez dans la zone "Détails du paquet", vous verrez une nouvelle ligne apparaître intitulée "Packet comments".

Vous pouvez cliquer sur la petite flèche juste devant pour voir les commentaires.

IV. Modifier ou supprimer un commentaire existant sur un paquet

L'édition de commentaires s’effectue de la même manière que l’ajout, à savoir un clic droit sur un paquet puis "Commentaires du paquet" et "Edit de votre commentaire". Dans cet exemple, je peux éditer le commentaire "requete ARP" en cliquant sur le bouton "Edit "requete ARP"".

Vous allez retrouver la même fenêtre que lors de l’ajout du commentaire, il vous reste juste à modifier votre commentaire puis à valider.

La suppression d’un commentaire s’effectue de la même façon que l’ajout et l’édition de paquet. Pour être précis, il faut effectuer un clic droit sur votre paquet, cliquez sur "Commentaires du paquet" puis "Delete de votre commentaire".

Ou bien, vous pouvez supprimer l’ensemble des commentaires du paquet en sélectionnant "Delete packet comments" comme sur l’image ci-dessus.

V. Voir le nombre de commentaires

Pour voir le nombre de paquets commentés, il suffit de regarder la barre du bas, dans la partie de droite.

Ensuite, il existe un filtre d’affichage pour voir seulement les paquets commentés dans notre fichier de capture. Le filtre d'affichage suivant doit être utilisé :

pkt_comment

VI. Utilisation de l’information expert pour trouver les commentaires

Wireshark dispose d’un outil expert pour analyser les informations de votre capture réseau, comme les erreurs. Pour accéder à la fonctionnalité "Information expert", allez dans le menu "Analyser" puis "Information Expert".

Une nouvelle fenêtre apparaît. La sévérité qui nous intéresse est la valeur « comment » pour avoir des informations sur les commentaires. Ici vous allez voir le nombre de commentaires dans votre capture ainsi que le numéro de paquet associé.

VII. Ajouter un commentaire global

Wireshark offre la possibilité d’ajouter des commentaires globaux, par exemple vous pouvez spécifier où a été effectuée votre capture. Afin de pouvoir utiliser cette fonctionnalité, il faut absolument enregistrer votre capture au format pcapng.

Maintenant passons à la pratique, pour ce faire aller dans le menu "Statistiques" puis "Propriétés du fichier de capture". Une nouvelle fenêtre s’ouvre, vous pouvez voir l’ensemble des commentaires paquets

Pour ajouter des commentaires globaux, nous allons aller dans la partie commentaires du fichier de capture. Vous pouvez écrire votre commentaire et ensuite cliquer sur "Enregistrer les commentaires".

VIII. Conclusion

Voici la fin de septième article sur Wireshark dans lequel nous avons vu la gestion des commentaires, que ce soit au niveau des paquets ou du fichier de capture en lui-même. Le prochain article portera sur l’outil information expert de Wireshark.

The post Wireshark et les commentaires first appeared on IT-Connect.