Une nouvelle attaque de type relais NTLM surnommée DFSCoerce fait beaucoup parler d'elle ces derniers jours, car elle permet de prendre le contrôle d'un domaine Active Directory. Elle se situe au sein du service DFS de Windows. Faisons le point.
Depuis un moment, on parle régulièrement de ces fameuses attaques de type relais NTLM, notamment depuis la découverte de la faille de sécurité PetitPotam, puis plus récemment avec la faille de sécurité "CVE-2022-26925". Désormais, et même si vous êtes protégés contre ces vecteurs d'exploitation précédemment découverts, il est possible de réaliser une attaque de type relais NTLM par l'intermédiaire de l'interface RPC "MS-DFSNM" associée au service DFS.
À ce sujet, voici le tweet mis en ligne par le chercheur en sécurité Filip Dragovic au sujet de cette vulnérabilité : "Le service de spouleur est désactivé, les filtres RPC sont installés pour empêcher PetitPotam et le service d'agent VSS du serveur de fichiers n'est pas installé, mais vous voulez quand même relayer l'authentification du contrôleur de domaine aux services de certification Active Directory ? Ne vous inquiétez pas, MS-DFSNM assure vos arrières." - Cette nouvelle faille de sécurité est un peu dans le même esprit que PetitPotam qui s'appuyait sur MS-EFSRPC, sauf qu'ici c'est MS-DFSNM. En fait, le script associé à la vulnérabilité DFSCoerce est basé sur celui de PetitPotam sauf qu'il ne s'appuie pas sur le même composant de Windows.
Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'une machine dans le domaine Active Directory, sans forcément avoir des droits spécifiques sur le domaine. Néanmoins, grâce à la méthode d'exploitation DFSCoerce, l'attaquant peut prendre le contrôle du domaine en obtenant un ticket Kerberos (Golden Ticket).
Pour se protéger, il faut commencer par mettre à jour son serveur ce qui va permettre de bloquer une partie des requêtes, mais il est recommandé d'effectuer des actions complémentaires, notamment forcer le HTTPS sur les serveurs ADCS (autorité de certification Active Directory), désactiver les requêtes NTLM entrantes sur les serveurs ADCS, activer la signature SMB, mais aussi désactiver NTLM dans IIS. Cette page du CERT.ORG donne des informations techniques intéressantes pour vous guider : DFSCoerce.
Microsoft affirme que WSL 2 est désormais pris en charge sur Windows Server 2022, simplement en installant la dernière mise à jour qui est sortie à l'occasion du Patch Tuesday de juin 2022.
Depuis la fin du mois dernier, il est possible d'ajouter la fonctionnalité "WSL 2" (Windows Subsystem for Linux) à Windows Server 2022 en installant la mise à jour KB5014021, qui était disponible en version preview. Désormais, cette mise à jour est déployée sur tous les serveurs sous Windows Server 2022, ce qui permet de pouvoir installer cette fonctionnalité après l'installation de la mise à jour. Le numéro de KB reste toujours le même, à savoir KB5014021, et elle est disponible depuis le 14 juin 2022 suite à la sortie du Patch Tuesday de juin 2022.
Craig Loewen de chez Microsoft l'a annoncé officiellement en début de semaine et c'est bien disponible pour toutes les versions de Windows Server 2022 : "Vous pouvez désormais utiliser des distributions basées sur Windows Subsystem for Linux (WSL) 2 sur Windows Server 2022."
Ma série de tutoriels sur WSL est disponible ici : Tutoriels WSL
Pour rappel, WSL est une fonctionnalité de Windows qui permet d'exécuter des distributions Linux sur une machine Windows (Windows 10, Windows 11, Windows Server 2022), nativement, sans avoir recourt directement à la création d'une machine virtuelle. Autrement dit, vous utilisez un environnement Linux depuis Windows, et plusieurs distributions sont compatibles dont Debian, Ubuntu ou encore Kali Linux.
Attendiez-vous la prise en charge de WSL sur Windows Server 2022 ?
Dans ce tutoriel, nous allons voir qu'il est possible de transférer des fichiers entre un PC et une VM VirtualBox, c'est-à-dire entre l'ordinateur où est installé VirtualBox et le système d'une machine virtuelle. Il y a plusieurs façons de faire et VirtualBox propose deux méthodes qui fonctionnent très bien :
Via un glisser-déposer entre la machine physique et la VM (et inversement)
Via un dossier partagé qui est un répertoire stocké sur la machine physique et qui est accessible à partir de la VM (soit en lecture, soit en lecture et écriture)
Nous verrons comment configurer et utiliser ces deux fonctionnalités au sein d'une machine virtuelle, en prenant une VM "Windows 11". Cela fonctionne aussi pour d'autres versions de Windows, mais aussi les VM sous Linux. Les deux fonctionnalités que nous verrons doivent être configurées au niveau de chaque machine virtuelle.
La vidéo ci-dessous intègre une partie dédiée au transfert de données entre VirtualBox et la VM.
II. Activer le partage de données entre une VM et le PC
Tout d'abord, nous allons voir comment autoriser le glisser-déposer et le copier-coller entre une machine virtuelle et l'hôte VirtualBox. Commencez par sélectionner la VM dans l'inventaire de VirtualBox puis cliquez sur le bouton "Configuration".
La fenêtre des paramètres va s'ouvrir. À partir de la section "Général", cliquez sur l'onglet "Avancé". Ici, il y a deux fonctions intéressantes, mais qui sont désactivées par défaut :
Presse-papier partagé
Glisser-déposer
Si vous souhaitez pouvoir faire un copier-coller de texte entre l'hôte VirtualBox et la VM (invité), et inversement, ou simplement dans un sens, vous devez configurer l'option "Presse-papier partagé". Attention, cela ne permet pas de faire un copier-coller d'un fichier. Pour transférer un fichier par glisser-déposer, il faudra activer l'option du même. Là encore, vous avez le choix : soit dans un seul sens, ou dans les deux sens. Une fois que c'est fait, validez.
Si je prends un fichier de ma machine physique et que je le glisse vers l'écran de la VM, on peut voir qu'il m'est proposé de le copier ! Ainsi, le fichier sera transféré vers ma VM !
Voici pour la première méthode, voyons une autre façon de faire.
III. Créer un dossier partagé VirtualBox
VirtualBox intègre une fonctionnalité nommée "Dossier partagé" et qui permet de monter un répertoire de votre machine physique directement au sein de la VM. Ce dossier peut être monté en lecture seule, ou en lecture et écriture. Ainsi, on peut mettre à disposition de la VM des données, mais aussi en envoyer vers l'hôte physique si l'écriture est autorisée. Ces dossiers peuvent être temporaires ou permanents, mais je vais revenir sur ce point.
Prérequis : afin de pouvoir utiliser la fonctionnalité "Dossier partagé", vous devez installer les "Additions invité" dans la VM pour que ce soit pris en charge. Si vous ne savez pas comment faire, regardez la partie IV de ce tutoriel : comment créer une VM Windows 11 avec VirtualBox ?
Mon objectif est de rendre accessible le répertoire "C:\TEMP\Partage_VirtualBox" de mon ordinateur physique dans la VM Windows 11. Ce dossier est existant, mais il n'est pas partagé et ce n'est pas nécessaire.
Toujours dans les paramètres de la VM, vous devez accéder cette fois-ci à la section "Dossiers partagés" puis cliquer sur l'icône permettant d'ajouter un nouveau dossier. Les autres boutons permettent de modifier la configuration d'un dossier partagé existant et de le supprimer.
Une fenêtre s'ouvre et différentes options sont disponibles... Des explications s'imposent :
Chemin du dossier : le chemin du dossier sur la machine physique, donc je sélectionne mon dossier
Nom du dossier : nom du dossier qui sera visible au sein de la machine virtuelle
Lecture seule : cochez cette option pour que la VM puisse récupérer des données dans le dossier, mais pas en écrire
Montage automatique : cochez cette option pour que le dossier partagé soit automatiquement connecté à la VM
Point de montage : c'est facultatif, mais vous pouvez indiquer le chemin vers lequel monter ce répertoire (point de montage sous Linux) ou une lettre pour Windows, par exemple "V:".
Configuration permanente : le dossier doit-il être attaché de façon permanente ou temporaire à la VM ?
Voici un exemple :
Une fois que votre choix est fait, validez. Mon dossier est visible dans la section "Dossiers temporaires" car je n'ai pas coché l'option "Configuration permanente". Cela signifie que si je redémarre la machine virtuelle et que j'ai coché l'option "Montage automatique", il sera toujours visible. Par contre, si j'éteins la VM et que je la démarre, alors le dossier partagé ne sera plus visible dans la VM, mais il sera toujours présent sur la machine physique. Dans le cas où l'option "Configuration permanente" est cochée, le répertoire sera toujours configuré dans les paramètres de la VM.
Validez... Au niveau de la machine virtuelle, sans même redémarrer, le répertoire apparaît sous la forme d'un lecteur réseau car l'option "Montage automatique" est cochée. Ainsi, je peux y accéder et commencer à profiter de ce dossier partagé !
On peut également voir le nom du serveur : VBoxSrv, il s'agit d'un nom utilisé par VirtualBox qui n'a rien à voir avec le nom de ma machine physique. En effectuant "\\VBoxSrv" on pourrait lister les partages et effectuer un montage manuel, ce qui serait utile dans le cas où l'option "Montage automatique" n'est pas activée.
Les différentes fonctions que nous venons d'utiliser et configurer sont accessibles facilement à partir du menu "Périphériques" de chaque VM VirtualBox.
Voilà, vous êtes désormais en mesure de transférer des données entre la machine où est installé VirtualBox et une VM sous Windows, même si cela fonctionne aussi sous Linux.
Actuellement, les États-Unis sont ciblés par une nouvelle campagne de phishing dont l'objectif est de dérober les identifiants de connexion à Microsoft 365 et Outlook.com. Cette campagne cible les organisations dans différents secteurs, notamment l'armée, la santé, l'industrie pharmaceutique et les éditeurs de logiciels de sécurité.
Pour tenter de piéger les utilisateurs, les cybercriminels à l'origine de cette campagne malveillante cherchent à diffuser une pièce jointe HTML malveillante, qui prend la forme d'une fausse notification de messagerie vocale. D'après les chercheurs en sécurité de chez ZScaler, cette campagne a plusieurs points communs avec une campagne analysée précédemment, à la mi-juin 2020.
L'utilisateur reçoit un e-mail avec le titre "Vous avez un nouveau message vocal" dans sa boîte mail, et il est invité à lire le message vocal qui est en pièce jointe, sauf qu'il s'agit d'un piège bien entendu. En effet, la pièce jointe malveillante, bien qu'elle ait un nom plutôt rassurant, contient un code JavaScript obscurci qui conduit la victime vers un site de phishing.
Pour tenter de tromper la victime, l'adresse URL contient le nom de l'entreprise ciblée dans le nom, en tant que sous-domaine de celui utilisé par les pirates informatiques. Pour éviter les détections avec les services anti-phishing, l'utilisateur doit compléter un CAPTCHA avant de pouvoir accéder à l'étape suivante, ce qui est une manière aussi de lui montrer que c'est un site protégé. Au final, il arrive sur une fausse page de connexion à son compte Microsoft dans le but de lui dérober ses identifiants de connexion.
Les personnes éduquées sur le sujet remarqueront rapidement que le domaine n'est pas celui de Microsoft et qu'il s'agit d'un piège. Visiblement, les cybercriminels utilisent les domaines suivants dans le cadre de cette attaque :
briccorp[.]com
bajafulfillrnent[.]com
bpirninerals[.]com
lovitafood-tw[.]com
dorrngroup[.]com
lacotechs[.]com
brenthavenhg[.]com
spasfetech[.]com
mordematx[.]com
antarnex[.]com
Enfin, pour acheminer les messages vocaux, les cybercriminels s'appuient sur des services de messagerie électronique basés Japon et ils en profitent pour usurper l'adresse de l'expéditeur, en reprenant une adresse e-mail correspondante à l'organisation ciblée, toujours dans l'objectif de rassurer la victime en quelque sorte. Le prétexte du message vocal est fréquemment utilisé, depuis plusieurs années et c'est une méthode qui continue de faire ses preuves.
Les personnes situées en Russie ne peuvent plus télécharger les sources d'installation de Windows 10 et Windows 11 à partir du site de Microsoft. En utilisant un VPN, cela reste possible. S'agit-il d'une panne ou d'un blocage intentionnel ? Microsoft ne s'est pas encore exprimé à ce sujet.
Que ce soit à partir des sources du site de Microsoft ou à partir de l'outil Windows 10 Media Creation Tool (ou sa version Windows 11), il n'est plus possible de télécharger Windows 10 ou Windows 11 depuis la Russie. De nombreux utilisateurs ont remonté ce problème où différents messages d'erreur s'affichent. Par exemple, avec l'outil de création d'un média d'installation, le message "404 - Fichier ou dossier introuvable" s'affiche, tandis que depuis le site Microsoft directement, c'est le message "Il y a eu un problème avec votre demande" qui est présenté à l'utilisateur. Même s'il est possible de télécharger l'outil, il plante à l'exécution.
Visiblement, cette restriction ou ce problème, concerne uniquement la Russie et les personnes physiquement en Russie qui utilisent un VPN pour être localisé ailleurs sont parvenues à télécharger les sources de Windows. Même si la Russie a restreint l'utilisation des VPN dans le pays, le journal russe Roskomsvoboda a annoncé que malgré que le gouvernement est contre l'utilisation des VPN, il ne punira pas ceux qui les utilisent dans le pays.
Pour le moment, la situation n'est pas claire : s'agit-il d'une panne technique ? S'agit-il d'une restriction volontaire mise en place par Microsoft ? L'entreprise américaine ne s'est pas exprimée à ce sujet alors il est difficile de répondre avec certitude à cette question. Depuis l'invasion en Ukraine, Microsoft retire de plus en plus de ses services de la Russie, notamment avec la suspension des activités commerciales. Il y a quelques jours, Microsoft a annoncé le licenciement de 400 employés basés en Russie dans le but de réduire ses activités dans le pays. Néanmoins, Microsoft souhaite respecter ses engagements contractuels avec ses clients russes, donc ce blocage semble pour le moins inattendu.
