Microsoft travaille sur une nouvelle fonctionnalité pour Windows 11 baptisée "Restaurer les applications" dont l'objectif est de permettre aux utilisateurs de réinstaller toutes les applications précédemment installées depuis le Microsoft Store, suite à la réinstallation ou l'installation du système.

Lorsque l'on installe Windows sur un nouvel ordinateur ou que l'on réinstalle sa machine, il est vrai qu'il faut prévoir du temps pour réinstaller ses applications favorites. Même s'il existe des solutions pour gagner du temps, notamment Ninite, ou les gestionnaires de paquets WinGet et Chocolatey, ce n'est pas forcément accessible à tous les utilisateurs. Microsoft souhaite intégrer une fonctionnalité à Windows 11 pour vous permettre de réinstaller vos applications favorites en un clic !

Même si les applications de bureau devront toujours être installées manuellement, la nouvelle fonctionnalité de Windows 11 vous permettra d'installer toutes les applications du Microsoft Store liées à votre compte de façon très simple. L'objectif étant de rendre plus simple la transition vers une nouvelle machine, ou la réinstallation de sa machine, comme l'explique Microsoft, en précisant aussi : "Cela aidera également les développeurs à fidéliser leurs utilisateurs sans avoir à leur rappeler de retélécharger leur application."

À partir de la bibliothèque du Microsoft Store, il sera possible de réinstaller toutes les applications ou uniquement certaines applications, grâce à ces nouveaux boutons, comme le montre la copie d'écran ci-dessous. Suite à cette action, il ne vous restera plus qu'à installer vos applications de bureau telles que la suite Office, etc.

Cette nouvelle fonctionnalité sera prochainement disponible pour les membres du programme Windows Insiders, sur une build de Windows 11 en cours de développement. Microsoft n'a pas précisé de date. Par ailleurs, la firme de Redmond devrait améliorer la fonction de recherche de Windows 11 afin que si vous recherchez une application qui n'est pas installée sur votre machine, qu'il soit possible de l'installer directement depuis la barre de recherche, à partir du Microsoft Store, sans pour autant se rendre dans le magasin d'applications de Microsoft.

Source

The post Windows 11 va permettre de réinstaller les applications précédemment installées first appeared on IT-Connect.

Le développement de Windows Autopatch avance bien puisque ce nouveau service est disponible en preview public dès à présent. Avec Windows Autopatch, Microsoft veut gérer à votre place les mises à jour de vos machines Windows et des logiciels Microsoft 365.

Ce nouveau service, annoncé début avril 2022, est désormais disponible en avant-première publique et il sera disponible en version stable pour tout le monde en juillet 2022 (ce qui correspond à la feuille de route initiale). Pour les clients de Microsoft qui disposent de licences Windows 10 Enterprise E3 ou Windows 11 Enterprise E3 (ou supérieur), ce nouveau service sera gratuit.

• Tous les prérequis sont listés sur cette page : prérequis Windows Autopatch

Windows Autopatch va gérer tout seul comme un grand le déploiement des mises à jour Windows et Microsoft 365 Apps for Enterprise. Il sera également capable de déployer les mises à jour de fonctionnalités, de pilotes et de firmwares.

Microsoft précise : "En participant à l'avant-première publique, vous pourrez vous familiariser avec Windows Autopatch et préparer votre organisation à tirer parti de ce service à grande échelle.". Pour s'inscrire à ce nouveau service afin de le tester, voici les indications fournies par Microsoft :

1 - Connectez-vous à Endpoint Manager en tant qu'administrateur global et trouvez la section Windows Autopatch dans le menu d'administration du tenant. Si vous ne voyez pas "Windows Autopatch", c'est que vous n'avez pas les bonnes licences (voir les prérequis).
2 - Utilisez une fenêtre de navigateur InPrivate ou Incognito pour échanger votre code de preview public.
3 - Exécutez l'évaluation de l'état de préparation, ajoutez votre contact administrateur et ajoutez des périphériques.

En complément, Microsoft a mis en ligne une documentation complète au sujet de Windows Autopatch.

Les machines enrollées sur votre tenant au sein du service Windows Autopatch seront réparties automatiquement en 4 groupes (appelés "anneaux") : test, first, fast et broad. Ces affectations seront gérées par Windows Autopatch, selon différents critères, afin de permettre aux mises à jour de s'installer sans perturber votre production. L'anneau de test contiendra un minimum d'appareils, l'anneau "first" contiendra 1% de vos appareils, l'anneau "fast" contiendra environ 9% des appareils et le dernier, nommé "broad" contiendra 90% de vos appareils.

La phase de test permettra de déployer les mises à jour et de mettre les machines sous surveillance afin d'identifier d'éventuels problèmes (bugs, performances, etc.). Ensuite, le déploiement sera accéléré jusqu'à atteindre l'anneau "broad", qui contiendra le plus de machines, car il correspond au déploiement "à grande échelle" sur votre parc informatique. Une fonction de rollback sera également incluse à Windows Autopatch.

Windows Autopatch a également une fonctionnalité de rollback ou de blocage pour arrêter le déploiement des mises à jour ou revenir en arrière lorsqu'il y a un incident. Dans ce cas, il y a un retour vers l'anneau de niveau supérieur afin de poursuivre les tests.

Source

The post Windows Autopatch est disponible en preview public ! first appeared on IT-Connect.

Une nouvelle faille zero-day dans la solution Confluence d'Atlassian est activement exploitée par les pirates informatiques. Identifiée par la référence CVE-2022-26134, elle permet la mise en place d'un web shell et il n'existe pas de correctif à l'heure actuelle.

Atlassian a mis en ligne un nouveau bulletin de sécurité pour avertir ses utilisateurs sur la présence d'une nouvelle faille de sécurité dans son produit Confluence : la CVE-2022-26134. Cette vulnérabilité critique permet à une exécution de code à distance sur un serveur Confluence, sans être authentifiée. C'est la société Volexity qui est à l'origine de la découverte de cette faille de sécurité après avoir mené des investigations dans le cadre de la réponse à un incident de sécurité. Ainsi, grâce à cette vulnérabilité, les attaquants ont pu mettre en place un web shell JSP nommé BEHINDER sur le serveur compromis. En exploitant ce web shell, les attaquants peuvent exécuter des commandes à distance sur le serveur compromis.

Toutes les versions supportées de Confluence Server et Confluence Data Center sont affectées, et il n'existe pas de correctif pour le moment. Pour les personnes qui utilisent Confluence via un domaine atlassian.net, rassurez-vous : vous n'êtes pas vulnérable. Volexity a informé Atlassian de la présence de cette faille de sécurité le 31 mai dernier, et de son côté, Atlassian affirme que le correctif devrait être mis en ligne aujourd'hui, vendredi 3 juin 2022.

En attendant, Atlassian affirme qu'il existe deux solutions pour se protéger et elles sont pour le moins radicales :

• Empêcher l'accès depuis Internet à l'instance Confluence Server ou Confluence Data Center
• Désactiver votre instance Confluence Server ou Confluence Data Center
• Alternative : utiliser un Web Application Firewall pour bloquer les URLs qui contiennent "${" afin de réduire le risque de compromission

Il s'agit d'une mesure de protection temporaire, en attendant que le correctif soit disponible et que vous puissiez l'installer pour patcher votre instance.

Source

The post Atlassian Confluence : cette faille zero-day permet la mise en place d’un web shell first appeared on IT-Connect.

I. Présentation

Sur un serveur Linux, il n'est pas rare de croiser des fichiers de configuration à rallonge ou des fichiers de logs très conséquents. Même si l'on s'intéresse souvent aux événements les plus récents, situés à la fin du fichier, il n'est rare d'avoir besoin de consulter les 10 ou les 20 premières lignes d'un fichier. Comment faire sans avoir à ouvrir le fichier entièrement (ce qui nécessite de le charger) ? C'est ce que nous allons voir dans ce tutoriel.

II. Afficher les 10 premières lignes d'un fichier

La commande "head" est intégrée à de nombreuses distributions Linux, notamment Debian que j'utilise pour cet exemple, et elle permet d'afficher le contenu d'un fichier en commençant par le début (d'où le nom de ce programme, probablement). Ainsi, si l'on appelle la commande head suivie d'un nom de fichier, sans préciser d'options, les 10 premières lignes du fichier s'affichent à l'écran. Voici un exemple avec le fichier "/var/log/apache2/access.log" :

head /var/log/apache2/access.log

Ce qui donne :

Pour utiliser cette commande, il n'est pas utile d'avoir un accès root sur la machine, à moins que vous cherchiez à lire le contenu d'un fichier protégé auquel cas il sera nécessaire d'avoir suffisamment de privilèges. En préfixant la commande par "sudo", ça devrait aller si votre utilisateur est autorisé.

Maintenant, si l'on veut avoir plus de 10 lignes, admettons 20 lignes, comment faire ? Ce n'est pas beaucoup plus compliqué puisqu'il suffit de spécifier le nom de ligne sous le format "-X" où X représente le nombre de lignes à afficher. Voici comment afficher les 20 premières lignes du fichier access.log :

sudo head -20 /var/log/apache2/access.log

En fait, il y a une autre écriture possible à partir de l'option "-n" :

sudo head -n 20 /var/log/apache2/access.log

Ce que j'aime bien avec la commande head, c'est que l'on peut afficher le contenu de plusieurs fichiers en même temps. Pour comparer les données issues de plusieurs fichiers de logs ou plusieurs fichiers de configuration, ça peut être intéressant. Pour cela, il suffit de préciser les noms de fichiers à la suite (séparé par un espace) :

sudo head /var/log/apache2/access.log /var/log/apache2/error.log

Peut-on récupérer la valeur de la première ligne et la stocker dans une variable ?

La réponse est oui ! Et cela peut s'avérer utile dans un script, d'autant plus dans le cas d'un fichier de configuration. La syntaxe est facile à trouver pour afficher la première ligne :

sudo head -n 1 /var/log/apache2/access.log

Dans un script, on pourra stocker la valeur de cette ligne dans une variable. Voici un exemple avec une variable nommée "log" :

log=$(sudo head -n 1 /var/log/apache2/access.log)

Désormais, vous savez comment afficher les X premières lignes d'un fichier à l'aide de la commande head ! Elle est très pratique et facile à utiliser, même si l'on peut également effectuer la même chose avec awk et sed.

• Manpage - Head

The post Linux : comment afficher les X premières lignes d’un fichier ? first appeared on IT-Connect.

Microsoft vient de serrer la vis à un groupe de pirates basé au Liban et identifié avec le nom Polonium, car visiblement ils utilisaient la plateforme de stockage Cloud OneDrive pour stocker des données exfiltrées dans le cadre d'attaques, mais aussi pour des actions de Command & Control. Des entreprises et entités israéliennes sont ciblées par ce groupe de pirates.

Après avoir détecté cette activité malveillante, Microsoft a bloqué les différents comptes associés au groupe de pirates Polonium et la firme de Redmond a également suspendu plus de 20 applications OneDrive malveillantes utilisées lors d'attaques. La solution de sécurité de Microsoft détecte désormais ces outils malveillants afin de les mettre en quarantaine. Par ailleurs, Microsoft a notifié les entreprises ciblées par ces attaques et il s'avère que ce sont des entreprises israéliennes importantes, notamment dans le secteur de l'informatique et de l'industrie.

Bien que les pirates du groupe Polonium semblent être du Liban, il y aurait un lien avec d'autres acteurs liés à l'Iran. Voici ce qu'affirme Microsoft : "Nous estimons également avec une confiance modérée que l'activité observée a été coordonnée avec d'autres acteurs affiliés au ministère iranien du Renseignement et de la Sécurité (MOIS), principalement en raison des victimes communes et de la similitude des outils et des techniques.". Microsoft a identifié des preuves indiquant que les opérateurs du MOIS ont peut-être fourni aux pirates de Polonium un accès à des réseaux précédemment compromis, permettant aux pirates de Polonium de réaliser facilement certaines attaques.

Toujours d'après les analyses de l'entreprise américaine, dans de nombreux cas, l'accès initial a été possible en exploitant une faille de sécurité dans les boîtiers Fortinet : "Bien que nous continuions à chercher à confirmer comment POLONIUM a obtenu l'accès initial à un grand nombre de ses victimes, MSTIC (Microsoft Threat Intelligence Center) note qu'environ 80 % des victimes observées se connectant à graph.microsoft.com utilisaient des appliances Fortinet.". En fait, il s'agirait de la vulnérabilité CVE-2018-13379 qui était déjà l'une des failles de sécurité les plus exploitées en 2021, et qui se situe dans la fonction SSL VPN de FortiOS. D'ailleurs, une liste de 500 000 couples identifiants et mots de passe Fortinet avait fuité sur le Web l'année dernière.

Avec la dernière mise à jour de sécurité de Microsoft Defender (minimum 1.365.40.0), les outils malveillants utilisés par Polonium sont détectés et bloqués. En complément, Microsoft en remet une couche sur la nécessité de mettre en place le MFA pour protéger les comptes utilisateurs.

Source

The post Attaques basées sur OneDrive : Microsoft a bloqué les pirates de Polonium first appeared on IT-Connect.