Microsoft s'est exprimé au sujet de la vulnérabilité zero-day qui touche la suite Office, et plus particulièrement l'outil MSDT, qui est actuellement exploitée dans le cadre d'attaques informatiques. Faisons le point.
Pour rappel, des chercheurs en sécurité ont fait la découverte d'un document Word malveillant qui est capable d'exécuter du code malveillant, en l'occurrence du PowerShell, sur une machine Windows même si les macros sont désactivées dans Microsoft Office. Pour parvenir, les pirates s'appuie sur l'outil de diagnostic nommé MSDT (Microsoft Support Diagnostics Tool).
Alors que Kevin Beaumont a surnommé cette vulnérabilité "Follina", elle dispose désormais d'une référence CVE officielle : CVE-2022-30190 et d'un score CVSS 3.0 de 7,8 sur 10. D'après le bulletin de sécurité de Microsoft, l'exploitation est confirmée sur les toutes dernières versions de Microsoft Office. Par ailleurs, les différents retournent confirment que plusieurs versions de la suite Office sont affectées : Microsoft Office 2013, Office 2016, Office 2019 et Office 2021.
En fait, Microsoft semblait déjà au courant de l'existence de cette vulnérabilité car elle a créditée Crazyman, un membre du groupe Shadow Chaser, à l'origine de la découverte d'un exploit qui ciblait les utilisateurs russes et qui aurait reporté la vulnérabilité le 12 avril 2022.
Pour le moment, il n'existe toujours pas de correctif pour se protéger contre cette faille de sécurité, mais Microsoft a tout de même mis en ligne une solution temporaire.
La firme de Redmond propose de désactiver les appels d'URL via l'outil MSDT en modifiant le Registre Windows.
Tout d'abord, il est recommandé de sauvegarder la clé de registre (qu'il faudra ensuite supprimer) :
Une fois que c'est fait, il faut supprimer la clé de Registre :
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Par la suite, le fichier .reg peut être réimporté pour annuler cette solution temporaire. Tous les détails techniques sont disponibles ici.
Microsoft confirme que le mode protégé de la suite Office est là pour protéger les utilisateurs contre l'exploitation de cette vulnérabilité. En tout cas, dans la configuration par défaut car les documents en provenance d'Internet sont ouverts en mode protégé. Tout dépend de la configuration éventuelle de la suite Office.
Dans ce tutoriel, nous allons apprendre à installer Pfsense au sein d'une VM VirtualBox dans le but de créer un lab grâce à cette VM qui assurera le rôle de routeur et pare-feu virtuel. Grâce à cette machine virtuelle Pfsense, vous allez pouvoir vous exercer sur différents sujets notamment : la gestion d'un pare-feu (autoriser ou refuser les flux du réseau local vers Internet, et inversement), faire du NAT, créer des règles de redirection de ports, monter un serveur DHCP, effectuer la mise en place d'un proxy, d'un reverse proxy, la création d'une DMZ, etc...
L'objectif va être de créer un réseau local virtuel, totalement isolé et correspondant au réseau 192.168.2.0/24, et qui pourra accéder à Internet par l'intermédiaire du pare-feu Pfsense. En effet, le pare-feu Pfsense va disposer de deux cartes réseau virtuelles : une carte connectée au réseau local virtuel (réseau interne) et une carte connectée au même réseau local que la machine physique afin de simuler l'évasion vers Internet (WAN).
Pour suivre ce tutoriel, vous avez besoin de plusieurs choses :
II. Créer une VM VirtualBox pour installer PfSense
Commençons par la création de la machine virtuelle qui va nous permettre d'accueil Pfsense. Ouvrez VirtualBox et cliquez sur le bouton "Nouvelle" pour lancer l'assistant.
Donnez un nom à cette VM, par exemple "Firewall PfSense" et choisissez le type de système "BSD" puis "FreeBSD (64-bit)" puisque PfSense est basé sur le système FreeBSD.
Choisissez la quantité de RAM. Disons que 1 Go ce sera suffisant pour faire tourner quelques services et héberger plusieurs VMs sur le réseau local virtuel. Vous pouvez ajuster dans le temps selon vos besoins et même partir sur 512 Mo dans un premier temps.
Créez un nouveau disque virtuel, au format VDI (ou un autre format selon vos préférences), alloué dynamiquement et de taille 16 Go à minima.
Poursuivez jusqu'à la fin.... Voilà, la machine virtuelle Pfsense est créée et enregistrée dans VirtualBox. Néanmoins, il faut que l'on ajuste la configuration... Sélectionnez la machine virtuelle dans l'inventaire et cliquez sur "Configuration".
Accédez à la section "Réseau", car nous devons configurer deux cartes réseau virtuelles sur notre pare-feu.
Commençons par "Adapter 1" que nous allons configurer en "Accès par pont" et qui correspondra à l'interface WAN de mon pare-feu, c'est-à-dire l'interface côté WAN (permettant d'atteindre Internet). Dans mon cas, le pont est monté sur la carte Wi-Fi "MediaTek Wi-Fi 6....", car elle est actuellement connectée à mon réseau local.
Ensuite, basculez sur l'onglet "Adapter 2" pour configurer la seconde interface réseau virtuelle correspondante à l'interface LAN. Choisissez le mode d'accès "Réseau interne" afin de créer un réseau local virtuel isolé, et nommez ce réseau interne "LAN_VM" (ou autrement).
C'est bon pour la partie réseau, mais nous devons encore faire une dernière chose : charger l'image ISO de PfSense. Cliquez sur "Stockage" puis sur le lecteur, et à droite utilisez le bouton en forme de CD pour ajouter cette image ISO (comme expliqué dans le tutoriel d'introduction à VirtualBox). Voici le résultat :
Il ne reste plus qu'à cliquer sur "OK", car cette fois-ci, la VM est prête !
III. Installer Pfsense dans la VM
Le système d'exploitation Pfsense doit être installé sur notre machine virtuelle fraîchement créée. Démarrez la VM... L'image ISO va se charger...
Vous arrivez sur le début de l'assistant d'installation de Pfsense. Appuyez sur "Entrée" pour valider. Lorsque vous allez cliquer dans la fenêtre de la VM, la souris sera capturée ! Pour relâcher la souris, appuyez simplement sur la touche "CTRL" de votre clavier.
Choisissez "Install" et validez avec Entrée. Si vous ne l'avez pas encore remarqué, toute l'installation s'effectue au clavier.
La première étape consiste à sélectionner la disposition du clavier. Vous pouvez prendre une disposition correspondante au français, mais au final, vous allez constater que le clavier sera en QWERTY tout de même. Positionnez-vous sur la ligne à sélectionner et appuyez sur Entrée.
Validez une seconde fois en étant positionné sur "Continue with fr.acc.kbd keymap".
Pour le partitionnement du disque, restez sur l'option par défaut à savoir "Auto (ZFS)" sauf si vous avez des besoins spécifiques. Sachez que ZFS est un système de fichiers open source plus moderne qu'UFS. Il va permettre de créer un pool de stockage logique.
Validez une nouvelle fois afin de procéder à l'installation dans les conditions par défaut.
Choisissez "stripe" afin de mettre en place le système uniquement sur notre disque, sans redondance, puisque notre VM dispose d'un seul et unique disque virtuel. Par l'intermédiaire de son système RAID-Z, le système de fichiers ZFS pourrait sécuriser le volume où Pfsense est installé sur plusieurs disques.
Appuyer sur la barre d'espace pour cocher la case "ada0" et sélectionner ce disque. Ensuite, appuyez sur Entrée pour valider.
Vous êtes sûr de vouloir écraser le contenu actuel du disque virtuel ? Oui, car il est vide, donc on sélectionne "Yes" et on appuie sur Entrée.
Patientez pendant l'installation de Pfsense...
Lorsque l'installation est terminée, sélectionnez "No" et validez, car nous ne souhaitons pas accéder au shell pour effectuer des opérations supplémentaires.
Validez pour redémarrer la machine virtuelle Pfsense !
Il y a des chances pour que la VM charge de nouveau l'image ISO.... Cliquez sur "Périphériques", puis sous "Lecteurs optiques" décochez l'ISO Pfsense afin de forcer son démontage. Forcez un redémarrage de la VM via VirtualBox si, effectivement, l'image ISO est de nouveau chargée.
La VM Pfsense démarre et lorsque le démarrage est terminé, un menu s'affiche comme sur l'image ci-dessous. Voyons comment configurer PfSense.
IV. Configuration de Pfsense
A. Configuration des interfaces LAN et WAN
Pour la configuration initiale de Pfsense, il y a la possibilité d'effectuer des tâches de base via la console depuis la VM en utilisant les différentes fonctions du menu. Néanmoins, Pfsense est un système qui se configure par une interface Web accessible depuis l'interface LAN, c'est-à-dire ici à partir d'une machine virtuelle connectée au réseau "LAN_VM".
Note : il existe plusieurs façons d'autoriser la gestion du pare-feu Pfsense depuis l'interface WAN, et donc depuis Internet, mais ce n'est pas recommandé.
Sur l'image ci-dessous, on peut voir que Pfsense a automatiquement affecté les deux cartes réseau de notre VM aux interfaces WAN et LAN. Dans le cas où l'affectation serait inversée, il faudrait utiliser l'option 1 (Assign Interfaces) pour inverser les deux cartes.
Pour ma part, c'est tout bon. Comment je le sais ? Et bien, l'interface WAN correspondante à "em0" (Adapter 1 de la VM) a obtenu l'adresse IP "192.168.1.29/24" via DHCP, ce qui signifie qu'elle est bien connectée au réseau en mode pont. Quant à l'interface LAN, elle bénéficie de l'adresse IP "192.168.1.1" qui est attribuée par défaut.
Nous allons changer l'adresse IP de l'interface LAN afin d'utiliser "192.168.2.1/24" donc choisissez l'option "2" et validez.
Afin de modifier l'interface LAN, indiquez "2" et validez, puis indiquez la nouvelle adresse IP. Ensuite, pour le masque, indiquez "24" et validez.
Pour la passerelle, laissez la vide, car on utilisera l'interface WAN pour accéder à Internet. Laissez vide également pour la partie IPv6. Enfin, VirtualBox vous demande si vous souhaitez activer le DHCP sur le LAN (faites-le en Web, c'est plus sympa) et si vous souhaitez définir le protocole HTTP comme protocole pour accéder à l'interface Web, indiquez "n" pour "non", car on va rester en HTTPS.
Pfsense nous indique que l'on peut accéder à l'interface Web de configuration via l'adresse suivante : https://192.168.2.1.
B. Accès à l'interface Web de Pfsense
Désormais, nous allons basculer sur la seconde machine virtuelle pour configurer Pfsense en mode Web.
Au même titre que l'interface LAN (Adapter 2) de notre pare-feu virtuel, la carte réseau de cette VM doit être configurée en mode "réseau interne" sur le réseau nommé "LAN_VM". Comme ceci :
Puis, sur cette même machine virtuelle, on configure une adresse IP fixe, car nous n'avons pas de serveur DHCP sur ce réseau interne. Il est indispensable d'utiliser une adresse IP sur le même réseau : 192.168.2.2/24, avec la passerelle 192.168.2.1, c'est très bien. Afin d'accéder à Internet, n'oubliez pas le DNS.
La bonne nouvelle, c'est que je parviens à effectuer un ping vers l'interface LAN de Pfsense.
À partir d'un navigateur, nous allons poursuivre la configuration de Pfsense en saisissant l'adresse IP dans la barre d'adresse. Par défaut, il faut s'authentifier avec l'utilisateur "admin" et le mot de passe "pfsense".
C. Configuration initiale via l'assistant Pfsense
Lors de la première connexion, un assistant s'exécute dans le but de configurer les options de base. Cliquez sur "Next".
Lors de cette seconde étape, plusieurs options sont proposées :
Hostname : le nom de l'hôte Pfsense
Domain : le nom de domaine, utilisez le même que votre nom de domaine Active Directory si vous envisagez de monter un annuaire
Primary DNS Server : serveur DNS primaire utilisé par le pare-feu (serveur externe)
Secondary DNS Server : serveur DNS secondaire utilisé par le pare-feu (serveur externe)
Voici un exemple :
À l'étape suivante, il est question de la date et de l'heure.
Time server hostname : sur quel serveur de temps faut-il se synchroniser ? Vous pouvez utiliser "fr.pool.ntp.org" qui est un ensemble de serveurs en France pour se synchroniser.
Timezone : le choix du fuseau horaire
À l'étape d'après, il est question de l'interface WAN. Par défaut, elle est configurée en DHCP et elle a pu obtenir une adresse IP via ma box puisqu'elle assure le rôle de serveur DHCP. En fonction de votre environnement et vos besoins, vous pourriez avoir envie d'utiliser une adresse IP statique sur cette interface WAN : c'est ici que ça se passe.
Avant de passer à l'étape suivante, il est indispensable de décocher les deux options suivantes : Block private networks and loopback addresses et Block bogon networks. Sinon, tout le trafic entrant sur l'interface WAN en provenance de réseaux privés (comme le réseau 192.168.1.0/24) sera bloqué, ce qui va nous poser problème dans le cadre de ce lab.
À l'étape suivante, c'est l'interface LAN. Il n'est pas nécessaire de modifier la configuration puisque nous avons déjà effectué la configuration de cette interface à partir de la console Pfsense.
Modifiez le mot de passe "admin" de Pfsense afin d'utiliser un mot de passe fort. Pour aller plus loin, je vous recommande de ne pas utiliser le compte admin par défaut et de créer plutôt un nouveau compte "admin".
Voilà, la configuration initiale de Pfsense est terminée !
Cliquez sur "Reload" afin de redémarrer Pfsense pour appliquer les changements.
Le pare-feu Pfsense est prêt et il ne demande qu'une chose : être exploité !
D. Règles de NAT et de pare-feu par défaut
La VM connectée au réseau interne "LAN_VM" et que nous utilisons pour administrer le pare-feu Pfsense dispose d'un accès à Internet. Cela s'explique par le fait que le NAT (via la méthode du PAT) est configuré par défaut sur le pare-feu Pfsense. Pour le vérifier, accédez au menu "Firewall" puis à "NAT".
Cliquez sur l'onglet "Outbound" pour visualiser l'état du NAT sur les flux sortants. Ici, on voit que le mode actif est "Automatic outbound NAT rule generation" donc il y a une règle de NAT créée automatiquement et qui permet d'accéder à Internet. Au sein de cette règle, nous pouvons voir que le réseau "192.168.2.0/24" est bien déclaré. Afin de récupérer la main sur la gestion du NAT et des règles, il faut passer en mode "Manual Outbound".
Maintenant, cliquez sur "Rules" dans le menu "Firewall". Ensuite, cliquez sur l'onglet "LAN" pour visualiser les règles de pare-feu appliquées sur l'interface LAN. Ici, on peut voir qu'il y a trois règles :
La première règle nommée "Anti-lockout Rule" sert à autoriser explicitement l'accès à l'interface de gestion du Pfsense, afin d'éviter de perdre la main si une règle trop restrictive est créée.
La deuxième règle sert à autoriser tous les flux du LAN vers le WAN, en IPv4
La troisième règle sert à autoriser tous les flux du LAN vers le WAN, en IPv6
Ainsi, par défaut, les machines virtuelles connectées au réseau local virtuel "LAN_VM" pourront utiliser tous les protocoles et tous les services en sortie du réseau, sans restriction. Il est préférable de brider les flux pour contrôler ce qui peut être fait ou non sur notre réseau local virtuel.
Le pare-feu virtuel Pfsense est prêt à l'emploi, tout comme notre lab VirtualBox dans son ensemble qui est prêt à accueillir de nouvelles VMs dans le réseau local virtuel "LAN_VM". À vous de jouer ! Pour aller plus loin avec Pfsense, je vous invite à consulter cette page : Tutoriels Pfsense.
Des chercheurs en sécurité attirent l'attention des utilisateurs sur une vulnérabilité zero-day dans Microsoft Office, qui pourrait être exploitée pour exécuter du code arbitraire sur des machines Windows. Faisons le point sur cette faille de sécurité qui mérite une attention particulière compte tenu de sa dangerosité.
Une équipe de chercheurs en sécurité connue sous le nom de nao_sec a fait la découverte d'un document Word nommé "05-2022-0438.doc" par l'intermédiaire du site VirusTotal. Ce document a été chargé depuis une adresse IP localisée Biélorussie. À l'heure où j'écris ces lignes, 18 moteurs de détection le considèrent comme malveillant, sur un total de 61.
D'après Kevin Beaumont, qui a surnommé cette vulnérabilité "Follina", ce document Word malveillant s'appuie sur la technique d'attaque "Template Injection" dont l'objectif est de télécharger un fichier HTML à partir d'un serveur et il utilise le schéma "ms-msdt://" pour exécuter du code malveillant. Dans ce cas présent, le code malveillant est du code PowerShell. En temps normal, MSDT pour Microsoft Support Diagnostics Tool, est un utilitaire de Microsoft qui est utilisé pour collecter des données qui seront ensuite analysées par le support afin de diagnostiquer et résoudre un incident.
Habituellement, les documents piégés s'appuient sur les macros pour exécuter du code malveillant sur la machine. Cette fois-ci, c'est différent et ce n'est pas étonnant puisque Microsoft a durci sa politique au sujet des macros en forçant la désactivation par défaut de certaines macros. De ce fait, ce document Word malveillant peut infecter la machine même si les macros sont désactivées !
Il faut également se méfier de la fonction dans l'Explorateur de fichiers qui permet de prévisualiser le document, car cela permet de le charger. Voici ce que précise Kevin Beaumont d'après ses tests et notamment le mode protégé de Word : "La vue protégée s'active, mais si vous changez le document en format RTF, il s'exécute sans même ouvrir le document (via l'onglet de prévisualisation dans l'Explorateur)."
Ce qui est certain, c'est que Microsoft Office 2013, Office 2016, Office 2019 et Office 2021 sont affectés, y compris avec les derniers correctifs, mais il est probable que ce soit le cas aussi des autres versions, notamment Office via un abonnement Office 365. Pour le moment, il n'existe pas de correctifs pour se protéger contre cette faille de sécurité, donc vos utilisateurs doivent être vigilants dans les prochains jours (encore un peu plus que d'habitude).
Microsoft a fait une annonce importante au sujet d'Azure Active Directory (Azure AD) et qui s'adresse à toutes les entreprises qui possèdent un tenant ! La firme de Redmond va activer, par défaut, certaines fonctionnalités de sécurité sur tous les tenants d'ici la fin juin 2022.
Depuis octobre 2019, chaque nouveau tenant est livré dans une configuration un peu plus stricte afin d'avoir un niveau de sécurité par défaut satisfaisant. Cela est forcément bénéfique aux entreprises qui n'ont pas une équipe IT ou qui n'ont pas suffisamment de compétences sur la gestion d'Azure AD. Deux ans plus tard, ce sont près de 30 millions d'entreprises qui utilisent un tenant Azure AD avec ces paramètres par défaut activé.
Microsoft veut aller plus loin afin de protéger tous les tenants contre ces attaques basiques à destination des comptes utilisateurs, en s'intéressant aux tenants existants. De ce fait, Alex Weinert de chez Microsoft précise :"C'est pourquoi nous sommes ravis d'annoncer le déploiement de la sécurité par défaut pour les tenants existants, en ciblant ceux qui n'ont pas modifié leurs paramètres de sécurité depuis le déploiement.".
Quand Microsoft va commencer le déploiement de cette configuration, les administrateurs (rôle Administrateur Global) seront informés et pourront, soit activer les paramètres de sécurité par défaut, soit en suspendre l'application pendant 14 jours, après quoi ils seront activés automatiquement.
Lorsque Microsoft parle d'activer par défaut les options de sécurité (security defaults), cela fait référence à l'activation de l'authentification multifacteurs (MFA) sur tous les comptes et à l'utilisation exclusive des méthodes d'authentification modernes. Un client qui ne supporte pas le MFA, ne pourra plus s'authentifier avec les méthodes d'authentification classique.
Si vous n'êtes pas convaincu quant à l'utilisation du MFA, sachez que d'après les données télémétriques de Microsoft, le fait d'imposer le MFA à ses utilisateurs permet d'empêcher 99,9% des attaques de compromission de comptes. Les entreprises ont toujours la possibilité de désactiver ces fonctionnalités.
Windows Subsystem for Linux semble attirer les pirates informatiques comme le prouve ce nouveau logiciel malveillant qui exploite WSL ! Il est capable de voler vos mots de passe dans Chrome et Opera, mais également les cookies d'authentification stockés sur votre machine.
Pour rappel, Windows Subsystem for Linux (WSL) est une fonctionnalité de Windows 10, Windows 11 et Windows Server 2022 qui permet de prendre en charge nativement Linux sur Windows. Ainsi, il est possible de faire tourner des distributions Linux, mais également d'exécuter des applications avec une interface graphique nativement sous Windows via WSLg.
S'appuyer sur WSL pour exécuter un logiciel malveillant sur Windows, ce n'est pas nouveau. Il suffit de remonter en septembre dernier puisque je vous parlais déjà d'un malware qui s'appuyait sur WSL. D'ailleurs, depuis l'automne dernier, les chercheurs en sécurité de chez Black Lotus Labs auraient détecté plus de 100 échantillons de malwares basés sur WSL !
Ces malwares bénéficient de différentes fonctionnalités, comme la possibilité d'agir comme un logiciel d'accès à distance ou de mettre en place un reverse shell sur l'hôte infecté. Récemment, les chercheurs de chez Black Lotus Labs ont fait la découverte d'un logiciel malveillant qui s'appuie sur un outil Python nommé "RAT-via-Telegram-Bot".
En regardant la description de cet outil, on constate qu'il permet d'envoyer des ordres à la machine infectée par l'intermédiaire de Telegram, et qu'il y a des fonctions pour voler les cookies d'authentification et les mots de passe à partir de Google Chrome et Opera, d'exécuter des commandes, de télécharger des fichiers, ou encore de localiser l'appareil. D'après les chercheurs, ce malware s'appuie sur un jeton d'un bot valide et un ID de chat, donc il est bien actif.
D'autres informations sont également récupérées, telles que le nom d'utilisateur, la version du système, l'adresse IP, mais aussi des copies d'écran, probablement dans le but de bien identifier l'environnement et d'exécuter une autre charge utile dans un second temps.
Au moment où les chercheurs ont fait des analyses sur cet échantillon sur le site VirusTotal, il n'y a que deux antivirus qui l'ont détecté sur un total de 57. Ce malware est particulièrement efficace pour de l'espionnage étant donné qu'il est en mesure de récupérer des informations sur la machine infectée.
