Microsoft a corrigé une faille de sécurité zero-day qui touche toutes les versions de Windows, que ce soit les versions desktop ou les versions server. En l'exploitant, un attaquant non authentifié peut intercepter des requêtes d'authentification légitimes et les réutiliser pour s'authentifier à son tour auprès d'un annuaire Active Directory. On parle d'une attaque de type relais NTLM.

Même si j'ai déjà évoqué cette vulnérabilité au sein de mon article dédié au Patch Tuesday de Mai 2022, je souhaite insister sur cette faille, car elle est particulièrement dangereuse dans les environnements où l'authentification s'appuie sur un annuaire Active Directory. Elle touche le protocole d'authentification NTLM (NT Lan Manager) et LSA (Local Security Authority) associé au processus d'identification des utilisateurs "lsass.exe" sous Windows.

Associée à la référence CVE-2022-26925, cette faille de sécurité semble être un nouveau vecteur exploitable pour réaliser une attaque par "relais NTLM" comme PetitPotam (une faille de sécurité découverte en juillet 2021 par Lionel Gilles). Cette fois-ci, c'est Raphael John de l'entreprise allemande Bertelsmann Printing Group qui a reporté cette faille de sécurité à Microsoft. PetitPotam est une vulnérabilité bien connue des pirates informatiques et elle est utilisée dans le cadre d'attaques, y compris par certains ransomwares tels que LockFile.

Pour exploiter ce nouveau vecteur, le pirate n'a pas besoin d'être authentifié, mais c'est tout de même une attaque relativement complexe à mener. L'objectif étant d'intercepter des requêtes d'authentification entre un client et un contrôleur de domaine afin de pouvoir les rejouer, donc l'attaquant doit réaliser une attaque de type man-in-the-middle (MITM). Dans le cas où il réussit son coup, il peut s'authentifier auprès du contrôleur de domaine dans le but de compromettre le domaine.

Au sein de son bulletin de sécurité, Microsoft précise : "Un attaquant non authentifié pourrait appeler une méthode sur l'interface LSARPC et contraindre le contrôleur de domaine à s'authentifier auprès de l'attaquant en utilisant NTLM. Cette mise à jour de sécurité détecte les tentatives de connexion anonyme dans LSARPC et les interdit.".

Comment se protéger de la vulnérabilité CVE-2022-26925 ?

En mettant à jour vos machines ! Cette mise à jour doit être installée dès que possible sur vos machines sous Windows, en traitant en priorité les contrôleurs de domaine. Toutes les versions de Windows sont touchées, de Windows 7 à Windows 11, et de Windows Server 2008 à Windows Server 2022.

Selon votre version de Windows Server, le numéro de KB n'est pas le même. Voici une liste :

• Windows Server 2022 : KB5013944
• Windows Server 2019 : KB5013941
• Windows Server 2016 : KB5013952
• Windows Server 2012 R2 : KB5014011
• Windows Server 2012 : KB5014017

En complément, et pour se protéger contre les attaques par relais NTLM, voici quelques liens utiles :

• Microsoft - ADV210003
• IT-Connect - PetitPotam

Concernant les mises à jour de mai 2022 pour Windows 10 et Windows 11, voici le lien vers mes articles :

• Mises à jour Windows 10 de mai 2022 : KB5013942 et KB5013945
• Windows 11 KB5013943 : quoi de neuf ?

The post Relais NTLM : cette faille zero-day touche toutes les versions de Windows ! first appeared on IT-Connect.

Microsoft a mis en ligne la mise à jour KB5013943 pour Windows 11 dans le but de corriger des bugs, mais également des failles de sécurité. C'est un rituel tous les mois, et comme Windows 10, le système Windows 11 a également le droit à sa mise à jour mensuelle. Quoi de neuf dans cette mise à jour ? Réponse dans cet article.

Au total, ce sont 27 changements qui sont apportés à Windows 11, et Microsoft met en avant les améliorations et correctifs suivants :

• Microsoft a corrigé un bug qui empêchait les applications .NET Framework 3.5 de s'ouvrir. Plus précisément, seules les applications qui utilisent les composants WCF (Windows Communication Foundation) et WWF (Windows Workflow) avaient ce problème.
• Microsoft a corrigé un problème qui provoquait le scintillement de votre écran, dans le cas où Windows 11 est démarré en mode sans échec (notamment dans l'Explorateur de fichiers et la barre des tâches).
• Microsoft a corrigé un problème de sous-titres vidéo partiellement coupés ou mal alignés à l'écran.
• Si vous positionnez la barre des tâches sur la gauche, Windows 11 affiche désormais la température au-dessus de l'icône météo.
• Les boutons pour réduire, agrandir ou fermer une fenêtre fonctionnent désormais correctement dans les applications.

Pour en savoir plus sur les changements, il faut se référer à un ancien article mis en ligne sur le site de Microsoft en avril dernier et disponible à cette adresse, ainsi qu'à la vidéo de cet article officiel. Personnellement, sur ma machine Windows 11, deux mises à jour sont arrivées ce matin :

• KB5013943 : 2022-05 Mise à jour cumulative pour Windows 11 pour les systèmes x64
• KB5013628 : 2022-05 Mise à jour cumulative pour .NET Framework 3.5 pour et 4.8 pour Windows 11 pour les systèmes x64

Après l'installation, le numéro de version de Windows 11 passe sur 22000.675. Désormais, c'est à vous de jouer : à vos mises à jour !

Pour les correctifs de sécurité, retrouvez des informations sur le Patch Tuesday de Mai 2022 dans cet article : Patch Tuesday - Mai 2022. En ce qui concerne Windows 10, j'ai également publié des informations au sujet des mises à jour KB5013942 et KB5013945.

Source

The post Windows 11 KB5013943 : quoi de neuf ? first appeared on IT-Connect.

Dans le but de corriger des failles de sécurité et des bugs, Microsoft a mis en ligne de nouvelles mises à jour cumulatives pour Windows 10, en ce qui concerne les versions toujours sous support.

Microsoft a mis en ligne les mises à jour KB5013942 et KB5013945 afin de couvrir les versions suivantes de Windows 10 : Windows 10 version 1909,  Windows 10 20H2, Windows 10 21H1 et Windows 10 21H2. Par ailleurs, Windows 10 20H1 (version 2004) va également recevoir une mise à jour pour les éditions Entreprise et Education uniquement car cette version n'est plus supportée depuis le 14 décembre 2021.

Sur son site, Microsoft précise qu'il s'agit de la dernière mise à jour pour les versions 1909 et 20H2, car le support a pris fin le 10 mai 2022. Pour Windows 10 version 1909, cela concerne toutes les versions y compris Entreprise et Education, tandis que pour Windows 10 version 20H2, cette fin du support s'applique aux éditions suivantes : Pro, Education, et Pro for Workstations.

En résumé :

- KB5013942 pour Windows 10 20H2, Windows 10 21H1 et Windows 10 21H2
- KB5013945 pour Windows 10 version 1909

Quels sont les changements apportés ?

Bon, sinon, quelles sont les changements "majeurs" apportés par ces mises à jour ? Tout d'abord, Microsoft a corrigé un bug qui se produisait au démarrage de certaines machines et qui rendait le démarrage lent. Ensuite, nous retrouvons les corrections de bug suivantes déjà évoquées par Microsoft dans une mise à jour "preview" :

• Mise à jour de la maintenance du composant Secure Boot de Windows pour inclure de nouvelles améliorations.
• Bug entraînant un plantage d'Internet Explorer lors d'un copier-coller de texte à partir d'un IME.
• Bug qui provoque un écran noir pour certains utilisateurs lorsqu'ils se connectent et se déconnectent de Windows.
• Bug où la sélection d'un fichier OneDrive est perdue après avoir renommé le fichier et appuyé sur Entrée.
• Bug à cause duquel le panneau Nouvelles et Intérêts s'ouvre tout seul.
• Bug qui vous empêche de modifier un mot de passe expiré lorsque vous vous connectez à Windows.

Ces mises à jour sont disponibles par l'intermédiaire des canaux habituels, notamment les serveurs WSUS, Windows Update mais aussi le Catalogue Microsoft Update.

Pour les correctifs de sécurité, retrouvez des informations sur le Patch Tuesday de Mai 2022 dans cet article : Patch Tuesday - Mai 2022.

Source

The post Mises à jour Windows 10 de mai 2022 : KB5013942 et KB5013945 first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à personnaliser la barre des tâches de Windows 10 et Windows 11, par GPO, afin d'ajouter des icônes d'applications qui seront épinglés par défaut dans les sessions des utilisateurs. Lorsqu'un utilisateur se connecte la première fois sur un ordinateur Windows 10, il a plusieurs icônes épinglés à la barre des tâches : Microsoft Edge, l'Explorateur de fichiers, le Microsoft Store et l'application Courrier. C'est déjà ça, mais en entreprise, on peut avoir envie d'autre chose notamment pour épingler Word, Outlook, un lecteur PDF voire même un autre navigateur.

De la même façon qu'il est possible de personnaliser le menu Démarrer afin d'intégrer certains icônes par défaut, il est possible de personnaliser la barre des tâches pour intégrer des applications afin qu'elles soient épinglées par défaut. À la place de la disposition par défaut, telle qu'elle est présentée ci-dessous, nous allons pouvoir épingler les applications que l'on souhaite !

Note : en ajoutant des applications à la barre des tâches, vous n'empêchez pas l'utilisateur d'épingler des applications supplémentaires.

Voici les grandes étapes à suivre pour atteindre notre objectif du jour :

• Épingler au menu Démarrer les applications à épingler à la barre des tâches
• Exporter la disposition du menu Démarrer au format XML pour récupérer les ID d'applications
• Constituer le fichier XML correspondant à la disposition cible pour la barre des tâches
• Déposer le fichier XML sur un partage accessible par les utilisateurs (pour l'application de la GPO)
• Créer la GPO pour configurer le paramètre "Disposition de l'écran de démarrage"

Pour cette démonstration, je vais utiliser un contrôleur de domaine et un poste de travail sous Windows 10, intégré au domaine, et sur lequel je vais me connecter avec un utilisateur standard.

• Dans le même esprit : Tutoriel - Comment associer les extensions de fichiers à des applications par GPO ?

II. Créer le fichier XML pour la barre des tâches

Tout d'abord, nous devons créer le fichier XML correspondant à la future disposition de la barre des tâches. Concrètement, le contenu de ce fichier XML, on ne va pas le deviner... Microsoft met à disposition un modèle dans sa documentation, et on sait qu'il y a plusieurs possibilités :

• Ajouter nos icônes personnalisés, en supplément des icônes par défaut
• Ajouter nos icônes personnalisés, en remplaçant les icônes par défaut

Dans cet exemple, je vais faire en sorte d'avoir une barre des tâches avec trois icônes :

• Microsoft Word
• Microsoft Edge
• Explorateur de fichiers

On peut considérer que c'est une configuration un peu hybride puisqu'il y a Microsoft Word qui est là en supplément, et les deux autres sont des applications par défaut. Néanmoins, comme je décide de retirer tous les icônes par défaut, il faut que je précise ces deux applications pour les intégrer à ma barre des tâches.

A. Épingler les applications au menu Démarrer

Nous devons récupérer les chemins et identifiants d'applications correspondants aux applications à ajouter à la barre des tâches. Pour cela, le plus simple, c'est de prendre une machine, d'ouvrir une session, et d'épingler au menu Démarrer (oui, j'ai bien dit au menu Démarrer) les applications que l'on souhaite épingler à la barre des tâches.

B. Exporter la disposition avec Export-StartLayout

Ensuite, grâce à la commande Export-StartLayout, on va pouvoir exporter au format XML la disposition de notre menu Démarrer et ainsi récupérer les informations dont on a besoin.

Toujours sur la même machine, nous devons exécuter la commande ci-dessous pour créer un fichier "W10-Apps.xml" sur le Bureau.

Export-StartLayout -Path "$env:userprofile\Desktop\W10-Apps.xml"

Le fichier W10-Apps.xml contient de nombreuses lignes, et notamment la déclaration de chaque application du menu Démarrer. Je retrouve bien Edge, Word et l'Explorateur. Ici, ce qui m'intéresse, c'est la valeur de la propriété "DesktopApplicationLinkPath", car elle donne le chemin vers le lien qui permet d'appeler l'application.

Gardons ces valeurs de côté, car nous allons en avoir besoin juste après.

C. Constituer le fichier XML

Pour le fichier XML qui permet de configurer la barre des tâches, j'ai repris un modèle de base de Microsoft au sein duquel j'ai ajouté la déclaration des trois applications : Word, Edge, Explorateur. Il est à noter qu'un seul fichier XML peut permettre de configurer le menu Démarrer et la barre des tâches, dans le cas où vous souhaitez configurer les deux par GPO (c'est le même paramètre de GPO).

Voici le fichier XML que nous devons appliquer :

<?xml version="1.0" encoding="utf-8"?>
<LayoutModificationTemplate
    xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"
    xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
    xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"
    xmlns:taskbar="http://schemas.microsoft.com/Start/2014/TaskbarLayout"
    Version="1">
   <CustomTaskbarLayoutCollection PinListPlacement="Replace">
    <defaultlayout:TaskbarLayout>
     <taskbar:TaskbarPinList>
      <taskbar:DesktopApp DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\System Tools\File Explorer.lnk" />
      <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk" />
      <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Word.lnk"/>
     </taskbar:TaskbarPinList>
    </defaultlayout:TaskbarLayout>
   </CustomTaskbarLayoutCollection>
</LayoutModificationTemplate>

On remarque la présence des lignes "taskbar:DesktopApp" afin de déclarer les applications à épingler à la barre des tâches : vous pouvez en ajouter d'autres, à votre convenance. Petite précision : la valeur "taskbar:DesktopApp" doit être remplacée par "taskbar:UWA" lorsqu'il s'agit d'une application moderne qui doit être ouverte.

Quant à l'option "PinListPlacement="Replace"", vous devez l'intégrer uniquement si vous souhaitez remplacer la disposition par défaut, sinon vous devez la retirer afin de conserver les icônes par défaut.

Voilà pour les explications : enregistrez le fichier au format XML avant de passer à la suite.

III. Héberger le fichier XML

Le fichier XML doit être mis à disposition sur un partage afin de pouvoir être lu par les utilisateurs et être appliqué dans les sessions. Dans le cadre de cet exemple, je positionne le fichier "W10-Taskbar.xml" directement dans le partage SYSVOL de mon domaine Active Directory, mais vous pouvez choisir un autre emplacement.

Ce qui donne :

Le fichier étant accessible via le réseau, il ne reste plus qu'à créer la GPO.

IV. Configurer la barre des tâches par GPO

Il est temps de configurer la stratégie de groupe qui va exploiter le fichier XML. Pour ma part, je nomme cette GPO "Icones barre des tâches" et je crée une liaison avec l'OU "Personnel" qui contient tous mes utilisateurs. Vous pouvez aussi utiliser une GPO existante, en fait.

Modifiez la GPO et parcourez les paramètres de cette façon :

Configuration utilisateur > Stratégies > Modèles d'administration > Menu Démarrer et barre des tâches

Ici, vous allez trouver le paramètre "Disposition de l'écran de démarrage" que nous allons configurer.

Cochez l'option "Activé" et renseignez l'option "Fichier de disposition de démarrage" pour préciser le chemin réseau (commençant par "\\") vers le fichier XML. Si vous avez l'option "Réappliquer la mise en page à chaque connexion", vous pouvez l'activer, mais d'après ce que j'ai pu constater, cela ne fonctionne pas pour la barre des tâches (je vais revenir sur ce point).

La GPO est prête : nous pouvons tester !

V. Tester sur un poste client

À partir d'un poste sous Windows 10, intégré au domaine, je me connecte avec la session d'un utilisateur membre de l'OU "Personnel" de mon AD. Et là, c'est magique : ma barre des tâches intègre bien les trois icônes que j'ai déclaré dans mon fichier de configuration au format XML !

L'utilisateur est en mesure d'ajouter d'autres applications à la barre des tâches, mais aussi de supprimer celles que vous avez épinglées. Même si l'on a coché l'option "Réappliquer la mise en page à chaque connexion", cela ne semble pas fonctionner, car les icônes ne reviennent pas !

D'après mes tests, le fichier XML est réappliqué uniquement lorsqu'il est modifié ! Ainsi, si on veut simuler une modification, on peut exécuter cette commande sur un serveur ayant des droits d'écriture sur le fichier XML afin de modifier la date de dernière modification (LastWriteTime).

(ls \\it-connect.local\sysvol\it-connect.local\scripts\W10-Taskbar.xml).LastWriteTime = Get-Date

À la prochaine ouverture de session, vos icônes vont revenir, en plus de ceux de l'utilisateur ! Cela est un point faible, mais ce n'est pas gênant si vous souhaitez que cette disposition soit une configuration par défaut et que vous souhaitez laisser complètement la main à l'utilisateur. Si vous souhaitez que ce soit toujours réappliqué, vous pouvez créer une routine sur le serveur pour qu'il modifie l'attribut "LastWriteTime" du fichier à intervalle régulier (je n'ai pas mieux à vous proposer à ce jour).

Pour approfondir le sujet, notamment parce que l'on peut imaginer une disposition de barre des tâches différentes selon le pays de l'utilisateur, je vous recommande de lire cette documentation de Microsoft : Microsoft Docs - Barre des tâches.

The post Windows 10 : comment épingler des icônes à la barre des tâches par GPO ? first appeared on IT-Connect.

Microsoft a mis en ligne son Patch Tuesday de Mai 2022 ! Au programme, nous avons le droit 75 failles de sécurité et 3 failles zero-day dont une qui serait activement exploitée. Faisons le point.

Pour une fois, il n'y a pas de faille de sécurité corrigée dans Microsoft Edge ! Ensuite, parmi ces 75 vulnérabilités, il y en a 8 qui sont considérées comme critiques et qui correspondent à des failles de type "exécution de code à distance" ou "élévation de privilèges". Au total, il y a 26 vulnérabilités de type "exécution de code à distance" et 21 vulnérabilités de type "élévation de privilèges".

De manière générale, les produits touchés par des vulnérabilités critiques sont : Azure SHIR (ADV220001), le client Bureau à distance de Windows (CVE-2022-22017), Magnitude Simba Amazon Redshift ODBC Driver (CVE-2022-29972), l'Active Directory (CVE-2022-26923), Windows Kerberos (CVE-2022-26931), Windows NFS (CVE-2022-26937) et Windows PPTP par deux fois (CVE-2022-23270 et CVE-2022-21972).

D'autres produits sont également concernés par ce Patch Tuesday, parmi lesquels : .NET et Visual Studio, Microsoft Exchange Server, Microsoft Office, Hyper-V (trois vulnérabilités importantes), BitLocker, Windows Cluster Shared Volume, l'implémentation du protocole LDAP dans Windows (dix vulnérabilités importantes), Windows NTFS, le Spouleur d'impression de Windows (quatre vulnérabilités importantes), etc.

Trois failles 0-day dans le Patch Tuesday de Mai 2022

Parlons des trois failles 0-day corrigées par ce Patch Tuesday de Mai 2022. Tout d'abord, les deux vulnérabilités ci-dessous sont connues publiquement et elles viennent d'être patchée :

• CVE-2022-22713 - Déni de service dans Hyper-V
  • OS : Windows Server version 20H2 (Core), Windows 10 version 21H2, Windows 10 version 21H1 et Windows 10 version 20H2
• CVE-2022-29972 - Exécution de code à distance dans le pilote ODBC de Redshift, ce qui peut impacter certains produits Microsoft

Quant à la faille 0-day qui est actuellement exploitée dans le cadre d'attaques informatiques, il s'agit de la CVE-2022-26925 ! Cette vulnérabilité permet une nouvelle attaque de type "relais NTLM" dans le même esprit que la faille de sécurité PetitPotam découverte en 2021. Toutes les versions de Windows (desktop et server) sont affectées.

A son sujet, Microsoft précise : "Un attaquant non authentifié pourrait appeler une méthode sur l'interface LSARPC et contraindre le contrôleur de domaine à s'authentifier auprès de l'attaquant en utilisant NTLM. Cette mise à jour de sécurité détecte les tentatives de connexion anonyme dans LSARPC et les interdit.".

Grâce à cela, l'attaquant peut intercepter des requêtes d'authentification légitimes et les réutiliser pour s'authentifier à son tour dans le but d'effectuer une élévation de privilèges. Une vulnérabilité particulièrement dangereuse pour les entreprises qui utilisent un Active Directory !

On se retrouve un peu plus tard pour parler des mises à jour cumulatives pour Windows 10 et Windows 11 qui viennent de sortir...

Source

The post Patch Tuesday – Mai 2022 : 75 vulnérabilités et 3 zero-day dont une exploitée ! first appeared on IT-Connect.