I. Présentation

Dans ce tutoriel, nous allons apprendre à créer un compte gMSA et à l'utiliser au sein d'une tâche planifiée sur Windows Server afin d'exécuter un script PowerShell (ou autre chose) de façon sécurisée.

Exécuter un script PowerShell au sein d'une tâche planifiée, c'est quelque chose de très courant, y compris avec un compte ayant des privilèges élevés sur le domaine Active Directory afin de pouvoir effectuer les tâches qui vont bien. Lors de la configuration de la tâche planifiée, vous allez devoir associer un compte utilisateur qui sera utilisé par Windows pour exécuter la tâche. Pour ce compte, vous avez plusieurs options, dont :

• Associer le compte Administrateur du domaine (ou un équivalent), ce qui est vraiment mal ;
• Associer un compte utilisateur avec une convention de nommage spécifique pour lui donner des allures de comptes de service, par exemple "CDS-Srv-01", disons que ce n'est pas l'idéal non plus, car en général, le mot de passe de ce compte ne sera jamais changé
• Associer un gMSA, c'est-à-dire un véritable compte de service stocké dans l'Active Directory et qui aura un mot de passe renouvelé automatiquement à intervalle régulier (sans aucune configuration de votre part) : là, on est bien !

Bien sûr, dans ce tutoriel je vais vous présenter la dernière option : l'utilisation d'un compte gMSA pour exécuter une tâche planifiée sur Windows. Si vous découvrez la notion de gMSA, je vous recommande de lire l'article ci-dessous, publié il y a quelque temps. Je vous rappelle que les comptes gMSA sont disponibles depuis Windows Server 2012.

• Tutoriel - Active Directory et les comptes gMSA

II. Création du compte gMSA

Dans le but de pouvoir créer un compte gMSA sur notre annuaire Active Directory, il faut générer une clé KDS racine : c'est un prérequis. Sans m'attarder sur le sujet, car je l'ai déjà fait précédemment, voici la commande à exécuter pour créer cette fameuse clé KDS (la commande Get-KdsRootKey permettra de voir si vous en avez déjà une) sur un environnement de production (active sous 10h, le temps de permettre à la clé de se répliquer sur tous les DC) :

Add-KdsRootKey -EffectiveImmediately

Si vous souhaitez pouvoir utiliser la clé KDS dès maintenant sans devoir attendre 10 heures, il est possible de tricher en utilisant cette commande :

Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10))

Le cmdlet New-ADServiceAccount va nous permettre de créer un gMSA nommé "gMSA-SRV-APPS" que le serveur "SRV-APPS" va pouvoir utiliser. Le mot de passe de ce compte gMSA sera régénéré tous les 30 jours, automatiquement. Voici la commande correspondante :

New-ADServiceAccount -Name "gMSA-SRV-APPS" `
                     -Description "gMSA pour tâches planifiées SRV-APPS" `
                     -DNSHostName "gmsa-srv-apps.it-connect.local" `
                     -ManagedPasswordIntervalInDays 30 `
                     -PrincipalsAllowedToRetrieveManagedPassword "SRV-APPS$" `
                     -Enabled $True

- Microsoft Docs - New-ADServiceAccount

Le compte gMSA nommé "gMSA-SRV-APPS" est créé sur mon annuaire Active Directory. Il nous reste deux choses à effectuer :

• L'associer au serveur SRV-APPS dans l'Active Directory

Add-ADComputerServiceAccount -Identity "SRV-APPS" -ServiceAccount "gMSA-SRV-APPS"

• L'ajouter au groupe "Admins du domaine", car il doit pouvoir effectuer des tâches nécessitant des privilèges élevés

Add-ADGroupMember -Identity "Admins du domaine" -Members "gMSA-SRV-APPS$"

Bien sûr, l'ajout dans le groupe "Admins du domaine" peut être fait via la console graphique de gestion de l'Active Directory, comme n'importe quel autre objet. D'ailleurs, on peut vérifier que le gMSA est bien dans le groupe :

Passons sur le serveur SRV-APPS afin de l'utiliser dans une tâche planifiée.

III. Ajouter le gMSA sur le serveur

Le gMSA doit être "installé" sur le serveur pour reprendre le terme de la commande "Install-ADServiceAccount" que nous allons utiliser. Pour utiliser ce cmdlet, il faut disposer du module Active Directory de PowerShell sur l'hôte local (Add-WindowsFeature RSAT-AD-PowerShell). Ensuite, on l'installe en l'appelant par son nom :

Install-ADServiceAccount "gMSA-SRV-APPS"

Il ne reste plus qu'à créer la tâche planifiée et à utiliser le gMSA.

IV. Créer une tâche planifiée avec un gMSA

Pour créer la tâche planifiée, vous allez voir que c'est, à un détail près, une procédure de création classique d'une tâche planifiée sur une machine Windows. Ouvrez la console "Gestion de l'ordinateur", puis "Planificateur de tâches" dans le menu à gauche. Effectuez un clic droit et cliquez sur "Créer une nouvelle tâche". Nous pourrions créer la tâche planifiée avec PowerShell, mais ce n'est pas ce qu'il y a de plus intuitif.

L'assistant va démarrer, nous allons pouvoir configurer la tâche planifiée. Pour ma part, je nomme la tâche "Script PowerShell - Copier un fichier sur tous les ordinateurs", mais cela vous importe peu !

Cette tâche planifiée va exécuter le script "C:\Scripting\Copier-Fichier-PC.ps1" qui a un objectif très simple : copier un fichier sur chaque machine de l'AD contenue sous l'OU "PC". Voici le code, à titre indicatif :

$PCList = (Get-ADComputer -Filter * -SearchBase "OU=PC,DC=it-connect,DC=local").name

Foreach($PC in $PCList){
    Copy-Item -Path "C:\Partage\IT-Connect.txt" -Destination "\\$PC\Partage\"
}

Ce qui est important, ce sont les options de sécurité. Cliquez sur le bouton "Utilisateur ou groupe" afin que l'on puisse sélectionner le gMSA afin que ce soit le compte utilisé par la tâche planifiée. Une fenêtre va s'ouvrir... Cliquez sur "Emplacements" et sélectionnez "Tout l'annuaire" (et non votre domaine) puis "Types d'objets" afin de sélectionner "Des comptes de service".

Une fois que c'est fait, saisissez le nom de votre gMSA (ou le début de son nom) et cliquez sur "Vérifiez les noms". Le gMSA doit être trouvé : il ne reste plus qu'à cliquer sur "OK".

Voilà, la tâche planifiée s'exécutera avec notre compte gMSA !

Au sein de cet onglet "Général", cochez également "Exécuter même si l'utilisateur n'est pas connecté" et "Configurer pour :", choisissez la version la plus élevée de Windows proposée dans la liste.

Pour le reste, il faut définir un déclencheur, puis une action. Pour l'action, ce sera notre script PowerShell : cliquez sur l'onglet "Actions" puis sur "Nouveau". Indiquez :

• Programme/script : powershell.exe
• Ajouter des arguments : -File "<chemin vers le script>" (pour ma part : -File "C:\Scripting\Copier-Fichier-PC.ps1")

Ce qui donne :

Vous n'avez plus qu'à valider, car la tâche planifiée est prête. Enfin, je vous laisse le soin d'ajuster les autres paramètres propres à vos besoins, si vous le souhaitez.

V. Autoriser le gMSA à se connecter en tant que tâche

Afin que le compte gMSA soit en mesure d'exécuter le script via la tâche planifiée, il faut l'autoriser à ouvrir une session en tant que tâche. Sinon, le script ne pourra pas s'exécuter en principe (mais j'ai déjà rencontré des cas où cela fonctionne sans ce paramètre). Pour cela, il faut créer une GPO et l'appliquer sur le(s) serveur(s) qui vont utiliser le gMSA, ou modifier la stratégie locale (gpedit.msc).

Si l'on fait une GPO, ce qui sera le cas en production, il faudra modifier ce paramètre :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Attribution des droits utilisateurs > Ouvrir une session en tant que tâche

Ce paramètre doit être définit et le gMSA sélectionné, sur le même principe que pour le sélectionner au sein de la tâche planifiée.

Grâce à ce changement additionnel, le script PowerShell va s'exécuter en tâche planifiée sans difficultés !

Je vous encourage fortement à exécuter vos tâches planifiées (et les autres services) avec des comptes gMSA afin de renforcer la sécurité de votre infrastructure basée sur un Active Directory.

The post Active Directory : utiliser un gMSA dans une tâche planifiée first appeared on IT-Connect.

Après NVIDIA, c'est au tour de Samsung d'être victime du groupe de cybercriminels LAPSU$ ! Ils ont mis en ligne 190 Go de données qui correspondraient à des informations du géant Samsung !

Pour rappel, les hackers du groupe LAPSU$ sont parvenus à compromettre l'infrastructure de NVIDIA et à exfiltrer 1 To de données. Ils ont mis en ligne 20 Go de données ainsi que les identifiants de plus de 71 000 salariés de l'entreprise américaine. NVIDIA a confirmé l'existence de cette attaque informatique. Désormais, ils affirment détenir des données de Samsung et ont publié un ensemble de données qui n'est pas anodin : 190 Go.

Dans un premier temps, le groupe LAPSU$ a publié une copie d'écran d'un code source en C/C++ où l'on peut voir diverses références à Samsung. Une sorte de teasing avant de publier une description du leak à venir et qui contient des codes sources Samsung confidentiels. Voici le contenu de ce leak qui est réparti en trois archives compressées accessibles via un Torrent :

• Code source des toutes les Trusted Applet (TA) installées dans l'environnement Samsung TrustZone, lié à diverses fonctions de sécurité et notamment Samsung Knox.
• Algorithmes de toutes les opérations de déverrouillages biométriques
• Code source du bootloader de tous les appareils Samsung récents
• Code source de chez Qualcomm
• Code source des serveurs d'activation Samsung
• Code source des services d'authentifications Samsung, notamment les API
• Le contenu de différents dépôts GitHub de Samsung

La liste est impressionnante ! Clairement, si informations publiées par les hackers sont exactes, nous pourrons affirmer que Samsung a subi une importante fuite de données qui pourrait causer d'énormes dommages à l'entreprise. 

Le gang LAPSU$ a-t-il réellement compromis Samsung ? Cela semble bien le cas, alors, le géant coréen aurait-il "oublié" de communiquer sur le sujet ? Ou, est-ce Samsung ne s'est pas rendu compte de cette attaque ? Une rançon a-t-elle était demandée ? Diverses questions se posent, et maintenant que ces données sont en ligne, on peut s'attendre à une réaction de Samsung (et à des explications).

Source

The post Samsung : des hackers publient 190 Go de données ! first appeared on IT-Connect.

Mozilla a mis en ligne des nouvelles versions de son navigateur Firefox afin de corriger deux failles de sécurité zero-day activement exploitée par les pirates informatiques. En version desktop grand public, Firefox passe en version 97.0.2.

Ces deux vulnérabilités sont de type "Use-after-free", c'est-à-dire qu'elles permettent l'utilisation d'un espace mémoire qui a déjà été nettoyé. En exploitant ce bug, l'attaquant peut faire planter l'application source, mais aussi exécuter des commandes arbitraires sur la machine locale, ce qui est particulièrement dangereux.

Voici les deux vulnérabilités en question :

• CVE-2022-26485 : cette faille est liée à la suppression d'un paramètre nommé XSLT. Faille de type "Use-after-free".

• CVE-2022-26486 : cette faille est liée à l'utilisation d'un message inattendu dans le framework IPC de WebGPU. Faille de type "Use-after-free" et qui permet aussi d'échapper à la sandbox.

Puisque ces deux failles de sécurité touchent un navigateur et qu'elles permettent d'exécuter des commandes sur la machine de l'internaute, elles offrent un point d'entrée idéal aux attaquants. L'installation d'un malware en exploitant ces vulnérabilités, est une possibilité. De plus, Mozilla précise dans les deux cas : "Nous avons reçu des rapports d'attaques abusant de cette faille".

Néanmoins, Mozilla ne précise pas comment les hackers ont pu exploiter ces vulnérabilités. Le point d'entrée étant le navigateur, on peut penser qu'il s'agit de sites Internet malveillants, conçus pour exploiter ces vulnérabilités.

Voici les versions à utiliser afin d'être protégé contre ces failles de sécurité :

• Firefox 97.0.2 pour Windows, Linux et macOS
• Firefox ESR 91.6.1
• Firefox for Android 97.3.0
• Firefox Focus 97.3.0

Vous pouvez mettre à jour sur place votre navigateur ou récupérer les packages d'installation depuis le site officiel. Il est fortement recommandé d'installer ces mises à jour dès que possible si vous utilisez le navigateur Firefox sur vos appareils.

Les bulletins de sécurité publiés par Mozilla sont disponibles ici : Mozilla - Security Advisories

À vos mises à jour !

Source

The post Firefox 97.0.2 : Mozilla corrige 2 zero-day activement exploitées ! first appeared on IT-Connect.

Dans ce contexte mondial compliqué, avec cette guerre entre la Russie et l'Ukraine, les conséquences vont bien au-delà des frontières entre ces deux pays. L'éditeur de solution de sécurité Kaspersky est très répandu dans le monde, notamment en France, mais puisqu'il s'agit d'un éditeur russe, doit-on continuer à l'utiliser en entreprise ? Voici ce qu'en pense l'ANSSI.

Au sein de son bulletin de sécurité nommé "Tensions internationales - Menace cyber", l'ANSSI aborde la question de l'utilisation des outils numériques liés à la Russie. Et lorsqu'il s'agit de parler de ces outils russes, le meilleur exemple c'est surement Kaspersky.

Créée en 1997 par Eugène Kaspersky, l'entreprise Kaspersky vient tout droit de Moscou et elle propose des solutions de sécurité, notamment des antivirus / endpoints. Aujourd'hui, Kaspersky est un acteur majeur et il suffit de lire cette phrase sur le site officiel pour s'en convaincre : "Nous opérons dans 200 pays et territoires et avons 34 bureaux dans plus de 30 pays.". Compte tenu de la situation actuelle, c'est un peu compliqué de se dire que son infrastructure est protégée par une solution de sécurité d'un éditeur russe.

Voici ce que nous dit l'ANSSI au sein de ce bulletin de sécurité : "Dans le contexte actuel, l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie. À ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis.". En fait, il ne faut pas déconnecter Kaspersky de votre infrastructure sur un coup de tête suite à la situation actuelle : ce comportement n'est pas adapté et il pourrait être préjudiciable dans le sens où l'entreprise ne serait plus protégée. Pour le moment, les produits Kaspersky fonctionnent normalement, mais jusqu'à quand ? On peut imaginer que les mises à jour ne soient plus distribuées, par exemple.

Par contre, l'ANSSI termine par cette phrase très importante : "À moyen terme, une stratégie de diversification des solutions de cybersécurité doit par conséquent être envisagée.". Pour conclure, on peut dire qu'il ne faut pas encore se séparer de Kaspersky, mais qu'il vaut mieux s'y préparer et anticiper ce changement dès à présent. Sans pour autant changer dans l'immédiat. Même si Kaspersky est un éditeur russe, il ne faut peut-être pas tout mélanger.

Pendant ce temps, on peut imaginer que les concurrents vont essayer de profiter de la situation pour récupérer les clients de Kaspersky. Pour les entreprises, si Kaspersky est finalement banni dans les prochains mois, c'est une très mauvaise nouvelle, car cela va engendrer des investissements supplémentaires, mais aussi la prise en main de la nouvelle solution de sécurité.

Ce bulletin complet est disponible ici : CERTFR-2022-CTI-001

The post Faut-il continuer à utiliser Kaspersky ? Ce qu’en pense l’ANSSI… first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment automatiser le renouvellement d'un certificat Let's Encrypt via ACME et l'API OVH sur un pare-feu PfSense. Cette méthode basée sur l'API OVH permet de renouveler le certificat au niveau du pare-feu, ce qui est intéressant si l'on utilise PfSense en tant que reverse proxy.

Au sein de mon tutoriel "PfSense : reverse proxy HTTPS avec HAProxy et ACME (Let's Encrypt)", j'ai utilisé la méthode "DNS-Manual" pour demander le certificat Let's Encrypt. Il s'avère que cette méthode n'est pas très pratique, car elle nécessite de créer un enregistrement DNS de type "TXT" avec une valeur spécifique à chaque demande de renouvellement. Autrement dit, cela nécessite d'agir manuellement sur la zone DNS du domaine. En utilisant la méthode basée sur l'API OVH, ce processus de renouvellement du certificat Let's Encrypt est entièrement automatisé : une bonne nouvelle ! D'ailleurs, cette méthode peut être utilisée sur d'autres solutions où l'on implémente Let's Encrypt, comme sur un NAS Synology, par exemple.

Cette méthode est relativement simple à utiliser.... Suivez le guide. Je pars du principe que vous avez déjà un pare-feu PfSense et que le paquet ACME est déjà en place. Si besoin, référez-vous au tutoriel mentionné ci-dessus.

II. ACME et l'API OVH

Tout d'abord, il faut créer une clé d'API côté OVH afin de pouvoir gérer la zone DNS de cette façon. Cliquez sur le lien ci-dessous :

Création d'une clé d'accès à l'API OVH

Vous allez arriver sur le site "api.ovh.com" avec un formulaire à l'écran. Voici comment le compléter :

• Account ID or email address : identifiant OVH rattaché au domaine concerné par le certificat
• Password : mot de passe associé à ce compte OVH
• Script name : nom du "script", peu importe
• Script description : une description pour cet accès
• Validity : durée de validité, choisissez "Unlimited" pour que ce soit illimité dans le temps
• Rights : les droits d'accès à attribuer à cette clé (elle doit pouvoir créer et supprimer des enregistrements DNS), remplacez "mydomain.com" par votre nom de domaine, sans modifier le reste du chemin
• Restricted IPs : afin de restreindre l'accès à l'API et sécuriser l'accès à cette clé d'API, je vous recommande de mettre l'adresse IP publique de votre pare-feu PfSense : il sera le seul à pouvoir utiliser l'accès que nous créons.

Lorsque c'est fait, cliquez sur "Create keys".

Vous allez obtenir plusieurs valeurs, notamment deux clés et un secret : gardez ces valeurs bien au chaud. Ensuite, connectez-vous sur le pare-feu PfSens : Services > ACME Certificates. Dans l'onglet "Certificates", modifiez le certificat qui doit utiliser cette nouvelle méthode de validation (ou créez un certificat si vous n'en avez pas).

Au niveau de l'option "Domain SAN list", choisissez la méthode "DNS-ovh / kimsufi / soyoustart / runabove" : un formulaire va apparaître. Remplissez les valeurs "Application Key", "Application Secret" et "Consumer Key" avec les valeurs obtenues précédemment sur l'interface OVH. Pour l'API Endpoint, choisissez "OVH Europe" dans le cas où vous êtes un client OVH européen.

Validez tout en bas de la page. Une fois de retour sur la page certificat, demandé un renouvelle du certificat. L'opération va prendre 1 minute environ, car ACME va lui-même s'occuper de la création d'un enregistrement DNS temporaire, le temps que le certificat soit récupéré. Pendant ce processus, il va automatiquement attendre de voir si Let's Encrypt parvient à lire l'enregistrement DNS. On peut voir plusieurs étapes dans les logs qui s'affichent :

Checking authentication
Consumer key is ok.
Adding record
Added, sleep 10 seconds.
The txt record is added: Success.
Let's check each DNS record now. Sleep 20 seconds first
Not valid yet, let's wait 10 seconds and check next one.
Domain it-connect.tech '_acme-challenge.it-connect.tech' success.
All success, let's return
Removing DNS records

Etc... Puis le certificat s'affiche dans la console et les fichiers sont stockés sur votre pare-feu ! Voilà, le certificat SSL Let's Encrypt sera renouvelé automatiquement !

The post PfSense : renouveler le certificat Let’s Encrypt avec l’API OVH first appeared on IT-Connect.