Chose assez surprenante ce matin : tous les utilisateurs de Firefox ne peuvent plus accéder au moindre site à partir de leur navigateur ! Que se passe-t-il ?

La cause se situe au sein de Firefox 96, la toute dernière version du navigateur et de ce fait cela touche tout le monde, ou en tout cas toutes les personnes qui utilisent ce navigateur. Avec un autre navigateur, pas de soucis.

Rassurez-vous, ce ne sera pas utile de basculer sur Chrome ou Edge puisqu'il existe une solution, enfin même deux solutions ! Pour arriver jusqu'ici et trouver la solution, il sera peut-être utile de dégainer un autre navigateur malgré tout.

Pour solutionner ce problème, voici deux solutions à tester :

Firefox - Désactiver la collecte de données

Ouvrez le navigateur Firefox et saisissez l'adresse suivante dans la barre d'adresse (raccourcis vers les préférences dans la section "Vie privée et sécurité") :

about:preferences#privacy

Descendez dans la page jusqu'à la section "Collecte de données par Firefox et utilisation" et désactivez les différentes options, comme ceci :

Redémarrez le navigateur et le tour est joué.

Firefox - Désactiver HTTP/3

Cette fois-ci, dans la barre d'adresse saisissez ceci pour accéder à la configuration avancée :

about:config

Cliquez sur "Accepter le risque et poursuivre" puis recherchez la préférence suivante :

network.http.http3.enabled

Passez ce paramètre sur "false" en double-cliquant dessus afin de désactiver HTTP/3 dans le navigateur.

Il suffit de redémarrer le navigateur et tout doit fonctionner comme avant !

On ne s'est pas ce qu'il s'est passé exactement, mais pour le moment, le principal est de retrouver un navigateur opérationnel. Quoi qu'il en soit, pensez à réactiver HTTP/3 (si vous avez choisi cette solution) d'ici quelques jours (heures ? ou semaines ?) quand Firefox aura résolu ce problème.

Source

The post Ce matin, Firefox ne fonctionne plus : comment régler le problème ? first appeared on IT-Connect.

Des chercheurs en sécurité ont fait la découverte d'une nouvelle porte dérobée baptisée SysJoker et qui présente la particularité de pouvoir cibler Linux, macOS et Windows.

D'après les informations du site VirusTotal, le premier échantillon de SysJoker a été chargé courant 2021, ce qui correspond également au moment où le domaine du serveur C2 a été enregistré.

Écrit en C++, le logiciel malveillant SysJoker dispose de plusieurs variantes afin de s'adapter au système d'exploitation cible, en fonction de s'il s'agit de Windows, Linux ou macOS. Même si les choses devraient changer rapidement maintenant que l'on parle de lui (si ce n'est pas déjà fait), SysJoker est capable d'agir sur les machines sans être détecté par les moteurs de détection antivirus.

Sur Windows, SysJoker s'appuie sur une DLL qui va exécuter des commandes PowerShell afin de réaliser les actions suivantes :

• Récupérer le ZIP "SysJoker" depuis un dépôt GitHub
• Décompresser le contenu du ZIP dans "C:\ProgramData\RecoverySystem\"
• Exécuter la charge utile sur la machine

Après une courte pause, il s'exécute sur la machine sous la forme d'un processus nommé "igfxCUIService.exe" et correspondant à Intel Graphics Common User Interface Service afin d'être discret. Ensuite, le malware va exécuter des commandes sur la machine afin de collecter des données. Il en profitera également pour créer une clé de Registre afin d'être persistant et exécuté à chaque démarrage de Windows (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run). Enfin, les informations collectées seront exportées vers un serveur C2 dont l'adresse est susceptible d'évoluer avec le temps. En fait, SysJoker récupère une liste de serveurs C2 à partir d'un fichier "domain.txt" hébergé directement sur Google Drive et dont le lien est codé en dur dans le code du malware.

Grâce à cette porte dérobée, les pirates peuvent exécuter des commandes à distance depuis le serveur C2, ou installer des souches malveillantes supplémentaires sur la machine infectée.

Sur Linux et macOS, SysJoker effectue des opérations similaires et adaptées à ces deux systèmes.

Sur Linux le malware SysJoker va créer ses fichiers sous "/.Library/" tandis que pour être persistant, il va créer une tâche planifiée (cron) : @reboot (/.Library/SystemServices/updateSystem). 

Sur macOS, les fichiers sont créés sous "/Library/" et la persistance est mise en place via LaunchAgent au sein du chemin suivant : /Library/LaunchAgents/com.apple.update.plist.

Même si la liste peut évoluer, voici les domaines C2 partagés par la société Intezer et que vous pouvez bloquer :

• https[://]bookitlab[.]tech
• https[://]winaudio-tools[.]com
• https[://]graphic-updater[.]com
• https[://]github[.]url-mini[.]com
• https[://]office360-update[.]com
• https[://]drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
• https[://]drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

Retrouvez l'analyse complète de la société Intezer sur leur blog : SysJoker.

Source

The post SysJoker, la porte dérobée capable de cibler Linux, macOS et Windows first appeared on IT-Connect.

Microsoft continue de travailler sur le développement de Windows 11 afin de peaufiner son nouveau système d'exploitation. Windows 11 Build 22533 est disponible, quels sont les changements ?

Une fois de plus, les changements seront visuels et cette fois-ci ce sont les indicateurs de changement du volume et de la luminosité qui vont bénéficier d'une mise à jour visuelle. Windows 11 utilise toujours l'interface de Windows 8 pour ces indicateurs, alors ils méritaient bien d'être modernisés pour que ce soit plus homogène avec le reste du système.

Désormais, en changeant le volume avec les touches du clavier, c'est une interface comme celle-ci qui va s'afficher :

En complément, ce nouvel indicateur visuel s'adaptera en fonction du thème sélectionné par l'utilisateur, ce qui n'est pas le cas de l'interface actuelle.

Par ailleurs, le menu accessible via le raccourci clavier "Windows + X" ou un clic droit sur le menu Démarrer va être mis à jour afin de remplacer le terme "Applications et fonctionnalités" par "Applications installées". Quant à l'application "Horloge", il sera possible de la désinstaller simplement, car jusqu'ici ce n'était pas le cas.

Enfin, l'application "Votre Téléphone" qui permet d'interagir avec son smartphone depuis Windows 11 va évoluer aussi. Une nouvelle interface va être proposée pour la gestion d'un appel téléphonique depuis son ordinateur, avec toujours l'objectif de moderniser et d'uniformiser les éléments graphiques au niveau du système.

Cette nouvelle Build de Windows 11 est disponible via le canal Dev du programme Windows Insiders.

Source

The post Windows 11 Build 22533 : quoi de neuf ? first appeared on IT-Connect.

En ce début de semaine, Microsoft a publié les nouvelles mises à jour mensuelles pour ses différents OS, dont Windows 10 et Windows 11. Visiblement, certaines mises à jour bloquent les connexions VPN L2TP.

Après la mise à jour de leur machine, certains utilisateurs ont eu une mauvaise surprise : leur connexion VPN initialisée à partir du client VPN Windows ne fonctionne plus ! Un message s'affiche pour notifier l'utilisateur que la connexion VPN n'a pas pu être initialisée : "Can't connect to VPN. The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer".

Au sein de l'observateur d'événements de Windows, cela se traduit par la présence d'un message d'erreur avec le code 789.

Ce bug touche seulement les utilisateurs qui s'appuient sur le client VPN natif de Windows. Si votre VPN s'appuie sur un logiciel tiers comme OpenVPN, vous ne devriez pas rencontrer ce problème. Néanmoins, les clients VPN sont très nombreux sur le marché alors il n'est pas à exclure que des clients VPN tiers soient touchés par ce bug. Des tests s'imposent avant de déployer cette mise à jour.

Les mises à jour qui posent problème sont les suivantes :

• KB5009566 pour Windows 11
• KB5009543 pour Windows 10

Pour le moment, la seule solution consiste à faire machine arrière et à désinstaller la mise à jour sur votre machine :

Windows 11 : 
wusa /uninstall /kb:5009566

Windows 10 : 
wusa /uninstall /kb:5009543

Pour le moment, c'est le seul effet de bords connu suite à l'installation de ces nouvelles mises à jour. Compte tenu du nombre important de failles de sécurité corrigées, il vaut mieux essayer de les installer si vous n'êtes pas touché parce bug lié au VPN.

Côté Windows Server, ce n'est pas la fête non plus, car il y a d'énormes problèmes suite à l'installation des mises à jour, notamment sur Windows Server 2012 R2, Windows Server 2019 et Windows Server 2022. Voir cet article pour plus d'informations.

Source

The post La mise à jour KB5009543 de Windows 10 bloque les VPN L2TP first appeared on IT-Connect.

Aïe ! Tout ne se passe pas comme prévu pour les mises à jour de janvier à destination de Windows Server ! Suite à l'installation, certains serveurs rencontrent d'énormes problèmes : les contrôleurs de domaine rebootent en boucle tandis que les serveurs Hyper-V ne parviennent plus à lancer les VMs. Faisons le point.

A l'occasion de la sortie du Patch Tuesday de janvier 2022, Microsoft a corrigé 97 vulnérabilités et 6 failles zero-day. Jusque là, rien d'anormal. Résultat, plusieurs KB sont disponibles via les canaux habituels pour les différentes versions de Windows, notamment :

• Windows Server 2012 R2 : KB5009624
• Windows Server 2019 : KB5009557
• Windows Server 2022 : KB5009555

Suite à l'installation des mises à jour, les administrateurs systèmes ont rencontrés divers problèmes sur les serveurs. Ce qui gênant, c'est les rôles sont touchés sont généralement critiques, notamment les contrôleurs de domaine et les serveurs Hyper-V.

Les contrôleurs de domaine redémarrent en boucle

Les contrôleurs de domaine Active Directory redémarrent en boucle : après chaque démarrage, le système redémarre au bout de quelques minutes ! Ce bug semble toucher Windows Server 2019 et Windows Server 2022, mais pas forcément Windows Server 2012 R2 d'après les premières remontées.

D'après les informations publiées par le site Bleeping Computer, ce serait lié au processus LSASS.exe qui part en vrille : il surcharge le CPU puis finit par s'arrêter, ce qui cause un redémarrage de la machine. Au sein de l'observateur d'événements de Windows, un event est ajouté suite à chaque plantage, avec notamment cette phrase : "The system process 'C:\WINDOWS\system32\lsass.exe' terminated unexpectedly with status code -1073741819. The system will now shut down and restart.". C'est assez clair.

Hyper-V : impossible de démarrer les VMs !

Autre problème majeur rencontré sur les serveurs Hyper-V où il est impossible de démarrer les machines virtuelles ! En fait, suite à l'installation de la mise à jour, le service Hyper-V ne démarre plus donc il n'est plus possible de démarrer les VMs de ce serveur. Le message suivant s'affiche lorsque l'on essaie de démarrer une VM : "Impossible de démarrer l'ordinateur virtuel car l'hyperviseur n'est pas en cours d'exécution".

D'après les premiers retours obtenus hier, ce problème semble toucher Windows Server 2012 et Windows Server 2012 R2, mais visiblement il pourrait toucher aussi les versions plus récentes, notamment Windows Server 2019 et 2022. Si vous avez des infos à ce sujet, n'hésitez pas à laisser un commentaire.

Le Patch Tuesday contient quatre correctifs de sécurité pour Hyper-V donc ce doit être suite à la correction de ces bugs. Pour rappel, il s'agit des CVE suivantes : CVE-2022-21901, CVE-2022-21900, CVE-2022-21905, and CVE-2022-21847.

Volumes ReFS inaccessibles

Le troisième et dernier problème constaté concerne les volumes qui s'appuient sur le système de fichiers ReFS. Suite à l'installation de la mise à jour, le volume ReFS devient totalement inaccessible ou alors il apparaît au format RAW, comme s'il n'était pas formaté. Visiblement, ce bug touche Windows Server 2012 R2.

Là encore, si l'on regarde le contenu du Patch Tuesday, on remarque qu'il y a eu sept vulnérabilités corrigées au sein de ReFS. C'est probablement l'un de ces correctifs qui est à l'origine de ce bug.

Quelle solution ?

Pour le moment, il n'y a pas de solution officielle de la part de Microsoft et donc la seule solution, c'est de désinstaller la mise à jour (cela fonctionne pour les trois cas évoqués ci-dessus). Cela s'effectue simplement via la commande suivante (numéro de la KB à adapter en fonction de la version de votre OS) :

wusa /uninstall /kb:5009624

Vous pouvez lire mon article sur la désinstallation d'une mise à jour par GPO pour agir sur plusieurs postes.

Bon courage !

Source

The post Mise à jour pour Windows Server : DC reboot en boucle, Hyper-V HS, etc. first appeared on IT-Connect.