Le mardi 13 février 2024, Microsoft a publié son deuxième Patch Tuesday de l'année ! Au programme : 73 failles de sécurité corrigées, ainsi que deux zero-day déjà exploitées dans le cadre d'attaques. Faisons le point !

À l'occasion du Patch Tuesday de Février 2024, Microsoft a corrigé 5 failles de sécurité critiques dont voici la liste :

• Microsoft Dynamics : CVE-2024-21380
• Microsoft Exchange Server : CVE-2024-21410
• Microsoft Office : CVE-2024-21413
• Hyper-V : CVE-2024-20684
• Windows Internet Connection Sharing : CVE-2024-21357

La majorité des autres vulnérabilités sont considérées comme importantes et elles affectent différents produits et services de chez Microsoft, parmi ceux-ci : Azure Active Directory, Azure File Sync, Azure Site Recovery, Outlook, OneNote, Microsoft Teams pour Android, le rôle Serveur DNS de Windows SErver, SQL Server, ou encore le noyau de Windows.

En complément des 73 failles de sécurité corrigées, Microsoft a également comblé 6 vulnérabilités dans son navigateur Microsoft Edge.

Les deux failles zero-day

Ce mois-ci, Microsoft a identifié et corrigé deux failles de sécurité zero-day, c'est-à-dire des vulnérabilités connues publiquement ou déjà exploitées dans le cadre d'attaques avant même qu'un correctif ne soit disponible.

CVE-2024-21351 - Windows - Bypass de la fonction SmartScreen

Une nouvelle fois, la fonctionnalité SmartScreen de Windows est affecté par une vulnérabilité permettant de passer outre ce mécanisme de sécurité. Pour que cette vulnérabilité puisse être exploitée dans une attaque, ceci implique une interaction avec la cible : "Un attaquant doit envoyer à l'utilisateur un fichier malveillant et le convaincre de l'ouvrir.", précise Microsoft. Si l'attaque réussie, elle peut permettre l'exécution de code sur la machine de l'utilisateur.

Cette vulnérabilité affecte toutes les versions de Windows et Windows Server à partir de Windows 10 v1607 et Windows Server 2016. Sachez que Microsoft n'a pas précisé comment était exploitée cette vulnérabilité au sein de cyberattaques.

CVE-2024-21412 - Windows - Bypass de la fonction Mark of the Web

La seconde faille zero-day affecte également Windows puisqu'elle permet d'outrepasser la fonction de vérification Mark of the Web (MoTW) à partir d'un fichier de type raccourci Internet. Le fait de tromper la fonction MoTW engendre un défaut sur ce marqueur permettant de faire croire au système qu'il s'agit d'un lien vers un fichier local, même si celui-ci se situe sur Internet.

Là encore, pour que l'attaque aboutisse, il doit y avoir une interaction avec l'utilisateur : "Un attaquant non authentifié pourrait envoyer à l'utilisateur ciblé un fichier spécialement conçu pour contourner les contrôles de sécurité affichés. [...] L'attaquant devra convaincre l'utilisateur d'agir en cliquant sur le lien du fichier."

La Trend Micro Zero Day Initiative, à l'origine de la découverte de cette vulnérabilité, a publié un rapport sur la CVE-2024-21412. Il permet d'apprendre que cette faille de sécurité zero-day a été activement exploitée par le groupe APT DarkCasino (Water Hydra) dans le cadre d'une campagne malveillante ciblant les traders financiers.

Cette vulnérabilité affecte toutes les versions de Windows et Windows Server à partir de Windows 10 v1809 et Windows Server 2019.

D'autres articles seront mis en ligne pour évoquer les nouvelles mises à jour cumulatives pour Windows 10 et Windows 11.

The post Patch Tuesday – Février 2024 : 73 vulnérabilités corrigées et 2 faille de sécurité zero-day ! first appeared on IT-Connect.

Une nouvelle information vient de tomber et nous n'allons pas nous en réjouir : Broadcom vient de mettre fin à la version gratuite de l'hyperviseur VMware ESXi ! Voici ce qu'il faut savoir.

Broadcom continue de faire du ménage et d'opérer des changements importants chez VMware, notamment pour restructurer l'offre commerciale de l'éditeur américain. Il y a quelques semaines, Broadcom a mis fin aux licences perpétuelles pour 56 produits VMware, afin de basculer sur un nouveau modèle avec des abonnements.

Cette fois-ci, c'est la version gratuite de VMware ESXi, l'hyperviseur bare-metal de VMware, qui est concerné. Broadcom a mis en ligne cette information en publiant une simple page de support intitulée : "Fin de la disponibilité générale de l'hyperviseur vSphere gratuit (ESXi 7.x et 8.x)". La version gratuite d'ESXi va disparaître et VMware ne propose pas d'alternative (mais il y en a chez les concurrents) : "Malheureusement, aucun produit de substitution n'est actuellement proposé."

Cette version gratuite, bien qu'associée à un ensemble de restrictions, notamment parce qu'elle ne pouvait fonctionner que sur un nombre limité de cœurs de CPU et de mémoire RAM, était tout de même appréciée et très populaire. En effet, elle permettait de faire des tests facilement ou d'avoir un environnement de développement basé sur l'hyperviseur VMware. Au-delà de ça, cette version gratuite avait également sa place dans les petites et moyennes entreprises... là où les besoins sont limités.

Bien que cette version gratuite ne soit plus disponible, vous avez toujours l'opportunité de télécharger une version d'essai de la solution VMware ESXi. Si vous utilisez "VMware ESXi Free" en production, vous allez devoir passer à la caisse ou envisager une migration vers une solution tierce. Broadcom espère surement que certaines entreprises vont basculer sur sa nouvelle offre VMware vSphere Foundation.

N'oublions pas que Broadcom a investi 61 milliards de dollars pour racheter VMware. Désormais, c'est évident qu'il y a une volonté de rentabiliser cet investissement le plus rapidement possible...

The post Broadcom a pris la décision d’arrêter la version gratuite de l’hyperviseur VMware ESXi ! first appeared on IT-Connect.

Au sein de Windows 11 24H2, Microsoft envisage d'ajouter encore plus d'intelligence artificielle à son système d'exploitation. Une nouvelle fonctionnalité baptisée AI Super Resolution est en phase de test chez l'éditeur américain. A quoi sert-elle ? Faisons le point !

Dans le courant de l'année 2024, Microsoft va publier la future version majeure de Windows 11, à savoir Windows 11 24H2. Nul doute que cette version va se concentrer sur l'intelligence artificielle, et les derniers travaux de Microsoft vont dans ce sens. En effet, au sein de la dernière version de Windows 11 disponible via le programme Windows Insiders, la firme de Redmond a introduit, discrètement, la fonctionnalité AI Super Resolution.

Déjà connue par les adeptes de jeux vidéos, cette fonctionnalité a pour objectif de booster les performances grâce à l'upscaling. Comment ? Et bien, le joueur peut adopter une résolution inférieure, moins exigeante, mais améliorée visuellement grâce à l'intelligence artificielle. Ceci a pour conséquence d'avoir un gain de FPS, et donc d'améliorer l'expérience en jeu tout en nécessitant moins de ressources. C'est également un bon moyen d'améliorer la qualité graphique d'anciens jeux.

Actuellement, certains gamers peuvent déjà profiter de cette fonctionnalité puisqu'elle est proposée par Intel, AMD et NVIDIA, à condition d'avoir une carte graphique compatible. Plus précisément, ceci fait référence au DLSS 2 de NVIDIA, au FSR 2 d'AMD et au XeSS d'Intel.

Le fait que ce soit intégré dans Windows pourrait permettre d'en profiter au niveau du système, dans son ensemble, et pas uniquement dans les jeux. Nous pensons notamment aux lecteurs multimédia.

Bien que la fonctionnalité AI Super Resolution de Windows 11 soit intéressante sur le papier, reste à savoir quels seront les prérequis matériel de cette nouvelle fonctionnalité. Un NPU spécial pourrait être requis. Il est probable qu'une configuration assez musclée soit requise pour permettre à l'IA de faire son travail.

Comment activer l'AI Super Resolution ?

Si vous utilisez la build 26052 de Windows 11 à jour et issue du programme Windows Insiders, vous devriez pouvoir trouver cette fonctionnalité à cet emplacement des paramètres du système Windows 11 :

• Système > Écran > Graphiques > Super-résolution automatique

Mais avant cela, vous devez activer la fonctionnalité avec ViveTool, comme l'explique sur X cet utilisateur à l'origine de la trouvaille :

Would you like to toy around with Automatic Super Resolution in build 26052 and see if you notice any differences? You can get it to show up by running this command and rebooting:

vivetool /enable /id:39695921 /variant:3 https://t.co/6baoIeZcDh pic.twitter.com/ui9maas7je

— Albacore (@thebookisclosed) February 11, 2024

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

Ensuite, rendez-vous à l'endroit mentionné ci-dessus.

Source

The post AI Super Resolution : grâce à l’IA, Windows 11 va améliorer la qualité d’image des jeux first appeared on IT-Connect.

I. Présentation

Hyper-V est l’hyperviseur de type 1 de Microsoft introduit en 2008 en tant que composant installable ou « rôle » sous Windows Server 2008. Plusieurs discussions en ligne suggèrent que Hyper-V serait plutôt un hyperviseur de type 2, c’est-à-dire installé en tant qu’application sur le système d’exploitation, mais il s'agit bien d'un hyperviseur de type 1.

Le présent article propose de faire la lumière sur cette confusion en montrant pourquoi Hyper-V est bien un hyperviseur de type 1. Avant de poursuivre votre lecture, si vous souhaitez plus de détails sur les types d’hyperviseurs, consultez l’article suivant :

• Les types d’hyperviseurs : hyperviseur de type 1 et de type 2

II. Un « rôle » sous Windows Server

Étant donné qu’un hyperviseur de type 1 (bare metal) s’installe directement sur le matériel comme c’est le cas notamment de VMware ESXi, Nutanix AHV ou Proxmox VE, le fait que Hyper-V nécessite d’être activé en tant que rôle à partir de l’assistant d’ajout de « Rôles et fonctionnalités » sous Windows Server suggère qu’il pourrait s’agir d’un hyperviseur de type 2 comme VMware Workstation ou Oracle VM VirtualBox.

La capture d’écran suivante montre le « rôle » Hyper-V sous Windows Server 2022 qui s’installe à partir de l’OS lui-même :

Sans Hyper-V, Windows Server est un système d’exploitation conventionnel, c’est-à-dire un ensemble de logiciels (noyau) qui permet d’exécuter des programmes et de traiter les demandes d’utilisation des ressources d’un ordinateur.

Lorsque vous activez le rôle Hyper-V, les binaires de l’hyperviseur se déploient sur votre instance de Windows Server et, une fois complété, le système doit être redémarré. C’est à ce moment-là que la magie opère…

III. Un hyperviseur de type 1 et une partition parent

Après le redémarrage, une transformation s’opère : le système d'exploitation (Windows Server) est déplacé dans une machine virtuelle spéciale nommée « partition parent » (parent partition) qui s’exécute maintenant sur Hyper-V qui s’est positionné en tant qu’hyperviseur de type 1 sur le matériel.

La partition parent (Windows Server) dispose d’un accès direct aux ressources de la machine physique et elle comprend maintenant de nouvelles applications et processus (VM Service, WMI Provider, VM Worker Processes, etc.) qui vont lui permettre notamment de gérer et déployer d’autres machines virtuelles. Dans la terminologie Hyper-V, les autres VMs qui sont créées subséquemment se nomment « partitions enfant » (child partitions).

La partition parent prend en charge l'accès aux ressources matérielles et aux pilotes des périphériques. Quant à l'allocation des ressources, elle se fait via un bus de communication nommé VMBus qui est présent dans les deux types de partitions.

Le fait d’avoir une partition parent a l’inconvénient principal d’affecter la disponibilité des autres machines virtuelles lors de l’application de mises à jour. En effet, il faut redémarrer la machine parent, ce qui nécessite un redémarrage complet du système. Pour des charges de production dont le service ne peut être interrompu, Microsoft offrait Hyper-V Server (le produit a été discontinué en janvier 2024), un hyperviseur de type 1 comparable à VMware ESXi qui se présente comme un logiciel installable directement sur le matériel.

À titre d'information, le support étendu (extended support) de Hyper-V Server 2019, la dernière version, va se poursuivre jusqu'en janvier 2029.

IV. Conclusion

Hyper-V n'offre pas une gamme aussi complète de fonctionnalités que VMware ESXi, Nutanix AHV ou Proxmox VE, mais il présente l'avantage d'être disponible directement sur Windows Server sans frais additionnels et il est également installable en tant que fonctionnalité supplémentaire sur Windows 10 ou 11.

Il est à noter que le modèle de l’hyperviseur de type 1 qui comprend une machine virtuelle principale pour la gestion n’est pas unique à Hyper-V. Les hyperviseurs open source Xen et KVM de même que IBM PowerVM (propriétaire) fonctionnent également selon un principe similaire.

Pour aller plus loin sur Hyper-V, n'hésitez pas à consulter les articles suivants :

• Comment installer Hyper-V dans une VM Hyper-V ?
• Installer Hyper-V sur Windows 10 et créer sa première VM

The post Hyper-V : un hyperviseur de type 1 ou type 2 ? first appeared on IT-Connect.

Fin novembre 2023, une campagne de phishing à l'origine de la compromission de centaines de comptes Microsoft Azure, a été détectée. La cible privilégiée de cette campagne malveillante : les cadres et les dirigeants d'entreprises. Faisons le point sur cette menace.

Cette nouvelle campagne malveillante a été repérée par les chercheurs en sécurité de chez Proofpoint à la fin du mois de novembre 2023, et elle est toujours active à ce jour. Dans le rapport mis en ligne par Proofpoint, nous pouvons lire : "Au cours des dernières semaines, les chercheurs de Proofpoint ont surveillé une campagne de prise de contrôle de comptes cloud en cours qui a impacté des dizaines d'environnements Microsoft Azure et compromis des centaines de comptes d'utilisateurs, y compris des cadres supérieurs."

Pour les cybercriminels, les cadres et les dirigeants d'entreprises sont une cible privilégiée. D'une part, car ils sont susceptibles d'avoir accès à des informations sensibles, et d'autre part car ils ont suffisamment de pouvoir pour autoriser des transactions financières : idéal pour détourner de l'argent. Le fait de compromettre ce type de compte ouvre des portes, que ce soit auprès des salariés de l'entreprise ou de partenaires. Proofpoint indique qu'il y a des directeurs de ventes, des responsables de comptes, des directeurs financiers et des présidents (CEO) parmi les victimes de cette campagne.

Dans le cas de cette campagne de phishing, la méthode est assez classique : une pièce jointe qui, lorsqu'on l'ouvre, contient un bouton "Voir le document", qui renvoie l'utilisateur vers une page web malveillante s'il clique sur le lien. Proofpoint a pu faire un lien entre les cybercriminels et les actions effectuées sur les comptes compromis, en identifiant le user-agent suivant :

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

En effet, cette chaine de user-agent a été associée à diverses activités malveillantes lors de la phase de post-compromission, notamment pour créer des règles dans les boites aux lettres, manipuler le MFA (enregistrement d'un nouveau numéro, par exemple) et effectuer de l'envoi d'e-mails malveillants en interne et en externe.

Enfin, le rapport de Proofpoint se termine par un ensemble de recommandations à destination des organisations afin de mieux protéger les environnements Azure et Microsoft 365 de ce type d'attaque. Par exemple, Proofpoint recommande d'obliger les utilisateurs compromis et ciblés à changer immédiatement leurs mots de passe dès qu'un événement suspect est détecté, et d'obliger tous les utilisateurs à changer périodiquement leur mot de passe.

Source

The post Une campagne de phishing cible les comptes Azure des cadres et des dirigeants d’entreprises first appeared on IT-Connect.