Microsoft a mis en ligne le Patch Tuesday d'Octobre 2021, avec au menu 81 failles de sécurité corrigées, ainsi que 4 zero-day. Si l'on exclue les vulnérabilités corrigées dans Microsoft Edge, le total tombe à 74 failles.
Sur ce total de 74 failles de sécurité corrigées, il y a 3 failles critiques, 70 failles importantes et 1 marquée comme étant faible. La majorité de ces failles sont de types élévation de privilèges (21) et exécution de code à distance (20).
Au niveau des produits et composants concernés par ce Patch Tuesday d'octobre 2021, nous retrouvons : .NET Core, Visual Studio, ADFS, HTTP.sys, Microsoft Intune, Microsoft Office (Excel, Visio, Word, SharePoint), le noyau Windows, la pile TPC/IP de Windows, etc...
Les trois failles critiques : Word et Hyper-V
Pour les trois failles critiques, il y en a une qui concerne Microsoft Word (CVE-2021-40486), aussi bien sur Office 2013, Office 2016 qu'Office 2019, et qui permet une exécution de code à distance.
Les deux autres concernent Hyper-V (CVE-2021-40461 et CVE-2021-38672) et permettent aussi une exécution de code à distance. Il est à noter que la faille CVE-2021-38672 touche uniquement Windows Server 2022 et Windows 11, tandis que la faille CVE-2021-40461 touche Windows 10 et Windows Server 2019, en plus de Windows 11 et Windows Server 2022.
Les quatre failles zero-day : win32k, kernel, Serveur DNS et Windows AppContainer
Parmi ces quatre failles zero-day, il y en a une qui est utilisée activement par les pirates : la CVE-2021-40449, de type élévation de privilèges, elle concerne le composant Win32k de Windows.
C'est Boris Larin, de chez Kaspersky, qui a découvert cette faille de sécurité, et d'après lui, elle serait utilisée pour mener des campagnes d'espionnage contre des entreprises d'informatique, mais aussi des entités diplomatiques. Kaspersky a nommé cette campagne d'attaques MysterSnail et l'a attribuée à IronHusky, un groupe de hackers chinois.
Concernant les trois autres failles zero-day :
CVE-2021-40469 - Serveur DNS - Exécution de code à distance
CVE-2021-41335 - Noyau Windows - Elévation de privilèges
CVE-2021-41338 - Windows AppContainer - Bypass de la sécurité (firewall)
Dans ce tutoriel, nous allons voir comment mettre à niveau un ordinateur de Windows 10 à Windows 11 même s'il ne respecte pas tous les prérequis imposés par Microsoft.
La méthode détaillée dans ce tutoriel n'est pas sortie du chapeau, c'est Microsoft qui l'a publiée ces derniers jours, même si ce n'est pas conseillé. Néanmoins, si vous disposez de Windows 10 en version 32 bits, il faudra passer par une réinstallation complète, car ce scénario n'est pas supporté. Si vous avez Windows 10 en 64 bits, c'est tout bon.
Avant de commencer, je tiens à vous rappeler qu'il est déconseillé d'installer Windows 11 sur une machine non compatible. Microsoft précise que vous allez faire une croix sur certaines fonctionnalités de sécurité si vous n'avez pas de puce TPM. Microsoft spécifie aussi qu'il peut y avoir des crashs au niveau du noyau de Windows, mais aussi des écrans bleus de la mort (Blue screen of dead). Au final, cela peut mener à une perte de données lors d'un crash !
II. Télécharger l'ISO et prérequis de Windows 11
Pour mettre à niveau votre PC, vous allez devoir télécharger un ISO de Windows 11 (ou l'assistant de mise à niveau), rendez-vous sur cette page pour savoir comment procéder : télécharger un ISO de Windows 11.
Un CPU 64 bits, 1 GHz minimum, deux cœurs minimum (Intel, AMD ou Qualcomm)... Et pas trop ancien... C'est-à-dire Intel Core 8th génération et supérieur, et AMD Ryzen 2000 et plus récents.
RAM : 4 Go minimum
Stockage : 64 Go minimum
UEFI Secure Boot supporté et actif
Un module TPM 2.0 actif
Une puce graphique compatible DirectX 12 avec un pilote WDDM 2.0
Un écran avec une résolution minimale de 720p et de 9 pouces minimum
Sachez que si vous utilisez un processeur 32 bits, vous ne pourrez pas installer Windows 11, car Windows 11 existe seulement en 64 bits.
Note : vous pouvez analyser votre machine avec l'outil officiel "PC Health Check" afin de savoir quels sont les prérequis que ne respecte pas votre PC.
III. La valeur de Registre "AllowUpgradesWithUnsupportedTPMOrCPU"
Cette clé de Registre fournie par Microsoft sert à autoriser les mises à niveau de Windows 10 vers Windows 11 sur les machines qui n'ont pas de puce TPM ou un processeur non supporté.
Actuellement si j'essaie d'installer Windows 11, j'obtiens le message suivant : "Ce PC ne répond pas actuellement à la configuration système requise pour Windows 11".
Pour supprimer cette alerte, nous allons manipuler le Registre Windows. Ouvrez l'éditeur de Registre en recherchant "regedit.exe" sur Windows 10 :
A cet endroit, nous devons créer une clé de Registre nommée "MoSetup", car elle n'existe pas par défaut. Effectuez un clic droit sur "Setup", puis sous "Nouveau" cliquez sur "Clé". Nommez la clé "MoSetup" (en respectant la casse) et validez.
Ensuite, il faut créer la valeur "AllowUpgradesWithUnsupportedTPMOrCPU" : effectuez un clic droit sur "MoSetup" et choisissez "Valeur DWORD 32 bits" sous "Nouveau".
Pour le nom de la valeur, indiquez "AllowUpgradesWithUnsupportedTPMOrCPU" (en respectant la casse également). Modifiez la valeur pour indiquer "1" en décimale.
Voilà, le tour est joué, vous pouvez relancer la mise à niveau de Windows 10 vers Windows 11 et cette fois-ci, cela devrait passer !
IV. Mise à niveau Windows 10 vers Windows 11 d'une machine virtuelle
J'ai eu un cas où cette manipulation pour bypasser les prérequis TPM/CPU ne fonctionnait pas sur une machine virtuelle (sous VMware ESXi en l'occurrence). La bonne nouvelle, c'est qu'il y a une solution !
Il faut utiliser MediaCreationTool.bat (à ne pas confondre avec l'outil officiel de Microsoft). Vous pouvez le récupérer en suivant ce lien : MediaCreationTool.bat
Note : cet outil permet de télécharger facilement des fichiers ISO d'installation de Windows, et dans le cas présent d'ajouter un paramètre supplémentaire dans Windows pour bypasser les prérequis.
Vous avez besoin du fichier MediaCreationTool.bat et du dossier MCT (et son contenu). Ensuite, exécutez "MediaCreationTool.bat" afin d'obtenir l'interface comme celle ci-dessous. Choisissez "11" dans la liste, pour Windows 11.
Ensuite, choisissez "Auto Setup" pour effectuer la mise à jour sur place de Windows 10 vers Windows 11.
L'outil va effectuer quelques manipulations et lancer le processus d'installation de Windows 11... Il suffit de suivre l'assistant jusqu'à parvenir à l'étape "Installation en cours de Windows 11". Voilà, le tour est joué !
Mise à niveau Windows 10 vers Windows 11 sur PC non compatible
De manière générale, cet outil représente une alternative à la création de la valeur de Registre "AllowUpgradesWithUnsupportedTPMOrCPU".
Si vous avez des questions, n'hésitez pas à poster un commentaire sur cet article.
Même si Windows 11 est disponible, Windows 10 va encore être maintenu à jour pendant plusieurs mois. Pour preuve, Microsoft a publié les mises à jour cumulatives d'octobre pour Windows 10, notamment la KB5006670 et la KB5006667.
La mise à jour KB5006670 s'adresse aux trois dernières versions de Windows 10, à savoir les version 2004, 20H2 et 21H1. En complément, la version 1909 de Windows 10 va recevoir la mise à jour KB5006667.
Ces mises à jour corrigent des failles de sécurité, en référence au Patch Tuesday d'Octobre 2021, mais aussi des corrections de bugs.
Microsoft a corrigé un bug qui faisait planter Outlook soudainement, sans aucune action particulière de la part de l'utilisateur. Un peu dans le même genre, un autre bug pour les applications Office et Adobe Reader, sur les machines avec une fonction spécifique de Microsoft Defender (Exploit Protection > Export Address Filtering). Un autre bug concerne la nouvelle fonctionnalité "Actualités et intérêts", avec un problème d'icône lors de l'utilisation de certaines résolutions d'écran.
Voici la liste complète en fonction des versions de Windows :
- Windows 10 version 1507 : KB5006675 - Windows 10 version 1607 : Pas encore en ligne
- Windows 10 version 1703 : Fin du support
- Windows 10 version 1709 : Fin du support
- Windows 10 version 1803 : Fin du support - Windows 10 version 1809 : KB5006672
- Windows 10 version 1903 : Fin du support - Windows 10 version 1909 : KB5006667 - Windows 10 version 2004, 20H2 et 21H1 : KB5006670
Ces mises à jour sont disponibles via Windows Update, WSUS et le Microsoft Catalog, comme d'habitude j'ai envie de dire.
Si vous utilisez Windows 11, sachez que Microsoft a publié une mise à jour cumulative également : Windows 11 KB5006674.
En ce mois d'octobre 2021 et seulement une semaine après sa sortie, Windows 11, le nouveau système d'exploitation de Microsoft, vient de recevoir sa première mise à jour cumulative : la KB5006674.
Si vous êtes sur Windows 11, voici un écran que vous devriez voir assez rapidement sur votre machine. Synonyme d'une première mise à jour à installer, que nous réserve-t-elle ?
Windows 11 KB5006674
Cette première mise à jour cumulative pour Windows 11 21H2 intègre des corrections de bugs et elle doit également améliorer les performances du système. Des correctifs de sécurité sont inclus aussi et liés directement au Patch Tuesday d'Octobre 2021.
Ce que l'on sait, c'est que Microsoft a inclus un correctif pour éliminer le bug qui touche les applications Intel Killer et Dell SmartByte, et qui provoquait des pertes de paquets UDP dans certains cas, ce qui impactait les performances du réseau sur la machine. Par ailleurs, Microsoft a amélioré le composant "Servicing stack", responsable de l'installation des mises à jour.
Sur ce coup, Microsoft n'est pas très bavard car ce sont les seules informations données sur la page de la mise à jour.
Si vous souhaitez déclencher la mise à jour dès maintenant : cliquez sur le menu Démarrer, puis sur "Paramètres". Ensuite, à gauche cliquez sur "Windows Update", et enfin, sur le bouton pour rechercher les mises à jour.
Le paquet d'installation autonome est disponible sur le site Microsoft Catalog, pour un téléchargement et une installation manuelle.
Dans cet article "Le protocole NFS pour les débutants", nous allons découvrir le protocole NFS, un protocole de communication qui sert à effectuer des transferts de fichiers, dans le même esprit que le protocole SMB.
Le NFS, Network File System, que l'on pourrait traduire par "Système de fichiers en réseau", est un protocole de transferts de fichiers par le réseau principalement utilisé sur les systèmes Linux/Unix, même s'il est compatible avec Windows et MacOS. Dans la pratique, l'utilisateur, à partir de son ordinateur, va pouvoir accéder à des fichiers stockés sur un serveur distant, à l'aide du protocole NFS qui fonctionne selon le mode client/serveur.
Contrairement au SMB qui est un protocole propriétaire Microsoft, le protocole NFS est libre. Il s'installe sur Linux par l'intermédiaire d'un paquet dédié, et il est pris en charge par des solutions comme VMware ESXi pour connecter une banque de données, mais aussi par les NAS présent sur le marché (Synology, Asustor, Qnap, etc.).
Le protocole NFS est majoritairement utilisé pour connecter un espace de stockage entre un serveur NFS et un ou plusieurs serveurs, par exemple pour stocker des sauvegardes ou héberger des machines virtuelles. Il est trop complexe à mettre en oeuvre pour la mise en place d'un véritable serveur de fichiers, où là on va préférer le protocole SMB.
II. Les différentes versions de NFS
Développé par Sun Microsystems en 1984, le protocole NFS existe depuis plusieurs dizaines d'années comme de nombreux autres protocoles. Les versions 1 et 2 du protocole NFS fonctionnaient à l'aide de connexion UDP, tandis que le TCP (en mode stateless, c'est-à-dire sans état) a fait son apparition avec le NFS v3.
Les premières versions, que ce soit NFS v1, NFS v2 ou NFS v3 n'étaient pas sécurisées : à l'époque, la sécurité n'était pas une priorité. Il y avait également des limitations sur la taille des paquets (8 Ko) et la taille maximale d'un fichier transférable (2 Go) avant l'arrivée de NFS v3.
C'est en 2000, avec la sortie de NFS v4 que le protocole a fortement évolué pour intégrer des fonctionnalités liées à la sécurité. Il a tellement évolué, que le NFS v4 marque une véritable rupture vis-à-vis des versions précédentes (et cela n'est pas sans conséquence, nous en reparlerons). Depuis, le protocole NFS a eu le droit à plusieurs mises à jour, en version 4.1 en 2010 et un peu plus récemment, en 2016, en version 4.2.
Le protocole NFS v4 prend en charge complètement la sécurité avec l'authentification via Kerberos et il s'appuie sur des connexions TCP avec suivi de l'état (stateful).
Voici un tableau récapitulatif des versions du protocole NFS :
Les différentes versions du protocole NFS
III. Compatibilité entre les versions de NFS
Il n'y a pas de rétrocompatibilité entre le NFS v4 (et supérieur) et les versions précédentes, y compris avec le NFS v3. Les différences sont trop nombreuses, tant sur l'aspect de la sécurité, mais aussi le fonctionnement des connexions : TCP stateful avec NFS v4.
Autrement dit, si le serveur fonctionne uniquement avec NFS v4, le client ne pourra pas utiliser NFS v3. Si les deux effectuent la connexion en NFS v3, ce sera bon. Généralement, les serveurs NFS sont capables de gérer plusieurs versions. Par contre, si vous souhaitez utiliser l'authentification Kerberos, ce sera obligatoirement en NFS v4, seule version à prendre en charge cette sécurité.
IV. Quel est le port utilisé par le protocole NFS ?
Le protocole NFS s'appuie sur un seul port pour fonctionner : le port 2049. Il s'agit du port d'écoute d'un serveur NFS.
Néanmoins, je tiens à préciser que c'est à partir de NFS v4 que le protocole utilise un seul port. Les anciennes versions utilisaient le port 2049, mais aussi le port 111 correspondant au service "portmap" (utile pour orienter les requêtes RPC vers le bon service).
Une bonne nouvelle pour la configuration de votre pare-feu si vous utilisez les dernières versions de NFS, car il n'y aura qu'un seul port à autoriser, comme pour d'autres protocoles.
V. Créer un partage NFS sous Debian (Linux)
Après cette introduction théorique, nous allons passer à la pratique. Pour cela, nous allons utiliser deux machines sous Linux (Debian 11), mais vous pouvez utiliser d'autres distributions.
Un serveur Debian qui jouera le rôle de serveur NFS, avec un partage : /srv/partagenfs
Adresse IP : 192.168.100.121/24
Un poste client Debian qui jouera le rôle de client NFS
Adresse IP : 192.168.100.120/24
Commençons par préparer notre serveur. Ensuite, nous allons monter ce partage NFS sur le poste client et nous finirons par une analyse de trames avec Tcpdump.
Note : pour cette introduction au NFS, nous n'allons pas mettre en place l'authentification Kerberos car cela complexifie la procédure.
A. Installation du paquet
Sur le serveur Debian, mettez à jour le cache des paquets :
sudo apt-get update
Ensuite, installez le paquet "nfs-kernel-server" :
sudo apt-get install nfs-kernel-server
Installation serveur NFS sous Debian
Nous allons configurer le serveur NFS pour qu'il démarre automatiquement avec le système :
sudo systemctl enable nfs-server.service
Le paquet est installé, passons à l'étape suivante.
B. Déclarer un partage NFS /etc/exports
Commençons par créer le partage :
mkdir /srv/partagenfs
Puis, on applique les droits sur le partage (à adapter selon vos besoins) :
Pour déclarer les partages NFS, il faut s'appuyer sur le fichier "/etc/exports". C'est dans ce fichier que nous allons déclarer notre fichier "/srv/partagenfs". Editez le fichier :
sudo nano /etc/exports
Dans ce fichier, voici la ligne à ajouter pour déclarer notre partage :
Quelques explications s'imposent pour bien comprendre
/srv/partagenfs : le chemin local du dossier à partager
192.168.100.0/24 : l'adresse IP ou le réseau à autoriser, si vous souhaitez autoriser seulement une adresse IP spécifique, précisez cette adresse IP
() : les options pour le partage
rw : partage accessible en lecture et écriture, à remplacer par "ro" pour la lecture seule
sync : écrire les données et les vérifier avant de répondre à la requête suivante : plus lent, mais plus fiable vis-à-vis des corruptions de données. L'autre mode est "async".
anonuid : ID de l'utilisateur à utiliser pour les connexions anonymes (65534 = nobody)
anongid : ID du groupe à utiliser pour les connexions anonymes (65534 = nogroup)
no_subtree_check : désactiver la vérification des sous-dossiers, recommandé pour des raisons de fiabilité
Il est à noter que l'on peut déclarer plusieurs adresses IP ou réseaux avec des autorisations différentes (ou identiques). Par exemple :
En complément, vous pouvez lire cette documentation : nfs - man page
Enregistrez le fichier et fermez-le. Pour que la configuration soit prise en compte, il faut utiliser exportfs, comme ceci :
exportfs -a
Il est à noter que pour stopper et purger les partages NFS, il faut exécuter la commande suivante (à faire avant la commande précédente pour actualiser) :
exportfs -ua
La commande ci-dessous permet d'afficher la liste des partages NFS sur l'hôte précisé, en l'occurrence notre machine Debian elle-même.
showmount -e 192.168.100.121
Exemple de la commande showmount nfs
Sur la copie d'écran ci-dessus, on peut voir le nom du partage "/srv/partagenfs" ainsi que les deux sous-réseaux autorisés comme dans l'exemple avec deux adresses IP mentionnées précédemment.
La commande ci-dessous est à connaître également pour lister les services en écoute via RPC. On peut voir le service "nfs" avec différentes versions, notamment NFS v3 et NFS v4. On voit également la présence de portmapper sur le port 111 (service non spécifique à NFS, mais utilisé par certaines versions).
rpcinfo -p
Aperçu de NFS avec rpcinfo
Le partage NFS est prêt, passons sur le poste client.
C. Connexion au partage NFS depuis Linux
Sur le poste Debian, mettez à jour le cache des paquets :
sudo apt-get update
Puis, installez le paquet "nfs-common" afin de pouvoir monter le partage NFS sur l'hôte local.
sudo apt-get install nfs-common
Installation d'un client NFS sous Debian
Maintenant, nous allons pouvoir monter manuellement le partage NFS sur notre machine.
Pour monter le partage, nous devons créer un dossier local qui servira de point de montage. Créez ce dossier :
mkdir /media/partagenfs
Ensuite, la commande "mount" va nous permettre de monter notre partage NFS. Ce qui donne :
mount -t nfs4 192.168.100.121:/srv/partagenfs /media/partagenfs/
Quelques explications :
-t nfs4 : utiliser NFS v4 pour monter ce partage. Pour utiliser une version antérieure, il faut spécifier "-t nfs".
192.168.100.121:/srv/partagenfs : partage NFS à monter, sous la forme <hote>:<chemin-partage>
/media/partagenfs/ : point de montage local
À la suite de cette commande, vous devriez pouvoir créer un fichier sur le partage :
touch /media/partagenfs/monfichier.txt
Sur le serveur NFS, on peut voir les différents fichiers créés :
Il faut savoir qu'avec la commande "mount", le montage sera temporaire, c'est-à-dire que si l'on redémarrer le poste client, le partage ne sera pas monté automatiquement.
Démontez le partage et nous allons le monter différemment :
umount /media/partagenfs
Ensuite, modifiez la table de montage "/etc/fstab" :
sudo nano /etc/fstab
Spécifiez la ligne suivante pour le monter automatiquement, toujours via NFS v4 :
Enregistrez puis exécutez la commande ci-dessous pour charger le contenu du fichier "/etc/fstab" et monter notre partage.
sudo mount -a
Voilà, vous devriez pouvoir accéder au partage NFS de la même manière qu'en le montant avec mount.
Puisque la connexion est établie, nous allons pouvoir récolter quelques informations croustillantes.
Toujours sur le poste client, exécutez la commande ci-dessous pour obtenir des informations sur l'activité NFS de la machine.
nfsstat -m
Cette commande me retourne :
/media/partagenfs from 192.168.100.121:/srv/partagenfs
Flags: rw,relatime,vers=4.2,rsize=262144,wsize=262144,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.100.120,local_lock=none,addr=192.168.100.121
On peut voir que l'accès est bien en lecture/écriture (rw), mais aussi que l'on utilise la version NFS 4.2 (vers=4.2) et que l'on s'appuie sur la sécurité système (sec=sys) tandis que l'on aurait "sec=krb5" si l'on utilisait Kerberos.
Enfin, si l'on regarde les connexions actives sur le poste client Debian ou sur le serveur Debian, on peut voir qu'il y a une connexion établie TCP (ESTABLISHED) sur le port NFS, c'est-à-dire 2049.
netstat -petula | grep "nfs"
D. Capture des paquets NFS avec TCPDUMP
Terminons ce tutoriel par une capture de paquets réseau avec l'utilitaire TCPDUMP. Cela va vous faire manipuler cet outil fort pratique afin de vérifier que les connexions NFS v4 fonctionnent bien sur le port 2049.
Sur le serveur Debian, installez l'outil "tcpdump" :
sudo apt-get install tcpdump
Ensuite, nous allons lancer une capture TCPDUMP en filtrant sur deux numéros de ports : 2049 et 111 :
tcpdump port 2049 or port 111
Pendant ce temps, depuis le poste client, créez de l'interaction avec le partage NFS. Par exemple, en lisant le contenu du répertoire :
ls /media/partagenfs
Côté serveur, ça bouge !
Capture de paquets NFS avec tcpdump
On peut voir de nombreuses lignes avec la mention "nfs" pour indiquer que le serveur utilise le port NFS (2049) pour communiquer avec le client. Quant au port 111, il n'apparaît à aucun moment.
Si vous avez le doute, il suffit d'arrêter cette capture et d'en lancer une nouvelle en spécifiant seulement le port "111" et vous verrez que la capture restera vide.
Cette introduction au protocole NFS, à la fois théorique et pratique, touche à sa fin. Vous connaissez désormais le protocole NFS et vous savez le mettre en œuvre sous Linux !
