Microsoft a corrigé un problème de connectivité qui affectait les utilisateurs de DirectAccess sous Windows. Faisons le point sur ce bug.

Pour rappel, DirectAccess est une fonctionnalité disponible dans Windows qui permet de se connecter à distance à une infrastructure, sans utiliser directement un VPN puisque cette solution est utilisée sur le même principe.

A cause de ce bug, DirectAccess ne se reconnecte pas automatiquement lorsqu'il y a une interruption au niveau du réseau de la machine Windows connectée en DirectAccess. C'est pourtant l'intérêt même de cette solution. Par exemple, s'il y a une perte de connectivité entre votre PC et votre réseau WiFi, DirectAccess ne remonte pas la connexion à cause de ce bug.

Microsoft précise bien que DirectAccess est la seule solution concernée, cela signifie que ce problème n'affecte pas les connexions VPN ou Always On VPN de chez Microsoft.

Microsoft a "ouvert un ticket" pour ce bug le 13 novembre 2022 mais il serait lié à la mise à jour hors bande publiée à la mi-octobre (KB5019509). Désormais, Microsoft a corrigé ce bug dans DirectAccess par l'intermédiaire de la fonctionnalité Known Issue Rollback (KIR) de Windows. Grâce à ce correctif qui est poussé automatiquement sur les machines, le problème sera résolu. Pour accélérer le déploiement, Microsoft recommande de redémarrer la machine afin de lui permettre de récupérer le correctif.

Les versions de Windows suivantes sont affectées par ce bug :

• Windows desktop : Windows 11, version 22H2; Windows 10, version 22H2; Windows 11, version 21H2; Windows 10, version 21H2; Windows 10, version 21H1; Windows 10, version 20H2; Windows 10 Enterprise LTSC 2019
• ​Windows Server : Windows Server 2022; Windows Server 2019

Pour plus d'informations, vous pouvez consulter cette page sur le site de Microsoft.

Actuellement, Microsoft est en cours d'investigation sur un autre problème lié à l'Active Directory et plus particulièrement l'authentification Kerberos. Pour en savoir plus, vous pouvez lire cet article.

Source

L'article Windows : Microsoft a résolu un problème de connectivité lié à DirectAccess est disponible sur IT-Connect : IT-Connect.

Suite à l'installation des mises à jour de novembre 2022, de nombreux utilisateurs rencontrent des problèmes avec l'authentification Kerberos sur les machines intégrées à un domaine Active Directory. Que se passe-t-il ?

Ce mois-ci encore, les mises à jour Windows créent des problèmes aux administrateurs et perturbent le fonctionnement des machines intégrées à un environnement Active Directory. Cette fois-ci, c'est l'authentification Kerberos qui génère des perturbations.

La firme américaine est au courant de ce problème et des investigations sont en cours afin de proposer une solution aux entreprises. Sur le site officiel, on peut lire : "Après avoir installé des mises à jour publiées le 8 novembre 2022 sur des serveurs Windows avec le rôle de contrôleur de domaine, vous pouvez rencontrer des problèmes avec l'authentification Kerberos."

Quand ce nouveau problème se produit, un événement spécifique est généré sur le contrôleur de domaine, au sein du journal Système. Cette erreur avec l'ID 14 et nommée "Microsoft-Windows-Kerberos-Key-Distribution-Center Event" intègre le message suivant : "While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key." - C'est surtout la partie "the missing key has an ID of 1" qui correspond à ce problème en particulier.

Microsoft liste également différents scénarios susceptibles de générer cette erreur et causer un problème d'authentification Kerberos :

• La connexion des utilisateurs du domaine peut échouer. Cela peut également affecter l'authentification ADFS
• Les comptes de service gérés par gMSA utilisés pour des services tels que IIS Web Server peuvent ne pas s'authentifier
• Les connexions Remote Desktop utilisant des utilisateurs du domaine peuvent échouer.
• Il se peut que vous ne puissiez pas accéder aux dossiers partagés sur les stations de travail et aux partages de fichiers sur les serveurs.
• L'impression qui nécessite l'authentification de l'utilisateur du domaine peut échouer.

On voit tout de même que cela fait beaucoup de cas de figure très courant... Et cela serait lié au correctif mis en place pour la faille de sécurité CVE-2022-37966 même si Microsoft ne l'a pas précisé.

Le site BleepingComputer évoque aussi un problème Kerberos lorsque l'option "Ce compte prend en charge le chiffrement AES 128 bits via Kerberos" ou "Ce compte prend en charge le chiffrement AES 256 bits via Kerberos" est cochée, ce qui n'est pas le cas par défaut. De son côté, Microsoft n'évoque pas ces options pour le moment.

Les machines non liées à un domaine Active Directory ou liées à un environnement Azure Active Directory sans hybridation ne sont pas impactées.

Quelles sont les versions de Windows concernées ?

Ce problème affecte une très grande majorité des versions de Windows puisqu'on parle de toutes les versions de Windows 7 SP1 à Windows 11, ce qui inclus Windows 10 au passage, ainsi que toutes les versions de Windows Server 2008 SP2 à Windows Server 2022.

Pour le moment, Microsoft ne donne pas de solutions de contournement même s'il est toujours possible de désinstaller les mises à jour. A suivre dans les prochains jours.

Source

L'article Windows : les mises à jour de novembre créent des problèmes avec Kerberos est disponible sur IT-Connect : IT-Connect.

L'entreprise Adecco, spécialisée dans l'intérim, aurait subit une cyberattaque qui n'est pas sans conséquences pour de nombreuses personnes sous contrat avec une agence. Faisons le point.

De nombreuses personnes employées par Adecco ont eu la mauvaise surprise de constater un prélèvement de 49,85 euros sur leur compte en banque. Le nom du débiteur : Solfex Sasu France, une entreprise qui n'a visiblement aucun lien avec le groupe Adecco en lui-même, d'après les informations publiées.

Depuis le 8 novembre dernier, les prélèvements sont effectués et la liste des victimes n'arrête pas de s'allonger... D'ailleurs, un compte Facebook nommé "Arnaque « solfex France sasu » problème avec Adecco France" a vu le jour et il compte déjà plus de 1 400 membres ! Ce groupe sert à recenser les victimes donc vous êtes invité à le rejoindre si vous avez, vous aussi, eu ce prélèvement étrange sur votre compte en banque. En complément, vous devez faire opposition auprès de votre banque.

A la lecture cet incident, on peut penser une chose : des cybercriminels sont parvenus à récupérer les coordonnées bancaires des intérimaires. Toutefois, pour le moment le groupe Adecco ne parle pas de cyberattaque puisque le communiqué mis en ligne le 11 novembre 2022 précise : "Nous avons immédiatement diligenté une enquête interne car la protection des données personnelles de l’ensemble de nos salariés est une priorité. Toutes nos équipes sont pleinement mobilisées afin de comprendre l’origine de cette situation.". Depuis, plus rien.

D'un autre côté, la CFDT Adecco a un autre discourd comme le montre le titre de cette publication : "Attention, Fraude bancaire! Adecco s'est fait pirater les données bancaires de ses salarié(e)s."

Même s'il est préférable d'attendre un retour officiel de part d'Adecco, cette histoire de prélèvements n'est pas très rassurante, d'autant plus qu'Adecco affirme ne jamais effectuer de prélèvements sur le compte de ses intérimaires.

Si vous avez des proches qui sont intérimaires chez Adecco, n'hésitez pas à faire passer le message.

Source

L'article Prélèvement sur le compte bancaire des intérimaires : piratage chez Adecco ? est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans le premier article d'introduction à GNS3, nous avons vu que GNS3 est un outil qui nous permet de maquetter des infrastructures en y intégrant, en autres, des équipements réseaux. Dans ce second article, nous allons voir comment ajouter un commutateur Cisco à GNS3. Cisco a développé une version virtuelle de son système d’exploitation IOS pour commutateur baptisée IOSv déclinée en deux versions :

• IOSvL2 : prends en charge la plupart des fonctionnalités présentes dans les commutateurs CISCO de niveau 2 et de Niveau 3
• IOSv : prends en charge la plupart des fonctionnalités présentes dans les routeurs CISCO

Vous pouvez retrouver le premier article en suivant le lien ci-dessous :

• Introduction à GNS3 : installation étape par étape pour bien débuter

II. Importer une Image Cisco IOSvL2 dans GNS3

Tout d'abord, nous devons installer l’image CISCO IOSvL2 et nous devons récupérer l’appliance sur le site internet. Dans GNS3, cela est appelé GNS3, mais dans les faits, c’est plus un outil qui nous propose un assistant d’importation de l’IOS. En effet, l’IOSv est disponible à l’achat sur le site internet de CISCO. Sur le site internet de GNS3, nous avons accès à un « marketplace », depuis la page d’accueil, nous cliquerons sur le menu « Marketplace ».

• Accéder au site de GNS3

Après avoir cliqué sur « Appliances », nous téléchargerons l’appliance Cisco IOSvL2. Il s'agit d'un fichier au format « gns3a ».

Une fois le fichier téléchargé, nous allons l’importer dans GNS3. Ouvrez l'application. Nous déroulerons le menu « File » où nous sélectionnerons « Import appliance ».

Nous sélectionnerons le fichier que nous avons téléchargé depuis le site internet de GNS3, à savoir "cisco-iosvl2.gns3a".

L’assistant d’importation de l’IOSvL2 se lance...

A la première étape, nous sommes invités à sélectionner où nous souhaitons l’installer. Comme nous l’avons précisé dans le premier article, les commutateurs et les routeurs CISCO ne sont pas basés sur des architectures processeur x64 ou x32. Nous devons donc émuler le système pour faire fonctionner le système d’exploitation de l’IOS pour switch de chez CISCO.

Nous utiliserons l’émulateur QEMU présent dans l’appliance GNS3 exécutée dans VMware Workstation, c’est ce seul choix qui nous est proposé. Nous pouvons cliquer sur le bouton « Next ».

Nous sélectionnerons les binaires QEMU que nous utiliserons, ses binaires sont présents dans la machine virtuelle. Nous utiliserons la version par défaut, qui est aussi la dernière version la plus récente présente dans la machine virtuelle GNS3 VM.

Nous avons une liste de version de IOSvL2 que nous pouvons installer, dans cet exemple, nous utiliserons la version IOSvL2 version 15.2(4.0.55)E, nous sélectionnerons donc l’IOS de cette version. Ainsi, nous obtiendrons l'accès aux boutons « Import » et « Download ».

Nous cliquerons sur le bouton « Import », puis nous sélectionnerons le fichier de notre image CISCO, puis dans la boîte de dialogue, nous sélectionnerons notre fichier « vios_l2-adventerprisek9-m.vmdk.SSA.152-4.0.55.E ».

Nous déroulerons ensuite le nœud de la version que nous venons d’installer, nous sélectionnons le nom de fichier de notre IOSv, puis nous cliquerons sur le bouton "Next".

Un message de demande de confirmation s’affiche à l’écran, cliquer sur « Yes » pour confirmer l’installation.

Nous aurons les instructions pour l’utilisation de notre Switch. Nous cliquerons sur le bouton « Finish ».

Une fois l’opération terminée, nous avons une boîte de dialogue, nous confirmant l’installation de notre Switch avec un simple clic sur "OK".

III. Créer ses deux premiers Switch Cisco dans GNS3

Il est temps de tester afin de vérifier le bon fonctionnement notre image CISCO. Pour cela, nous allons créer un nouveau projet dans lequel nous ajouterons deux switchs Cisco.

Pour créer un nouveau projet, nous cliquerons sur le menu déroulant « File » puis sur « New Blank Project ».

Dans GNS3, un lab est appelé « projet », nous devons lui donner un nom et un emplacement où seront installés les différents fichiers utilisés pour les maquettes. Une fois ces informations renseignées, nous cliquerons sur le bouton « OK ». Voici un exemple :

Dans GNS3, au sein de la catégorie commutateurs, nous pouvons visualiser notre switch CISCO.

Nous glisserons le switch identifié avec le nom Cisco IOSvL2 15.2(4.0.55)E sur l’espace de travail, à droite. Grâce à cette action, on crée un switch.

Nous recommençons cette opération pour que nous ayons deux commutateurs sur l’espace de travail puis nous cliquerons sur le triangle vert pour démarrer les deux équipements.

Nous lierons les deux équipements à l’aide de l’outil « link » accessible dans le menu latéral.

Pour lier, avec l’outil « link », nous cliquerons sur le premier switch. Là, nous aurons la liste des ports. Nous sélectionnerons le port Gi0/0.

Nous cliquerons ensuite sur le second switch, nous sélectionnerons également le même port. Nous venons de créer un lien entre les deux switchs.

En double-cliquant sur les commutateurs, nous avons accès au terminal pour la configuration. Nous attribuerons une adresse IP au VLAN 1 sur chacun des équipements et nous effectuerons un ping entre les deux commutateurs.

Sur le premier switch, on attribue l'adresse IP "192.168.0.1/24" :

Switch>enable
Switch#configure terminal
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.0.1 255.255.255.0
Switch(config-if)#no shutdown

En image :

Sur le second switch, on attribue l'adresse IP "192.168.0.2/24" :

Switch>enable
Switch#configure terminal
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.0.1 255.255.255.0
Switch(config-if)#no shutdown

En image :

Il ne reste plus qu'à tester un ping dans les deux sens : vous verrez que vos switchs sont en mesure de communiquer !

IV. Conclusion

Félicitations ! Vous venez d'importer une image CISCO dans GNS3, de créer vos premiers switchs et de les faire communiquer ensemble !

L'article GNS3 : comment importer une image Cisco et créer son premier switch ? est disponible sur IT-Connect : IT-Connect.

Au sein de son Patch Tuesday de Novembre 2022, Microsoft a corrigé un bug dans la gestion du marqueur Mark of the Web au sein des images ISO, ce qui devrait permettre de bloquer certaines attaques qui s'appuyaient jusqu'ici sur des images ISO malveillantes.

Avant de parler de ce problème de sécurité, parlons du marqueur "Mark of the Web" (MoTW) en lui-même. Lorsqu'un fichier provient d'Internet, Windows l'identifie grâce à ce fameux marqueur, ce qui permet ensuite d'adopter un comportement adéquat. Par exemple, s'il s'agit d'un fichier Word provenant d'Internet, alors on l'ouvre en mode protégé. Pour cela, le fichier dispose d'un attribut nommé "Zone.Identifier" qui permet d'attribuer un fichier à une zone : ordinateur local, sites de confiances, Internet, etc... Un marqueur très important et pris en charge par Windows, ainsi que par certains logiciels (Microsoft Office, 7-Zip, etc.).

CVE-2022-41091 : un problème de sécurité lié aux images ISO

Depuis Windows 8, il est possible de monter une image ISO d'un simple "double clic". Cela a pour effet de créer un lecteur virtuel sur le système, et ce lecteur donne accès au contenu de l'image ISO.

Bill Demirkapi, ingénieur au sein de l'équipe Microsoft MSRC, affirme qu'une vulnérabilité a été corrigée dans la gestion du marqueur MoTW au sein des images ISO. En effet, le marqueur n'était pas propagé aux fichiers contenus dans une image ISO. De ce fait, une image ISO en provenance d'Internet était identifiée sauf que ce n'était pas le cas des fichiers à l'intérieur de cette image. Enfin, tout dépend du type de fichiers, car cela fonctionnait pour les documents Microsoft Office, mais pas pour les liens ".LNK" ce qui permet de pointer vers n'importe quel élément. Une aubaine pour les cybercriminels qui ont pu utiliser cette faiblesse pour diffuser des logiciels malveillants via des campagnes de phishing.

Si un utilisateur monte une image ISO et qu'il ouvrir un fichier "LNK" malveillant, il sera exécuté automatiquement par Windows sans afficher le moindre avertissement. Normalement, une fenêtre de confirmation apparaît lorsque le fichier provient d'Internet, mais là ce n'est pas le cas. Grâce à la mise à jour de novembre 2022, la vulnérabilité CVE-2022-41091 est corrigée.

CVE-2022-41049 : contournement de MoTW avec des archives ZIP

En complément de cette faille de sécurité, Microsoft a corrigé la vulnérabilité CVE-2022-41049, associée aussi à la fonction Mark of the Web. Will Dormann, à l'origine de cette découverte a évoqué deux manières d'exploiter cette faille de sécurité.

La première méthode permet de faire planter Windows SmartScreen sous Windows 11 22H2 et de bypasser les avertissements de sécurité lors de l'ouverture de fichiers contenus au sein d'archives ZIP.

Baptisée "ZippyReads", la seconde méthode consiste à créer une archive ZIP contenant un fichier en lecture seule. Lorsque cette archive est ouverte dans l'Explorateur Windows, l'indicateur MoTW n'est pas propagé à ce fichier en lecture seule, ce qui permet de l'exécuter sans être confronté à l'avertissement de sécurité.

À ce jour, il y aurait une autre vulnérabilité dans MoTW découverte par Will Dormann et qui ne serait pas corrigée. En effet, lorsqu'un script JavaScript est utilisé et qu'il contient une signature malformée, il peut être exécuté sur la machine sans qu'il y ait le moindre avertissement.

Le danger vient et continuera de venir par Internet et par les fichiers malveillants, alors soyez méfiants. Pour rappel, mon article complet au sujet du Patch Tuesday est disponible à l'adresse ci-dessous. Ce mois-ci, Microsoft a corrigé 68 vulnérabilités et 6 failles zero-day, notamment celles dans Microsoft Exchange Server.

• Microsoft - Patch Tuesday - Novembre 2022

Source

L'article Windows et MoTW : Microsoft a corrigé une vulnérabilité exploitée pour distribuer des malwares est disponible sur IT-Connect : IT-Connect.