Une faille zero-day a été découverte dans Zimbra Collaboration Suite, une suite collaborative qui assure le rôle de serveur de messagerie. En exploitant cette vulnérabilité, un attaquant peut compromettre un serveur Zimbra à distance.

Associée à la référence CVE-2022-41352, cette vulnérabilité hérite d'un score CVSSv3 de 9,8 sur 10, ce qui en fait d'elle une faille de sécurité critique. Elle permet à un attaquant de télécharger des fichiers arbitraires par le biais de la fonction de sécurité Amavis, utilisée pour analyser les e-mails entrants et sortants. En exploitant cette vulnérabilité, l'attaquant peut écraser la webroot de Zimbra, exécuter un shellcode et accéder aux comptes d'autres utilisateurs.

L'origine de cette faille de sécurité est identifiée : il s'agit de l'utilitaire d'archivage "cpio", utilisé par la fonction Amavis quand une recherche de virus est effectuée sur un fichier. L'outil cpio contient une faille qui permet à un attaquant de créer des archives spéciales (archives .CPIO, .TAR ou .RPM) qui peuvent être extraites n'importe où sur un système de fichiers accessible à Zimbra.

Sur le forum de Zimbra, on parle de cette vulnérabilité zero-day depuis le début du mois de septembre 2022, suite à des attaques constatées par certains administrateurs systèmes de la solution Zimbra (voir un exemple ici).

Suite à cette alerte, Zimbra a publié un avis de sécurité le 14 septembre pour demander aux administrateurs d'installer Pax, un autre utilitaire d'archivage, afin de remplacer l'outil vulnérable "cpio". La transition est automatique après redémarrage. Dans le bulletin de sécurité de Zimbra, on peut lire : "Si le paquet pax n'est pas installé, Amavis se rabattra sur l'utilisation de cpio, malheureusement cette solution est mal implémentée (par Amavis) et permettra à un attaquant non authentifié de créer et d'écraser des fichiers sur le serveur Zimbra, y compris le webroot Zimbra."

Sur CentOS, il y a des chances que Pax ne soit pas installé par défaut, et donc que cpio soit utilisé, tandis que sur Ubuntu, il s'agit d'une dépendance, en fonction des versions. Mais, dans le doute, il vaut mieux vérifier si vous utilisez la suite Zimbra car d'après un rapport de Rapid7, de nombreuses distributions comme Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 et CentOS 8 n'ont pas le paquet "pax". Tandis que côté Ubuntu, les anciennes versions LTS d'Ubuntu, à savoir 18.04 et 20.04, incluent Pax, mais le paquet a été supprimé dans la version 22.04. Par la suite, Zimbra va imposer l'utilisation de Pax pour les nouvelles installations.

Source

The post Messagerie : une faille zero-day activement exploitée dans Zimbra Collaboration Suite first appeared on IT-Connect.

Si vous utilisez un pare-feu FortiGate ou un proxy FortiProxy, vous devez vous protéger contre la faille de sécurité CVE-2022-40684 sans attendre ! Faisons le point sur cette vulnérabilité qui affecte les clients de Fortinet.

La faille de sécurité CVE-2022-40684 permet à un attaquant non authentifié de s'authentifier à distance sur un appareil Fortinet vulnérable en outrepassant la page d'authentification du système. Les appareils accessibles sur Internet sont particulièrement exposés à des attaques. Une recherche sur Shodan permet de voir qu'il y a plus de 100 000 firewalls FortiGate exposés sur Internet, dans le monde entier, y compris en France. Dans le cas où l'interface de management est exposée, cette faille de sécurité représente un réel danger pour l'entreprise.

Dans son bulletin de sécurité, la société Fortinet décrit la vulnérabilité de cette façon : "Un contournement d'authentification utilisant un chemin ou un canal alternatif [CWE-88] dans FortiOS et FortiProxy peut permettre à un attaquant non authentifié d'effectuer des opérations sur l'interface d'administration via des requêtes HTTP ou HTTPS spécialement conçues."

Cette vulnérabilité est présente dans différentes versions des systèmes FortiOS et FortiProxy :

• FortiOS : de la version 7.0.0 à la 7.0.6 et de la version 7.2.0 à la 7.2.1
• FortiProxy : de la version 7.0.0 à la 7.0.6 et la version 7.2.0

Comment se protéger de la vulnérabilité CVE-2022-40684 ?

Fortinet a mis en ligne des correctifs de sécurité pour se protéger contre cette vulnérabilité critique, il s'agit des versions 7.0.7 et 7.2.2.

La multinationale incite ses clients à installer le correctif dès que possible : "Il s'agit d'une vulnérabilité critique qui doit être traitée avec la plus grande urgence." - En complément, Fortinet a notifié par e-mail ses clients pour les avertir de l'existence de cette vulnérabilité et de la nécessité de se protéger rapidement. Pour le moment, Fortinet n'a pas précisé si la vulnérabilité était activement exploitée ou non.

Si vous n'êtes pas en mesure d'installer le correctif de sécurité rapidement, il convient de mettre en place une politique pour limiter l'accès à l'interface d'administration afin que cet accès soit possible uniquement à partir de certaines adresses IP.

Source

The post Fortinet : une faille critique dans les firewalls FortiGate et dans FortiProxy first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à utiliser la commande PowerShell "Copy-Item" qui est utile pour copier un fichier d'un dossier vers un autre dossier, mais également un ensemble de données. Nous allons voir comment utiliser ce cmdlet au travers plusieurs exemples, car il s'avère pratique pour copier des données. Ces exemples permettent d'effectuer des actions simples, mais qui répondent à des cas fréquents ! C'est une alternative à la commande historique "xcopy", mais également à l'excellent "robocopy".

• Microsoft Learn - Copy-Item

II. Copier un fichier avec PowerShell

Commençons simple avec la copie d'un fichier d'un dossier A vers un dossier B. Pour cette démo, je travaille dans le dossier "C:\TEMP\PS\", où je crée "DossierA", "DossierB", et un fichier nommé "it-connect-1.txt" dans "DossierA".

New-Item -ItemType Directory -Path "C:\TEMP\PS\" -Name "DossierA"
New-Item -ItemType Directory -Path "C:\TEMP\PS\" -Name "DossierB"
New-Item -ItemType File -Path "C:\TEMP\PS\DossierA\" -Name "it-connect-1.txt"

Maintenant, on va déplacer ce fichier de "DossierA" vers "DossierB" :

Copy-Item -Path "C:\TEMP\PS\DossierA\it-connect-1.txt" -Destination "C:\TEMP\PS\DossierB\"

Le fichier est bien copié (et non déplacé)  :

Dans l'exemple précédent, on conserve le même nom entre la source te la destination. Néanmoins, on peut faire en sorte que le fichier change de nom dans la destination. Par exemple, qu'il s'appelle "it-connect-2.txt" :

Copy-Item -Path "C:\TEMP\PS\DossierA\it-connect-1.txt" -Destination "C:\TEMP\PS\DossierB\it-connect-2.txt"

On peut aussi raccourcir cette commande, en utilisant "Copy" qui est l'alias de "Copy-Item" est en spécifiant dans l'ordre, la source et la destination.

Copy "C:\TEMP\PS\DossierA\it-connect-1.txt" "C:\TEMP\PS\DossierB\"

III. Copier les fichiers en appliquant un filtre

Pour cet autre cas pratique, nous allons voir comment copier des fichiers en appliquant un filtre afin d'inclure ou d'exclure uniquement les fichiers avec une extension spécifique. Pour avoir un peu plus de matière, j'ai créé quelques fichiers TXT et des fichiers JPG dans mon dossier "DossierA" :

Je décide de copier de "DossierA" vers "DossierB" seulement les fichiers ".JPG". Ce qui donne un filtre avec le paramètre "-Include" et au niveau du chemin source, on ajoute aussi le caractère widlcard ("*") pour inclure tout le contenu de ce dossier (que l'on filtre grâce à -Include) :

Copy-Item -Path "C:\TEMP\PS\DossierA\*" -Destination "C:\TEMP\PS\DossierB\" -Include *.jpg

Il est à noter que dans l'exemple précédent, basé sur "-Include", il n'est pas possible d'ajouter "-Recurse" et donc d'inclure les fichiers correspondants au filtre et présents dans les sous-dossiers. Le filtre "-Include" s'applique uniquement sur le dossier de premier niveau. Par contre, le paramètre "-Recurse" fonctionne avec les exclusions.

Dans mon dossier, j'ai des fichiers "TXT" et des fichiers "JPG", si je souhaite copier uniquement les fichiers JPG, je dois exclure l'extension "TXT", comme ceci :

Copy-Item -Path "C:\TEMP\PS\DossierA\*" -Destination "C:\TEMP\PS\DossierB\" -Exclude *.txt -Recurse

Le fait d'ajouter "-Recurse" permet aussi de copier les fichiers situés dans des sous-dossiers, en créant également le dossier dans la destination afin de reproduire l'arborescence.

IV. Copier un fichier vers un ordinateur distant

Le cmdlet "Copy-Item" ne contient pas de paramètre "-Computer" permettant de spécifier un ordinateur de destination, mais il a un paramètre "-ToSession" qui permet de copier des données vers un ordinateur distant en utilisant une session PowerShell.

Voici un exemple ci-dessous, tout en sachant que l'inverse est possible aussi : copier des données de l'ordinateur distant, vers l'ordinateur local, en utilisant le paramètre "-FromSession" sur le même principe.

Ceci implique d'activer la Gestion à distance de Windows (WinRM) et de créer une session PowerShell.

Dans cet exemple, la session cible l'ordinateur "PC-01" et je m'authentifier avec le compte "IT-Connect\florian".

$Session = New-PSSession -ComputerName "PC-01" -Credential "IT-Connect\florian"

Une fois la session en place, on peut copier un fichier sur l'ordinateur distant en appelant la session. Ici, on copie "C:\Temp\PS\DossierA\it-connect-1.txt" vers "C:\TEMP\" (chemin local sur l'ordinateur cible).

Copy-Item -Path "C:\Temp\PS\DossierA\it-connect-1.txt" -Destination "C:\TEMP\" -ToSession $Session

• Tutoriel - Gestion à distance WinRM sous Windows

V. Copier un dossier complet avec PowerShell

Autre cas : copier l'intégralité d'une arborescence d'un emplacement vers un autre. Ainsi, on peut copier tout le contenu de "DossierA", c'est-à-dire ses fichiers, ainsi que ses sous-dossiers et leur contenu, vers le "DossierB".

Copy-Item -Path "C:\TEMP\PS\DossierA\*" -Destination "C:\TEMP\PS\DossierB\" -Recurse

Si l'on retire le paramètre "-Recurse", alors on copie uniquement les fichiers situés dans le répertoire de premier niveau. Autrement dit, on ignore les sous-dossiers.

VI. Copier plusieurs dossiers vers un emplacement unique

Dans le cas où l'on souhaite copier le contenu de plusieurs dossiers sources vers une même destination (fusionner le contenu des dossiers), il sera nécessaire de séparer les répertoires sources par une virgule. Quant au dossier de destination, il n'est pas obligatoire de le créer : il pourra être créé lors de la copie.

Pour déplacer le contenu des dossiers "DossierA" et "DossierB" vers "DossierC", cela donne :

Copy-Item -Path "C:\TEMP\PS\DossierA\*","C:\TEMP\PS\DossierB\*" -Destination "C:\TEMP\PS\DossierC\"

Dans le même esprit avec la récursivité :

Copy-Item -Path "C:\TEMP\PS\DossierA\*","C:\TEMP\PS\DossierB\*" -Destination "C:\TEMP\PS\DossierC\" -Recurse

Attention aux éventuels conflits sur des noms, qui peuvent générer quelques erreurs sans pour autant empêcher le reste de la copie.

VII. Conclusion

Vous êtes désormais en mesure de copier des fichiers avec PowerShell en utilisant la commande Copy-Item ! Si vous avez une idée pour un cas de figure supplémentaire, n'hésitez pas à laisser un commentaire sur cet article.

The post Comment copier des fichiers en PowerShell avec Copy-Item ? first appeared on IT-Connect.

Avast a mis en ligne un outil de déchiffrement pour différentes variantes du ransomware MafiaWare666, notamment Jcrypt, RIP Lmao et BrutusptCrypt.

L'éditeur Avast a identifié une faille dans le module de chiffrement utilisé par le ransomware MafiaWare666, ce qui permet la récupération des données sur certaines machines, selon la variante utilisée. Dans certains cas, l'outil de déchiffrement proposé par Avast peut ne pas fonctionner si le module de chiffrement utilisé est différent de celui pour lequel Avast a identifié un bug.

De ce fait, en utilisant l'outil d'Avast, les victimes peuvent récupérer leurs données gratuitement : une bonne nouvelle ! Dans la majorité des cas, cette famille de ransomwares demande une rançon assez faible : entre 50 et 300 euros. Néanmoins, il y a eu quelques exceptions avec des rançons estimées à plusieurs dizaines de milliers d'euros. Lorsque ce ransomware est utilisé, les données sont simplement chiffrées donc il n'y a pas de double extorsion avec l'exfiltration des données vers les serveurs des cybercriminels.

L'outil de déchiffrement "Avast Decryption Tool for MafiaWare666" mis en ligne par Avast est disponible en téléchargement à cette adresse et il prend en charge les extensions de fichiers suivants :

• .MafiaWare666
• .jcrypt
• .brutusptCrypt
• .bmcrypt
• .cyberone
• .l33ch

Cet outil répond à deux cas de figures :

• Vous avez connaissance de votre clé de déchiffrement mais vous n'étiez pas parvenu à déchiffrer les données
• Vous n'avez pas connaissance de votre clé de déchiffrement (ce qui correspond à la majorité des cas)

Bien sûr, dans le cas où vous n'avez pas connaissance de votre clé, l'analyse et la récupération de vos données sera plus longue car il y aura une première phase où l'outil va rechercher la clé de déchiffrement correspondante à votre machine. Comme souvent avec ces outils, il y a une option qui permet de garder une copie des fichiers chiffrés afin de pouvoir retenter sa chance si le fichier est corrompu pendant la phase de récupération.

Un article complet est disponible sur le site d'Avast.

Source

The post Avast publie un outil de déchiffrement pour le ransomware MafiaWare666 first appeared on IT-Connect.

Un nouveau problème pour Windows 11 22H2 ! Cette fois-ci, c'est la phase de provisionnement de la machine qui est concernée, car le système se configure partiellement ou plante à la fin de l'installation. Que se passe-t-il ?

Cette problématique affecte les entreprises qui utilisent la solution Intune / Microsoft Endpoint Manager (via Windows Autopilot, notamment) et Microsoft a reconnu l'existence de ce bug. Un article dédié est disponible sur le site techcommunity.microsoft.com. Nicole Zhao de Microsoft précise : "Nous voulions vous informer d'un problème avec le provisionnement des paquets (.ppkg) sur Windows 11 2022 Update."

Effectivement, c'est bien le déploiement des packages ".ppkg" qui semble poser problème et qui peut faire planter le provisionnement de la machine. Microsoft précise : "Ce problème bloque l'appareil dans le processus OOBE (out-of-box experience). Pendant le provisionnement, le fichier .ppkg est appliqué mais le processus OOBE se bloque et peut entraîner un redémarrage inattendu de l'appareil."

C'est bien Windows 11 22H2 qui pose problème, car un même paquet fonctionne bien sur Windows 11 22H1. Lorsque le déploiement plante sur Windows 11 22H2, l'erreur 0x800700b7 est générée. Voici le texte complet de ce message d'erreur : "Provisioning failure , Installation of a provisioning package failed. Please work with the package author to diagnose the problem. Reported error code: 0x800700b7".

La firme de Redmond travaille sur un correctif, et en attendant il n'y a pas de réelle solution. Si ce n'est que Microsoft recommande à ses utilisateurs de faire le provisionnement des paquets sur l'ordinateur avant la mise à niveau vers Windows 11 22H2.

Depuis quelques jours, les problèmes s'enchaînent pour Windows 11 22H2 :

• Windows 11 22H2 - Baisse des performances avec la copie des fichiers volumineux
• Windows 11 22H2 - Problèmes avec les connexions RDP

Par ailleurs, ce sont les machines équipées du pilote audio Intel SST qui ne peuvent pas encore bénéficier de Windows 11 22H2 à cause d'un bug qui peut générer un écran bleu de la mort sur l'ordinateur.

Source

The post Un bug dans Windows 11 22H2 fait planter le provisionnement de la machine first appeared on IT-Connect.