De millions d'appareils se retrouvent vulnérables à des failles de sécurité liées au Wi-Fi et qui touchent tous les protocoles, autant le WEP que le WPA3.

Le chercheur en sécurité Mathy Vanhoef (Université de New York Abu Dhabi) a dévoilé cet ensemble de failles de sécurité qu'il a baptisé FragAttacks (fragmentation and aggregation attacks). Ces failles de sécurité rendent les terminaux vulnérables, que ce soit les smartphones, les PC portables, les points d'accès sans-fil, mais aussi tous les appareils connectés de l'Internet des objets que l'on a tous, ou presque, à la maison. Le protocole WEP est vulnérable depuis longtemps à diverses failles, et il est touché par ces failles une fois de plus, mais les versions plus récentes des protocoles comme le WPA3 sont également affectées.

Comment expliquer qu'autant d'appareils et de versions de protocoles soient concernés ? Toujours d'après Mathy Vanhoef, il y a trois vulnérabilités découvertes qui sont des défauts de conception au sein de la norme WiFi. Néanmoins, elles sont difficiles à exploiter. Sa plus grande inquiétude réside dans les failles liées à des défauts d'implémentations du WiFi dans les appareils, car là les appareils eux-mêmes sont exposés directement.

D'après Mathy Vanhoef, un attaquant qui se trouve à portée d'un appareil vulnérable peut exploiter ces failles de sécurité pour réaliser une attaque et voler des données. D'ailleurs, il a publié une vidéo sur YouTube où il montre trois exemples d'exploitation de ces failles FragAttacks.

• Intercepter des informations sensibles comme l'identifiant et le mot de passe de la victime
• Interagir à distance avec un appareil connecté (IoT), par exemple allumer et éteindre une prise connectée
• Prise de contrôle d'une machine sous Windows 7 sur un réseau local

Au final, on obtient un bulletin d'alerte qui regroupe un ensemble de 12 CVE dont voici la liste : CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26141, CVE-2020-26142, CVE-2020-26143, CVE-2020-26144, CVE-2020-26145, CVE-2020-26146, et CVE-2020-26147.

Pour en savoir plus sur ces CVE

Un site "FragAttacks" est en ligne, je vous invite à le consulter si vous souhaitez obtenir des détails techniques supplémentaires. Dans tous les cas, cela fait 9 mois qu'il a découvert ces vulnérabilités et que les différents acteurs sont au courant dans le but de préparer des correctifs de sécurité. Certains fabricants proposent déjà des correctifs depuis plusieurs mois, notamment Aruba, Cisco, Dell, Intel, Microsoft ou encore Juniper. Sur GitHub, Mathy Vanhoef a recensé les bulletins des éditeurs :

Bulletins liés à FragAttacks

The post FragAttacks : des failles WiFi qui menacent des millions d’appareils ! first appeared on IT-Connect.

À l'occasion du Patch Tuesday de mai 2021, Microsoft a corrigé une faille de sécurité critique dans la pile du protocole HTTP et plus particulièrement dans le pilote HTTP.sys. Cette faille est dite "wormable" c'est-à-dire qu'elle peut être exploitée par un ver informatique. Désormais, il existe un exploit pour tirer profit de cette faille de sécurité.

Référencée sous le nom CVE-2021-31166, la faille de sécurité touche la pile du protocole HTTP (HTTP.sys) intégrée à Windows 10 et Windows Server. Il s'avère que la faille touche HTTP.sys, un pilote en mode noyau qui permet à Windows de gérer les requêtes HTTP. Ce pilote est exploité par IIS (serveur Web), mais aussi par WinRM pour la gestion à distance, ainsi que SSDP.

Cette vulnérabilité est désormais corrigée par Microsoft et elle touche exclusivement Windows 10 en version 2004 et 20H2, ainsi que Windows Server 2004 et 20H2 également. Pour Windows Server, cela concerne aussi les installations en mode Core. Les versions antérieures ne sont pas concernées.

Microsoft recommande de patcher toutes les machines affectées dès que possible, car un attaquant, non authentifié, peut exploiter cette faille. En exploitant cette faille, il peut exécuter du code malveillant sur votre serveur,  le tout à distance. Par "toutes les machines affectées", j'entends tous les serveurs et postes de travail qui exécutent une version de Windows concernée, et pas seulement celles qui exécutent un serveur IIS puisqu'il y a divers composants qui s'appuient sur ce pilote HTTP.sys.

CVE-2021-31166 : un exploit qui mène à un déni de service

Un chercheur en sécurité nommé Axel Souchet a publié un code de l'exploit sur GitHub en guise de proof-of-concept. Dans son exemple, l'attaque mène à un déni de service puisque la machine ciblée génère un écran bleu de la mort (BSoD).

Suite à la publication du code de cet exploit, le risque c'est qu'un ver informatique soit créé et qu'il soit en mesure de se déplacer de machine en machine en tirant profit de la faille CVE-2021-31166.

Voici le message publié par Axel Souchet sur Twitter :

I've built a PoC for CVE-2021-31166 the "HTTP Protocol Stack Remote Code Execution Vulnerability": https://t.co/8mqLCByvCp pic.twitter.com/yzgUs2CQO5

— Axel Souchet (@0vercl0k) May 16, 2021

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

La bonne nouvelle dans tout ça, c'est que la faille de sécurité touche les toutes dernières versions de Windows 10 et Windows Server : deux versions pas forcément adoptées par les entreprises pour le moment.

A vos mises à jour ! 

Source

The post Windows : un exploit existe pour la faille wormable située dans le pilote HTTP.sys first appeared on IT-Connect.

I. Présentation

Lorsqu’on utilise Git au quotidien pour versionner son code / ses scripts, on est souvent amené à créer des branches pour tester un bout de code, corriger un bug, le tout sans impacter le script actuel qui tourne en production.

Et pour éviter un carnage en production, nous devons redoubler de vigilance, et nous assurer de bien être sur la branche de test, et non celle de production.

Il existe des commandes Git pour vérifier cela, et pour naviguer d’une branche à l’autre. Mais on peut vite s’y perdre.

Et si je vous disais qu’il est possible de manipuler le prompt de votre terminal Linux pour afficher le nom de la branche de votre repository Git sur laquelle vous travaillez ?

Note : Si vous ne voyez pas encore l’intérêt en tant que sysadmin d’utiliser Git pour gérer vos scripts et la configuration de vos serveurs, laissez-moi vous convaincre du contraire : Git c’est l’avenir du sysadmin. Ça devient même un nouveau standard dont vous ne pouvez plus passer à côté.

II. Prérequis

Afin de suivre ce tutoriel, vous devez respecter les prérequis suivants :

• Avoir une distribution Linux fonctionnelle, que ce soit une machine virtuelle, ou une distribution sous WSL
• Git installé
• Avoir créé votre premier repository Git

III. Comment modifier le prompt bash

Au lancement de votre terminal Linux, vous devriez avoir par défaut un prompt affichant :

• Votre nom d’utilisateur
• Le hostname de votre machine
• Le répertoire dans lequel vous vous trouvez
• Un $, indiquant que votre compte n’est pas un compte root

Le contenu de ce prompt est stocké dans une variable nommée PS1, pour Prompt String 1.

Vous pouvez d’ailleurs afficher le contenu de cette variable via la commande :

echo $PS1

Bon, on est d’accord, vu comme ça, c’est un peu moins parlant 

Note : Si l’anglais n’est pas un problème pour vous, je vous invite à consulter cet article pour tout savoir en détail sur la variable PS1.

Pour afficher le nom de la branche Git sur laquelle on travaille dans notre prompt, il nous faut donc modifier le contenu de cette variable PS1.

Et pour éviter de refaire la manipulation à chaque fois que l’on démarre un nouveau terminal, on va donc ajouter un bout de code à notre profile bash, en modifiant le fichier .bashrc :

vim ~/.bashrc

Note : le caractère ~ est un raccourci pour indiquer votre répertoire d’utilisateur. Dans mon cas, cela correspond à /home/thibault.

Déplacez-vous à la fin du fichier, et ajoutez le code suivant, puis sauvegardez :

# Configuration Git Branch – Modification prompt Linux
parse_git_branch() {
     git branch 2> /dev/null | sed -e '/^[^*]/d' -e 's/* \(.*\)/ (\1)/'
}
export PS1="\u@\h \[\033[32m\]\w\[\033[33m\]\$(parse_git_branch)\[\033[00m\] $ "

 

Avant de tester le bon fonctionnement du code, quelques explications s’imposent :

La fonction parse_git_branch va extraire le nom de la branche Git sur laquelle vous vous trouvez actuellement dans votre repository Git.

Le contenu de la variable PS1 est alors modifié pour inclure le nom de la branche Git.

Si on analyse en détail le contenu de la variable PS1, on a alors les propriétés suivantes :

• \u@\h \[\033[32m\] à Affiche le nom de l’utilisateur et le hostname de la machine, avec la couleur appropriée
• \w\[\033[33m\] à Affiche le nom du répertoire de travail actuel. Lorsque vous changez de répertoire avec la commande cd, ce contenu change également de manière dynamique.
• \$(parse_git_branch)\[\033[00m\] à Si le répertoire de travail est un repository Git (et seulement dans ce cas-là), alors on affiche le nom de la branche Git dans laquelle nous nous trouvons actuellement.

IV. Tester le bon fonctionnement

Maintenant pour tester ça, comment faire ? Et bien, il suffit de redémarrer votre terminal pour que la fonction que l'on vient de rajouter soit prise en compte.

Jusque là, vous ne devriez voir aucun changement. Normal après tout, puisque vous vous trouvez actuellement dans un répertoire qui n'est pas tracké par Git.

Pour vérifier le fonctionnement, je me déplace dans mon dossier repository Git "scripts", qui contient deux branches :

• master
• test/branch

On peut voir que lorsque j'utilise la commande git checkout pour changer de branche et me déplacer entre "master" et "test/branch", mon prompt change aussi en fonction.

 

V. Conclusion

Ainsi, on sait d’un coup d’œil si le répertoire de travail est suivi par Git ou non, et si c’est le cas, on connaît également la branche (production, développement, etc) sur laquelle on travaille.

Plus aucun risque de se tromper maintenant !

The post Linux – Afficher la branche Git dans le prompt first appeared on IT-Connect.

Si vous cherchez une alternative à Zoom ou Microsoft Teams, cet article devrait vous intéresser tout comme la solution dont je vais vous parler aujourd’hui : kMeet. 

Derrière ce nom se cache la solution de webconférence proposée par la société Infomaniak. Souvenez-vous, il y a quelques mois, je vous parlais de la possibilité d’obtenir une adresse e-mail gratuite chez eux, via le service ik.me.

Pourquoi devrait-on s’intéresser à la solution kMeet ? 

Le développement de la solution kMeet est constant et de nouvelles fonctionnalités sont ajoutées très régulièrement. Vous allez me dire, comme les autres solutions en fait. Oui, c’est vrai, mais c’est important de le signaler malgré tout. 

La solution kMeet d’Infomaniak est différente des autres. Pourquoi ? Parce qu’elle est gratuite, sécurisée notamment par du chiffrement bout-en-bout, sans publicités et elle peut s’utiliser sans inscription. Ah oui, et aussi, elle se veut respectueuse de votre vie privée. De manière générale, le respect de la vie privée est au cœur des préoccupations de la société Infomaniak avec tous ses produits. 

Autant d’avantages gratuitement, c’est bizarre non ? En tout cas, pouvoir réaliser une visio gratuitement sans réaliser la moindre inscription ou fournir d'informations à son sujet, c'est attrayant ! En fait, cette gratuité et les autres avantages associés se justifient par le fait que cette solution gratuite est financée par les services payants d’Infomaniak, notamment les hébergements web, le stockage en ligne, etc. De toute façon, Infomaniak le clame haut et fort : vous n’êtes en aucun cas le produit. 

Les fonctionnalités de kMeet

Comme je le disais kMeet est en constante évolution et bénéficie d'une toute nouvelle interface. Parmi les dernières nouveautés ajoutées, on retrouve notamment la gestion d’une salle d’attente, la possibilité d’enregistrer les sessions et de les stocker dans kDrive (solution de stockage en ligne de Infomaniak), flouter ou modifier l’arrière-plan de votre caméra, la synchronisation des réunions avec votre calendrier, etc.

Dès le 31 mai prochain, deux nouvelles fonctionnalités seront intégrées : la possibilité d'effectuer des annotations lors d'un partage d'écran et le contrôle à distance pour macOS et Windows.

Puisqu'un schéma vaut mieux qu'un long discours, voici un tableau de comparaison - proposé par Infomaniak - avec les principales solutions concurrentes :

La solution kMeet est disponible sur ordinateur à partir d'un navigateur, mais aussi sur mobile, que ce soit Android ou iOS, à partir d'un navigateur ou de l'application officielle.

Chez Infomaniak, le stockage des données est effectué en Suisse, que ce soit pour kMeet, kDrive ou tout autre service proposé par cette société suisse.

kMeet une solution écoresponsable ?

Oui, car d'après les informations fournies par Infomaniak, l'entreprise utilise exclusivement de l’électricité issue d’énergies renouvelables et elle compense à 200% ses émissions de CO2. Par ailleurs, au sein de ses datacenters elle est en mesure de prolonger la durée de vie de ses serveurs jusqu’à 15 ans.

Bien que kMeet soit une solution jeune puisqu’elle existe depuis avril 2020, elle montre une belle progression. Chaque mois, plus de 500 000 sessions sont initiées sur kMeet. Clairement, kMeet est une solution de webconférence souveraine et elle mérite qu’on en parle et qu’on l’essaie, alors si ça vous tente, voici le lien : essayer kMeet

Source : communiqué de presse

The post kMeet : l’alternative européenne et écologique à Zoom et Teams first appeared on IT-Connect.

QNAP alerte ses clients sur une nouvelle vague d'attaques qui touchent les NAS de la marque. En cause, des mots de passe faibles, mais une faille dans Roon inquiète et pourrait être exploitée par un ransomware.

Le fabricant de NAS QNAP informe que certains de ses clients sont victimes du ransomware eChoraix, sans préciser combien. QNAP précise que les appareils qui utilisent un compte avec un mot de passe faible sont vulnérables à cette attaque. Voici les recommandations de QNAP pour vous protéger contre cette attaque (et les attaques de manière générale, en fait) :

• Utiliser un mot de passe complexe pour les comptes administrateurs
• Activer la fonction "IP Protection" pour vous protéger contre les attaques de type brute force, aussi bien en SSH qu'en accès HTTPS
• Ne pas utiliser les ports par défaut 443 et 8080 pour l'accès Web

Sur son site, QNAP détaille la marche à suivre pour mettre en œuvre ses recommandations.

Une faille Zero Day dans Roon

Nous apprenons également que le paquet Roon de QNAP contient une faille de sécurité Zero Day activement exploitée. Cependant, il n'y aurait pas de liens entre les attaques avec le ransomware eChoraix et cette faille dans Roon. En tout cas, pas pour le moment, mais ce n'est peut être qu'une question de temps...

Qu'est-ce que Roon sur QNAP ? Le paquet tiers Roon de QNAP sert à transformer votre NAS en véritable jukebox puisqu'il permet de créer un serveur musical pour gérer votre bibliothèque musicale et de lire de la musique facilement.

Le serveur Roon est un paquet tiers et la version affectée par cette faille de sécurité est la version 2021-02-01 (et les versions précédentes). D'ailleurs, ce paquet est disponible aussi chez d'autres fabricants comme Synology et ASUSTOR. En attendant que Roon Labs distribue une mise à jour de son paquet Roon, il est recommandé de désactiver le Roon Server sur votre NAS. D'autant plus qu'il est probable que votre Server Roon soit accessible sur Internet, si vous l'utilisez en mobilité.

eChoraix et QNAP : une histoire qui dure

Ce n'est pas la première fois que le ransomware eChoraix s'attaque aux NAS QNAP : il y avait déjà eu une vague d'attaques en juin 2019 et en juin 2020. Ce ransomware est également connu sous le nom de QNAPCrypt.

Le mois dernier, il y avait déjà eu une vague d'attaques sur les NAS QNAP avec le ransomware Qlocker. Ce dernier exploitait une faille de sécurité au sein du paquet Multimedia Console de QNAP. En cinq jours, ce ransomware avait généré plus de 260 000 dollars de gain.

Enfin, il y a quelques jours, QNAP a également corrigé une vulnérabilité importante au sein de l'application Malware Remover. Si vous avez un NAS QNAP : il est temps de passer en revue votre configuration

Source

The post Le ransomware eChoraix s’attaque activement aux NAS QNAP first appeared on IT-Connect.