Pour ce Patch Tuesday de Mai 2021, Microsoft a corrigé 55 vulnérabilités, dont 4 considérées comme critiques et 3 failles Zero Day.
Trois failles Zero Day corrigées
Commençons par les trois failles Zero Day corrigées au sein des produits Microsoft. Bien qu'elles étaient connues publiquement, elles ne sont pas exploitées dans le cadre d'attaques. Les trois failles en question sont les suivantes :
Il s'agit d'une faille dans .NET et Visual Studio qui permet une élévation de privilèges. Cela concerne les framework .NET 5.0 et .NET Core 3.1, tandis que pour Visual Studio, il y a plusieurs versions touchées : Visual Studio 2019 version 16.X sur Windows et Visual Studio 2019 version 8.9 sur macOS.
Cette faille de sécurité au sein d'Exchange a été découverte lors de la compétition de hacking Pwn2Own 2021 par l'équipe Devcore. Il s'agit d'une attaque complexe à mettre en œuvre d'après Microsoft et qui nécessite des privilèges élevés. D'ailleurs, lors de la compétition Pwn2Own, l'équipe de Devcore a effectué une élévation de privilèges avant de pouvoir exploiter cette faille.
Voici les versions d'Exchange Server concernées :
Microsoft Exchange Server 2013 Cumulative Update 23 Microsoft Exchange Server 2016 Cumulative Update 19 et Cumulative Update 20 Microsoft Exchange Server 2019 Cumulative Update 9 et Cumulative Update 8
Cette troisième et dernière faille Zero Day touche la boîte à outils Microsoft Neural Network Intelligence (NNI). Il s'agit d'une faille qui permet une exécution de code à distance. Abhiram V. de chez Resec System a corrigé cette faille directement sur le Github du projet, en poussant une nouvelle version du fichier common_utils.py.
Mai 2021 - Patch cumulatif pour Windows 10
Pour information, voici les noms des KB pour Windows 10 :
- Windows 10 version 1507 — KB5003172 (OS Build 10240.18932)
- Windows 10 version 1607 — KB5003197 (OS Build 14393.4402)
- Windows 10 version 1703 — Fin de support
- Windows 10 version 1709 — Fin de support
- Windows 10 version 1803 — KB5003174 (OS Build 17134.2208)
- Windows 10 version 1809 — KB5003171 (OS Build 17763.1935)
- Windows 10 version 1909 — KB5003169 (OS Build 18363.1556)
- Windows 10 version 2004 et 20H2 — KB5003173 (OS Build 19041.985 et 19042.985)
Les autres mises à jour de Mai 2021...
Mise à part les failles Zero Day, Microsoft a corrigé des vulnérabilités dans d'autres produits comme Windows 10, Office ou encore Internet Explorer. La liste des produits est longue et variée comme d'habitude.
Attention à ces quatre failles considérées comme critiques :
D'ailleurs, la faille Hyper-V est particulièrement inquiétante : l'attaque s'effectue par le réseau, et Microsoft précise sur son site que le niveau de complexité pour l'exploiter est faible et qu'il ne faut pas spécialement de privilèges élevés. La Zero Day Initiative a attribué un score CVSS de 9.9 sur 10 à cette faille de sécurité.
La Zero Day Initiative alerte également les entreprises sur la faille qui touche la pile du protocole HTTP. En effet, cette faille permet à un attaquant non authentifié d'exécuter du code dans le noyau de Windows. Un paquet spécialement conçu peut affecter une machine non patchée. En plus, à la question "Is this wormable ?" Microsoft a précisé "Yes" sur son site donc on peut considérer que cette faille de sécurité est exploitable par un ver informatique.
Bon, maintenant, il ne reste plus qu'à espérer qu'il n'y ait pas de trop de problèmes sur nos machines dans les prochains jours après l'installation des patchs... En tout cas, pour le moment c'est Outlook qui est en difficulté : Outlook : une mise à jour vous empêche de lire ou d'écrire un nouvel e-mail
Microsoft vient de déployer une nouvelle mise à jour pour son client de messagerie Outlook. Malheureusement, cette mise à jour génère un bug plutôt gênant : il n'est plus possible de lire vos e-mails ni d'en écrire un nouveau.
La version d'Outlook qui pose problème est la suivante : Outlook version 2104, build 13929.20372. Après avoir installé cette mise à jour, les ennuis commencent avec le client Click-to-run d'Outlook.
Problème avec la lecture des e-mails : si vous cherchez à lire un e-mail, plutôt que de voir le message entièrement, là il n'y aura seulement qu'une petite partie du message qui s'affichera, voire même qu'une seule ligne.
Problème pour écrire un nouvel e-mail : il est toujours possible de créer un e-mail et de commencer à le rédiger. Par contre, à chaque fois que vous allez appuyer sur Entrée pour sauter une ligne, tout ce que vous avez déjà rédigé dans votre e-mail sera effacé.
Au sein du centre d'administration Office 365, Microsoft a créé l'incident "EX255650" tout en précisant avoir identifié la cause du problème. Dans son message, Microsoft précise qu'un correctif sera distribué dans les prochaines heures : il faudra rechercher les mises à jour Office pour en bénéficier puis relancer Outlook. D'ailleurs, la firme de Redmond précise : "Nous prévoyons de terminer ce processus de correction et de rétablir le service pour tous les utilisateurs concernés d'ici le mercredi 12 mai 2021 à 3:00 AM UTC.", ce qui correspond à 5:00 du matin en France.
Que faire en attendant que le correctif soit déployé ?
En attendant, si la mise à jour d'Office qui corrige ce bug est longue à venir sur votre machine, vous pouvez toujours revenir en arrière : c'est un moyen d'éliminer le problème. Pour cela, vous pouvez revenir à la version précédente du 23 avril 2021, via ces deux commandes à exécuter dans un CMD :
# Se déplacer dans le dossier ClickToRun
cd "C:\Program Files\Common Files\microsoft shared\ClickToRun"
# Réaliser la bascule de version
officec2rclient.exe /update user updatetoversion=16.0.13901.20462
Suite à l'exécution de cette deuxième commande, Office va télécharger les fichiers nécessaires pour basculer sur la version souhaitée.
Il y a une autre solution pour contourner ce problème sans effectuer un changement de version : lancer Outlook en mode sans échec. J'ai bien dit Outlook, et non Windows complètement. Pour cela, avant de cliquer sur l'icône Outlook pour le lancer, appuyez sur la touche "CTRL" de votre clavier et en même temps cliquez sur l'icône. Un message va s'afficher, cliquez sur "Oui".
Lorsqu’Outlook démarre en mode sans échec, toutes les extensions sont désactivées. À chaque fois que vous fermez Outlook, il faudra penser à appuyer sur la touche "CTRL" pour le rouvrir en mode sans échec.
Une rustine en attendant que le correctif arrive sur votre machine, mais elle devrait être disponible : pensez à faire une recherche avant d'appliquer une solution de contournement.
La montre connectée Huawei Watch Fit bénéficie d'une belle promotion sur Cdiscount : son prix tombe à 63,99 euros. Habituellement, elle est vendue 79 euros, voire même 90 euros.
À ce prix, cette montre connectée qui tourne sous LiteOS est vraiment compétitive ! Tout d'abord, elle embarque une puce GPS, ce qui permet d'avoir un suivi directement avec la montre lors des activités sportives. Autrement dit, il n'est pas nécessaire de prendre son smartphone. Tout en sachant qu'il y a 96 modes disponibles pour le sport.
Ensuite, ce qui est intéressant, c'est son écran : il s'agit d'un écran AMOLED incurvé de 1,64 pouce avec une résolution HD (280 x 456p - 326 ppi). Pour l'autonomie, Huawei annonce 10 jours, mais l'on serait plus sur une autonomie comprise entre 6 et 8 jours, d'après les tests. Heureusement qu'elle bénéficie de la charge rapide, car l'autonomie peut sembler un peu courte pour certains.
En complément du GPS, cette montre connectée intègre un capteur cardiaque qui permet la mesure en continu de votre rythme cardiaque, ainsi que la mesure du taux d'oxygène dans le sang (SpO2).
Proposé à 63,99 euros sur Cdiscount, le produit est proposé à ce prix par un vendeur tiers, mais il est expédié gratuitement depuis la France.
Dans cet article, je vous propose de découvrir l'outil Specops Password Auditor, un logiciel gratuit qui va permettre de réaliser un audit des mots de passe au sein de son annuaire Active Directory. Grâce à cet audit, vous serez en mesure d'identifier les utilisateurs qui ont un mot de passe faible et vulnérable. Quand je dis vulnérable, j'entends un mot de passe qui a fait l'objet d'une fuite de données.
Le logiciel va également vous indiquer les comptes sans mots de passe, les comptes où le mot de passe n'expire jamais, les comptes avec des mots de passe identiques, etc... La stratégie de mots de passe déployée sur votre Active Directory sera également évaluée pour voir si elle respecte les bonnes pratiques en matière de sécurité.
Auditer la qualité des mots de passe utilisés par les utilisateurs est important pour une raison simple : les mots de passe représentent un obstacle et agisse comme une défense en matière de sécurité, donc il est indispensable de s'assurer que cette barrière de protection soit à la hauteur de vos attentes. Un compte avec un mot de passe faible est en quelque sorte une proie facile.
Malheureusement, c'est loin d'être une évidence dans les entreprises et bien souvent cette partie est négligée. Grâce à cet audit, vous allez avoir des éléments entre vos mains pour remettre le sujet sur la table auprès de votre direction...
Disponible en version vidéo :
II. Les attaques sur les mots de passe : brute force et password spraying
Avant d'aller plus loin, il me semble pertinent de vous rappeler les deux attaques les plus courantes lorsqu'il s'agit de deviner les mots de passe : les attaques de type brute force et les attaques de type password spraying.
A. Mots de passe - Attaque brute force
Les attaques par brute force sont un grand classique et repose sur une méthode très simple : prendre un compte utilisateur comme cible et essayer un maximum de combinaisons différentes. Autrement dit, on essaie un maximum de mots de passe différents en espérant trouver la bonne combinaison et accéder au compte de l'utilisateur.
Pour cette méthode, on s'appuie sur l'utilisation d'un outil adéquat et d'un dictionnaire, c'est-à-dire un fichier qui contient des dizaines de milliers de mots de passe différents (pour ne pas dire plus). Bien souvent, les mots de passe du dictionnaire sont issus directement d'anciennes fuites de données.
Cette attaque porte bien son nom, disons que c'est une méthode un peu brute et pas très discrète. Bien qu'elle soit efficace contre les comptes avec des mots de passe faibles (nous y voilà), cela peut être beaucoup plus compliqué et plus long dès que le mot de passe est plus complexe et aléatoire.
Les systèmes de protection actuels sont capables de détecter et bloquer ces attaques, notamment l'Active Directory grâce à la fameuse stratégie de mots de passe. En fait, si un utilisateur essaie de se connecter, mais qu'il y a 5 tentatives en échecs dans un laps de temps de 1 minute, on peut verrouiller le compte par sécurité.
B. Mots de passe - Attaque password spraying
Une attaque du type password spraying se rapproche d'une attaque brute force sauf qu'il y a la volonté de rester discret. Plutôt que de cibler un seul compte, nous allons en cibler plusieurs, et plutôt que d'utiliser énormément de combinaisons différentes, on va limiter le nombre de combinaisons. L'objectif est simple : rester sous le seuil de détection et éviter que les comptes ciblés soient verrouillés.
En fait, on teste un mot de passe sur un compte, et après on teste ce même mot de passe sur d'autres comptes. Pendant ce temps, le chrono tourne en la faveur de l'attaquant, tout en poursuivant l'attaque. Au bout d'un moment, il y a de fortes chances pour que la porte s'ouvre compte tenu du fait que les mots de passe faibles sont très répandus.
Ces attaques sont plus difficiles à détecter, mais pas impossible. Généralement les tentatives de connexion sont effectuées depuis la même adresse IP : est-ce normal qu'il y ait de nombreuses tentatives de connexion infructueuses depuis la même adresse IP dans les 10 dernières minutes ? Je ne pense pas .
Le décor est planté, passons à la découverte de l'outil du jour : Specops Password Auditor.
III. Les fonctionnalités de Specops Password Auditor
Specops Password Auditor va effectuer une analyse de votre annuaire Active Directory. Pour réaliser cette analyse et en tirer des conclusions, il va regarder les hash des mots de passe et scanner différents attributs des comptes utilisateurs de votre annuaire, notamment pwdLastSet, userAccountControl, et lastLogonTimestamp.
Grâce à cette analyse rapide, Password Auditor va remonter les éléments suivants :
Comptes avec des mots de passe vides
Comptes avec des mots de passe ayant fait l'objet d'une fuite de données (mots de passe divulgués)
Comptes avec des mots de passe identiques
Comptes administrateur du domaine
Comptes administrateur inactifs
Comptes où le mot de passe n'est pas obligatoire
Comptes où le mot de passe n'expire jamais
Comptes où le mot de passe est configuré pour expirer
Comptes avec le mot de passe expiré
Liste des politiques de mots de passe
Utilisation / affectation des politiques de mots de passe
Conformité des politiques de mots de passe
Specops Password Auditor va également comparer les mots de passe de votre annuaire Active Directory avec sa propre base de mots de passe. La base de mots de passe du logiciel fait environ 5 Go, ce qui représente des centaines de millions d'entrées. Cette base est construite à partir des mots de passe qui sont sortis dans différentes fuites de données et à partir des informations du site haveibeenpwned.com.
Note : la version gratuite du logiciel s'appuie sur une base de 800 millions de mots de passe, tandis que le logiciel payant, Specops Password Policy utilise la base complète de 2,3 milliards de mots de passe.
Si les mots de passe de certains utilisateurs ont fait l'objet d'une fuite de données, vous serez au courant. C'est fort probable que ce soit le cas, notamment si le mot de passe de l'utilisateur est le même dans l'AD et pour se connecter sur ses sites de e-commerce préférés.
IV. Télécharger et installer Specops Password Auditor
Pour télécharger le logiciel, il faut se rendre sur le site de Specops Software et cliquer sur le bouton "Free Download". Il suffira ensuite de remplir un formulaire. Voici le lien : Télécharger - Specops Password Auditor
Un lien de télécharger et une licence seront envoyés sur votre adresse e-mail.
L'installation est très basique, il suffit de quelques clics avec l'assistant. Cochez l'option "Start Specops Password Auditor" à la fin pour démarrer le logiciel.
Passons à l'utilisation du logiciel en lui-même.
V. Rechercher les mots de passe faibles dans l'Active Directory
Le logiciel doit tourner à partir d'une session admin du domaine pour qu'il puisse collecter toutes les informations nécessaires et auditer vos mots de passe.
Au lancement du logiciel, il y a plusieurs champs à renseigner, mais en fait les valeurs sont remontées directement. Il n'y a rien à faire si ce n'est cliquer sur "Import License" en bas à gauche pour charger sa licence gratuite. Cliquez sur "Start".
Néanmoins, vous pouvez utiliser un autre contrôleur de domaine que celui proposé si vous préférez, et vous pouvez restreindre l'analyse à une unité d'organisation spécifique en modifiant la valeur de "Scan Root".
L'étape "Breached Passwords" que l'on peut traduire par "Mots de passe divulgués" permet d'indiquer si vous souhaitez que vos mots de passe soient comparés ou non avec la base de Specops. Le but étant d'identifier les mots de passe vulnérables dans votre annuaire, car concerné par une fuite de données.
Si vous désirez utiliser cette fonction, cochez la case "Download latest version..." et indiquez un chemin au niveau du champ "Local folder". En fait, la base de mots de passe du logiciel va être téléchargée sur votre machine. Comme je le disais, cela représente environ 5 Go d'espace disque.
Cliquez sur "Start Scanning".
La première fois, l'analyse est longue, car il faut télécharger la base de mots de passe. Si vous réexécutez l'analyse ultérieurement, ce sera beaucoup plus rapide.
Une fois l'analyse terminée, un résumé s'affiche sous la forme d'un tableau de bord. Pour chaque catégorie, le verdict tombe. La vue est synthétique, ce qui est appréciable. Pour chaque partie de l'analyse, il y a une bulle rouge qui s'affiche pour indiquer le nombre d'utilisateurs concernés par le point en question.
Tableau de bord de Specops Password Auditor après analyse
En cliquant sur un bloc, on peut obtenir des informations précises notamment la liste des utilisateurs concernés. Par exemple, voici pour les utilisateurs dont le mot de passe est divulgué. Ce qui est pertinent aussi, c'est la partie "Report information" à gauche qui donne des informations sur l'analyse effectuée et des recommandations.
Si l'on regarde le rapport de la section "Expiring Passwords", on peut voir les comptes utilisateurs pour lesquels le mot de passe va expirer prochainement. Il y a un curseur que l'on peut bouger et qui correspond à un nombre de jours restants avant expiration, de quoi anticiper les changements de mots de passe à venir pour vos utilisateurs.
En revenant sur le tableau de bord, on peut générer un rapport en cliquant sur le bouton "Get PDF Report".
Le rapport généré est très professionnel et très propre. Il reprend chacun des points audités avec un descriptif et la liste des comptes concernés. Au début du rapport, il affiche également une note globale sur 100 qui permettra de vous situer rapidement.
Aperçu du rapport PDF généré par Specops Password Auditor
VI. Specops Password Auditor : le mot de la fin
Exécuter une analyse de son Active Directory avec le logiciel Specops Password Auditor est un bon point de départ lorsque l'on souhaite s'attaquer au sujet des mots de passe et des stratégies de mots de passe. C'est une manière simple d'auditer soi-même la qualité des mots de passe des utilisateurs : le résumé fourni suite à l'analyse vous permettra d'établir une liste d'actions à mener pour améliorer la sécurité de votre SI.
Vous pourriez même être surpris, sur des SI avec beaucoup de comptes, beaucoup d'unités d'organisations, on peut vite passer à côté de quelques comptes qui traînent et que l'on ignore. Il vaut mieux prendre un peu de temps pour réaliser ces audits et identifier les comptes problématiques avant que quelqu'un le fasse à votre place, si vous voyez ce que je veux dire.
Avec le rapport généré par l'outil, vous avez des éléments concrets pour avancer avec votre responsable ou votre direction, bien que le rapport soit en anglais.
VII. Pour aller plus loin : Specops Password Policy
En plus de cet outil de scan et d’audit des mots de passe, une autre solution de Specops, Specops Password Policy, permet de facilement filtrer les mots de passe compromis ou divulgués de votre environnement Active Directory qui auraient été détectés, et de renforcer les stratégies de mot de passe par défaut d’Active Directory. Ce logiciel apporte une réponse aux problèmes remontés par le logiciel Specops Password Auditor.
Specops Password Policy a l’avantage de se baser sur une liste complète, constamment mise à jour, de plus de 2,3 milliards de mots de passe divulgués. En fait, à partir du moment où un mot de passe se trouve dans une fuite de données, vos utilisateurs ne pourront plus l'utiliser pour leur compte Active Directory. Ce logiciel va plus loin que le système de politiques de mots de passe natif à l'Active Directory. Par exemple, pour anticiper les changements de mots de passe, vos utilisateurs peuvent être avertis par e-mail juste avant que le mot de passe arrive à expiration.
Contrairement à Password Auditor, ce second logiciel est payant, mais vous pouvez l'essayer. Si cela vous intéresse, voici le lien : Specops Password Policy
L'entreprise Colonial Pipeline est victime d'un ransomware et ce n'est pas sans conséquence puisqu'il s'agit premier opérateur de pipelines du pays. Son activité est à l'arrêt dans 18 états des États-Unis.
Suite à cette attaque qui cible le système d'information de la société Colonial Pipeline, ce sont 9 000 km de conduits qui sont à l'arrêt par mesure de précautions. Cela représente un réseau qui s'étend du Texas au New Jersey, ce qui fait de Colonial Pipeline le principal opérateur de pipelines du pays. Résultat, un état d'urgence est déclaré 18 états, car ce réseau d'oléoducs transporte 2,5 millions de barils par jour, ce qui représente près de la moitié de la consommation en carburant liquide de la côte Est des USA. Cet état d'urgence autorise le transport par voie routière de tous les dérivés pétroliers en attendant le rétablissement du réseau d'oléoducs.
Le système de contrôle des pipelines ne semble pas touché directement, mais ils sont à l'arrêt par mesure de précaution. En effet, il existe des passerelles entre ce système de contrôle industriel et le SI en lui-même. Ce qui est sûr, c'est que le système d'information est touché directement et les données chiffrées par le ransomware représentent une centaine de giga-octets. Il y a de fortes chances pour qu'une partie de ces données aient été exfiltrées également.
Les experts en sécurité de FireEye Mandiant sont missionnés pour analyser cette attaque dans le but d'en déterminer la nature et les impacts. Le ransomware qui a infecté le système de Colonial Pipeline serait DarkSide. Le réseau de pipelines sera remis en service lorsque le système d'information sera restauré.
Voici un aperçu du réseau de pipelines de Colonial Pipeline :
Microsoft Exchange Server 2013 Cumulative Update 23
Disponible en version vidéo :
.
Avec le rapport généré par l'outil, vous avez des éléments concrets pour avancer avec votre responsable ou votre direction, bien que le rapport soit en anglais.