Avec cette nouvelle protection de Chrome, les failles de sécurité seront plus difficiles à exploiter sur les machines Windows 10 équipées de processeurs Intel ou AMD récents.
Récemment, Microsoft a développé une nouvelle protection nommée "Hardware-enforced Stack Protection" qui ajoute une couche de protection renforcée contre les exploits et les malwares sur les appareils compatibles. Cette protection s'appuie elle-même sur la technologie Control-flow Enforcement Technology (Intel CET - technologie de mise en application du contrôle des flux) de chez Intel, et que l'on retrouve aussi chez AMD.
Sous Windows 10, ce mécanisme de sécurité protège les utilisateurs contre des techniques d'exploits avancées telles que Return-Oriented Programming (ROP) et Jump Oriented Programming (JOP). Concrètement, ces techniques permettent aux attaquants de parvenir à exécuter du code arbitraire malveillant sur les machines. Avec "Hardware-enforced Stack Protection", Windows 10 bloque les attaques puisqu'il peut détecter si un flux naturel d'une application a été modifié grâce aux interactions avec la couche bas-niveau et la technologie CET.
Quel est le rapport entre "Hardware-enforced Stack Protection" et Google Chrome ?
En fait, Google Chrome va prendre en charge également la technologie Intel CET. Elle disponible sur les machines équipées d'un processeur Intel de 11ème génération. Chrome n'est pas le premier navigateur basé sur Chromium à prendre en charge l'Intel CET : Microsoft était déjà sur le coup en février et la fonctionnalité était testée dans Edge 90 (Canary) : disponible en version stable désormais. De manière générale, cette fonctionnalité devrait être adoptée par tous les navigateurs basés sur Chromium, je pense, notamment à Brave et Opera.
Mozilla travaille aussi sur le sujet dans le but d'intégrer cette prise en charge à son navigateur Firefox. Je parlais d'Intel jusqu'ici pour la technologie CET mais elle est également supportée sur les processeurs AMD Zen 3 (Ryzen).
Pour savoir si le navigateur (ou un autre processus) utilise cette méthode de protection sur votre machine, ouvrez le gestionnaire des tâches. Au sein de l'onglet "Détails", effectuez un clic droit sur l'en-tête d'une colonne et cliquez sur "Sélectionner des colonnes". Ensuite, dans la liste cochez "Protection des piles appliquée par le matériel". Le gestionnaire des tâches va afficher une nouvelle colonne et elle indiquera si la fonction "Hardware-enforced Stack Protection" est utilisée ou non par chaque processus. Si votre processeur en lui-même ne supporte pas la technologie CET, ce sera forcément pas le cas.
Un chercheur en sécurité a trouvé un ensemble de 5 failles de sécurité dans le pilote DBUtil qui équipe les machines Dell. Ces failles seraient présentes depuis 2009 donc des millions de machines se retrouvent vulnérables.
Le chercheur en sécurité Kasif Dekel de chez Sentinel Labs est à l'origine de cette découverte. Dell a attribué la note CVSS de 8.8/10 à cet ensemble de failles regroupé derrière une référence CVE unique : CVE-2021-21551. Kasif Dekel quant à lui affirme qu'il y a bien 5 vulnérabilités différentes, même s'il n'y a qu'une seule référence CVE. La majorité de ces failles permet d'effectuer une élévation de privilèges ou un déni de service sur la machine cible.
Le pilote BIOS DBUtil est présent dans de nombreux équipements de chez Dell : les ordinateurs fixes, les ordinateurs portables ainsi que les tablettes. En fait, il sert à mettre à jour le BIOS sur les machines Dell. Les outils habituels de chez Dell l'utilisent, notamment Dell Command Update, Dell Update, ou encore Alienware Update. La version vulnérable du pilote est utilisée depuis 2009, mais malgré tout il n'y a pas de preuves que les failles ont été exploitées par des pirates à l'heure actuelle.
Comment protéger ses machines Dell ? Le pilote dbutil_2_3.sys est vulnérable et Dell a publié un guide pour protéger vos machines. Tout d'abord, en exécutant l'outil "Dell Security Advisory Update" (option recommandée), ou sinon en supprimant le fichier dbutil_2_3.sys qui se situe soit dans "C:\Windows\Temp", soit dans "C:\Users\<username>\AppData\Local\Temp". Ensuite, il faut utiliser les dernières versions des outils Dell pour qu'une version patchée du pilote soit déployée sur les machines.
Les informations officielles sont disponibles sur cette page, avec notamment la liste des machines concernées : Dell - CVE-2021-21551
De son côté, le chercheur prévoit de partager le 1er juin prochain un PoC sous forme d'exploit qui permettra de partager son travail. En attendant, il souhaite laisser du temps aux utilisateurs pour patcher leurs machines. Une vidéo sur la chaîne YouTube de Sentinel Labs montre comment une version vulnérable du pilote DBUtil peut-être exploitée pour effectuer une élévation de privilèges sur la machine cible.
Le processeur de certaines machines sous Windows 10 n'a pas apprécié le patch cumulatif d'Avril 2021. Certains utilisateurs ont pu constater une utilisation anormale et excessive du CPU suite à l'installation de cette mise à jour. Microsoft vient de déployer un correctif : KB5001391.
Si vous êtes concerné, c'est-à-dire que votre CPU s'emballe et le ventilateur aussi par la même occasion, vous pouvez dès à présent installer le correctif KB5001391 sur votre machine. Cette mise à jour est disponible depuis le 28 avril dernier pour Windows 10 version 2004 et 20H2.
Ce qui est sûr, c'est que la mise à jour ne s'installera pas toute seule sur votre machine puisqu'il s'agit d'une mise à jour optionnelle. Elle apparaîtra dans Windows Update, comme ceci :
D'après Microsoft, cette mise à jour corrige également d'autres bugs : des instabilités du système à cause d'une consommation excessive de la RAM par le processus lsass.exe, un problème de verrou avec NTFS, un problème avec le menu Démarrer où le titre des tuiles s'affiche sous la forme "ms-resource:AppName" ou "ms-resource:appDisplayName", etc... Il y a plus d'une vingtaine de bugs corrigés, en fait.
La mise à jour d'Avril a apporté de nombreux dysfonctionnements. Ce n'est pas la première fois malheureusement et Microsoft commence à voir le bout du tunnel pour stabiliser les machines suite à l'installation du patch d'Avril.
Vous êtes chaud pour le patch de Mai 2021 car il arrive à grands pas ?! Espérons que cela ne devienne pas une tradition...
Aujourd'hui, nous allons voir comment mettre en place son propre repository local pour Debian, en l'occurrence Debian 10 dans ce tutoriel. Je vous recommande d'être à l'aise avec Linux de manière générale avant de vous lancer dans le tutoriel tête baissée, car ce n'est pas si simple qu'on pourrait le croire.
L'une des raisons pour lesquelles vous pouvez envisager de configurer un serveur de référentiel apt local est de :
diminuer la consommation de la bande passante requise. Notamment si vous avez une centaine d'instances Debian à mettre à jour à une heure précise le week-end.
De plus, cela vous permet de disposer aussi dans certains cas d'un parc de serveurs décentralisé et déconnecté d'internet. Certains serveurs n'ont en effet pas le besoin d'atteindre internet à l’exception du processus de mise à jour en fonction de leurs périmètres d'activités.
Toutes les commandes ci-dessous seront exécutées via l'utilisateur root, que se soit sur la machine hébergeant notre repository local ou bien sur la machine cliente.
Prérequis
Une machine Debian 10 pour héberger notre dépôt local, avec une connexion internet stable.
256 Go d'espace disque et 4 Go pour la RAM pour être à l'aise
Une machine Debian 10 "Client" avec ou sans connexion à internet
Disposant de la capacité à communiquer avec la machine hébergeant le repository local par le biais de ping/http. Attention, si vous avez un pare-feu sur votre réseau, n'oubliez d'ouvrir ces flux
Nous commençons ce didacticiel, par l'installation d'un serveur Web sur la machine hébergeant notre référentiel local. Nous allons utiliser le service apache2 pour héberger les dépôts. Pensez à ajouter "sudo" devant les commandes qui suivent si vous n'utilisez pas le compte root.
apt update && apt upgrade
apt install apache2
Pour rappel, le répertoire racine du service web Apache et du site par défaut se trouve dans le chemin /var/ www/html. Nous allons créer un répertoire "debian" dans ce dossier, et ce dernier contiendra toute l’arborescence de notre futur repository apt.
mkdir -p /var/www/html/debian
www-data, l'utilisateur par défaut d'apache, devra être le propriétaire du dossier "debian" . Effectuez les changements à l'aide de la commande suivante :
chown www-data:www-data /var/www/html/debian
III. Installation d'apt-mirror
L'étape suivante consiste à installer le paquet apt-mirror. Après avoir installé celui-ci, nous obtiendrons la commande apt-mirror, qui nous permettra de cloner (puis par la suite de synchroniser pour les mises à jour) le référentiel distant vers notre référentiel local.
apt install apt-mirror
Une fois qu'apt-mirror a été installé, nous allons passer à sa configuration. Avant de continuer, pour nous prémunir de toutes erreurs, faite une sauvegarde du fichier original de configuration (pour revenir en arrière si vous le souhaitez plus tard).
cp /etc/apt/mirror.list /etc/apt/mirror.list-bak
Modifiez maintenant le fichier à l'aide de l'éditeur de texte de votre choix et mettez à jour base_path et les référentiels comme indiqué ci-dessous.
A. Configuration d'apt-mirror
nano /etc/apt/mirror.list
############# config ##################
#
set base_path /var/www/html/debian
#
# set mirror_path $base_path/mirror
# set skel_path $base_path/skel
# set var_path $base_path/var
# set cleanscript $var_path/clean.sh
# set defaultarch <running host architecture>
# set postmirror_script $var_path/postmirror.sh
# set run_postmirror 0
set nthreads 20
set _tilde 0
#
############# end config ##############
deb http://ftp.fr.debian.org/debian/ buster main contrib non-free
deb http://ftp.fr.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.fr.debian.org/debian/ buster-proposed-updates main contrib non-free
deb http://ftp.fr.debian.org/debian/ buster-backports main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
# deb http://ftp.us.debian.org/debian unstable main contrib non-free
# deb-src http://ftp.us.debian.org/debian unstable main contrib non-free
# mirror additional architectures
#deb-alpha http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-amd64 http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-armel http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-hppa http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-i386 http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-ia64 http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-m68k http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-mips http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-mipsel http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-powerpc http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-s390 http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-sparc http://ftp.us.debian.org/debian unstable main contrib non-free
clean http://ftp.us.debian.org/debian
Le fichier de configuration /etc/apt/mirror.list doit ressembler à cela
Ce fichier de configuration sera à adapter, si vous arrivez sur ce tutoriel et que votre version Debian est ultérieure à la version actuelle Buster (10.8) [Mars 2021]
Au cas où vous n'auriez pas remarqué, j'ai utilisé les dépôts de paquets Debian 10 principaux. Les autres resteront commentés, car ils ne sont pas forcément nécessaires dans le cas de ma démonstration.
B. Démarrez la mise en miroir des référentiels distants dans le dossier local
Avant de commencer le clone des paquets distants, il vous faut copier le script de post installation dans le répertoire /var/www/debian/var/ en utilisant les deux commandes ci-dessous.
Il est maintenant temps de commencer à mettre en miroir les packages des référentiels distants vers le dossier local de notre système. Exécutez la commande ci-dessous, mais évitez d'exécuter cette commande depuis un terminal ssh, ou bien augmenter le temps de timeout d'une session ssh, car le processus va prendre des heures :
apt-mirror
Et là, bah vous pouvez aller faire autre chose pendant quelques heures le temps que le téléchargement des paquets se fasse. Me concernant avec une connexion fibrée le téléchargement a pris plus de 12H... En fait, Debian bride le débit de download sur leurs serveurs.
C. Résoudre le bug 1 : security.debian.org/debian-security/dists/buster/updates/main/i18n/"Translation-en" 404 Not Found
Comme pour mon didacticiel pour Ubuntu, j'ai rencontré une erreur, impliquant un bug dans le code d'apt-mirror non résolu depuis belle lurette. Un problème remonté depuis Debian 8.X, de ce que j'ai pu voir sur les différents forums.
Afin de vérifier si vous avez le bug ou non, je vous invite à naviguer vers le chemin suivant :
Si vous n'avez pas le dossier i18n/, qui apparait, et bien cela veut dire que ce bug vous impacte aussi. À l'inverse, bingo, le bug a été colmaté. Le cas échéant, je vous demanderai de me faire signe dans les commentaires afin que je mette à jour l'article.
Pour résoudre celui-là, j'ai créé un petit script maison, qui vous permettra d'éliminer cette erreur :
cd /var/www/html/debian/mirror/security.debian.org/debian-security/dists/buster/updates/
Créez un script nommé fix1.sh :
nano fix1.sh
Ajoutez le code ci-dessous et terminez par exécuter la commande chmod dans votre console pour donner les droits d'exécution sur le fichier.
for dist in main contrib non-free; do
wget http://security.debian.org/debian-security/dists/buster/updates/${dist}/i18n/Translation-en.xz;
mkdir -p /var/www/html/debian/mirror/security.debian.org/debian-security/dists/buster/updates/${dist}/i18n
mv Translation-en.xz /var/www/html/debian/mirror/security.debian.org/debian-security/dists/buster/updates/${dist}/i18n/
done
chmod u+x fix1.sh
Résultat de l'exécution du script.
D. Résoudre le bogue 2 : ftp.fr.debian.org/debian/dists/buster-backports/main/i18n/"Translation-en" 404 Not Found
Un bug peut en cacher un autre avec apt-mirror... Nous voici face au second bug que vous rencontrerez non pas avec le dépôt security.debian.org/debian-security, mais avec le dépôt ftp.fr.debian.org/debian/dist/buster-backport.
De nouveau, je vous invite à naviguer vers le chemin suivant :
Si vous n'avez pas le dossier i18n/, qui apparait, et bien cela veut dire que ce bug vous impacte aussi. À l'inverse, vous n'êtes pas concerné et c'est tant mieux ! Le cas échéant, je vous demanderai de me faire signe dans les commentaires afin que je mette à jour l'article.
Pour remédier à ce deuxième bug, voici la marche à suivre (sur le même principe que précédemment) :
cd /var/www/html/debian/mirror/ftp.fr.debian.org/debian/dists/buster-backports
nano fix2.sh
Au sein du script fix2.sh, ajoutez le code ci-dessous et terminez par ajouter les droits d'exécution avec chmod.
for dist in main contrib non-free; do
wget http://ftp.fr.debian.org/debian/dists/buster-backports/${dist}/i18n/Translation-en.xz;
mkdir -p /var/www/html/debian/mirror/ftp.fr.debian.org/debian/dists/buster-backports/${dist}/i18n
mv Translation-en.xz /var/www/html/debian/mirror/ftp.fr.debian.org/debian/dists/buster-backports/${dist}/i18n/
done
chmod u+x fix2.sh
E. Planification de la synchronisation automatique des référentiels
Afin de maintenir votre dépôt local à jour, vous pouvez paramétrer sa mise à jour par l'intermédiaire d'une simple tâche cron. En effet, à chaque fois que notre dépôt local se synchronise avec le distant, s'il récupère de nouveaux paquets, ils sont automatiquement téléchargés, ainsi que leurs fichiers d'index.
Comme vous pouvez le constater, la sortie de la première commande sera stockée dans le fichier /root/apt-mirror-syncing-execution-report.txt. Cela vous permettra de suivre s'il y a un problème lors de l’exécution du script sur le long terme. Les deux autres scripts font référence à des scripts qui colmatent les bugs dont je vous parlais ci-dessus. Il devront être exécutés à la suite de la commande apt-mirror.
IV. Configuration de Debian 10 pour utiliser un repository local
Dès lors, nous pouvons tester et vérifier si notre serveur de référentiel apt fonctionne correctement ou non, j'ai un autre système Debian 10 sur lequel je vais mettre à jour le fichier /etc/apt/sources.list afin que la commande apt pointe vers les référentiels locaux au lieu de ceux distants. Alors, connectez-vous au système Debian faisait office de poste client, et modifiez ce qui suit dans la liste sources.list
Mais avant tout, sauvegarder vos sources.list de base avec la commande ci-dessous, au cas où vous souhaitez revenir en arrière et utiliser un dépôt distant plus tard.
Ouvrez le fichier avec l'éditeur de texte de votre choix.
nano /etc/apt/sources.list
A. Modification des sources.list
Effectuez un copier-coller du code ci-dessous dans le fichier sources.list, et modifiez l'IP de votre serveur hébergeant votre repository local.
deb [arch=amd64 trusted=yes] http://repository-local-ip/debian/mirror/ftp.fr.debian.org/debian/ buster main contrib non-free
deb [arch=amd64 trusted=yes] http://repository-local-ip/debian/mirror/ftp.fr.debian.org/debian/ buster-updates main contrib non-free
deb [arch=amd64 trusted=yes] http://repository-local-ip/debian/mirror/ftp.fr.debian.org/debian/ buster-proposed-updates main contrib non-free
deb [arch=amd64 trusted=yes] http://repository-local-ip/debian/mirror/security.debian.org/debian-security buster/updates main contrib non-free
deb [arch=amd64 trusted=yes] http://repository-local-ip/debian/mirror/ftp.fr.debian.org/debian/ buster-backports main contrib non-free
B. Tests - C'est l'heure de vérité !
Exécutez maintenant la commande « apt update » pour vérifier que la machine cliente reçoit la mise à jour de notre serveur de référentiel apt local
apt update
Parfait, la sortie ci-dessus confirme que la machine cliente est capable de se connecter avec succès à notre référentiel local pour récupérer les packages et les mises à jour.
Vous aurez des mises à jour à appliquer en fonction de si vous avez exécuté apt update && apt upgrade sur votre machine récemment ou non.
Vous pouvez aussi tester votre repository local en installant un service quelconque. Dans mon cas, le service squid proxy.
C. Postface
C'est tout pour cette fois-ci, j'espère que vous êtes arrivé au bout de ce tutoriel sans trop de mal. J'ai essayé d'être le plus clair possible dans mes explications, mais si vous rencontrez quand même des erreurs, lors d'apt update && apt upgrade, n'hésitez pas à rechercher votre erreur sur le net, en stipulant dans la requête que vous utilisez un repository local. C'est en partie comme ça que j'ai affiné le tutoriel, pour qu'il soit le plus clair possible.
On le sait depuis longtemps Flash Player est un produit en fin de vie et c'est officiel depuis le 1er janvier 2021 puisqu'il n'est plus supporté par l'éditeur Adobe. Microsoft a dévoilé ses plans pour vous débarrasser de Flash Player sur Windows 10, faisons le point.
Après de nombreuses années de bons et loyaux services, Flash Player a tiré sa révérence depuis le début de l'année. Résultat, il n'est plus supporté par Adobe ce qui signifie qu'il n'est plus mis à jour : un véritable risque en matière de sécurité. D'autant que Flash Player était un habitué des mises à jour de sécurité.
Depuis le début de l'année, Adobe a arrêté la distribution de Flash Player et les navigateurs ne supportent plus le plug-in. En complément, depuis le 12 janvier 2021, Adobe a activé un kill switch dans Flash Player pour empêcher les contenus de s'exécuter.
De son côté, Microsoft avait pris la décision d'intégrer Flash Player à Windows 10, alors comment s'en débarrasser ? Pour le moment, Microsoft a publié une mise à jour optionnelle pour le désinstaller : KB4577586. Puisqu'il s'agit d'une mise à jour optionnelle, elle doit être manuellement installée depuis le Microsoft Catalog.
Par la suite, la suppression de Flash Player s'effectuera de manière automatique et de deux façons différentes :
Si vous installez la mise à niveau de Windows 10 21H1, qui est sur le point de sortir, la mise à jour KB4577586 sera automatiquement installée. Autrement dit, avec cette version de Windows 10, Flash sera supprimé.
Bien évidemment, cette version de Windows 10 n'est pas prête d'être déployée en entreprise (à moins que certains d'entre vous soient joueurs ?). Dans ce cas, Microsoft vous propose la solution suivante :
En juin 2021, Microsoft va inclure la mise à jour KB4577586 dans la version preview de son patch cumulatif de mises à jour à destination de Windows 10. Ensuite, cette mise à jour sera intégrée au patch cumulatif définitif de juillet 2021 à destination de Windows 10. Cela concerne Windows 10 à partir de la version 1507, mais aussi Windows Server 2012 et Windows 8.1.
Concrètement, si vous installez la mise à jour de juillet sur vos machines, Flash Player sera supprimé que vous le souhaitiez ou non.
Vous êtes chaud pour le patch de Mai 2021 car il arrive à grands pas ?! Espérons que cela ne devienne pas une tradition...
Si vous installez la mise à niveau de