La première conférence Apple de 2021 devrait arriver à la fin du mois, plus précisément le 23 mars 2021.

Et si Apple faisait sa Keynote le même jour que la présentation des OnePlus 9, le 23 mars ? C'est en tout cas la rumeur qui enfle en ce moment. Cette keynote serait bien évidemment comme les dernières, exclusivement en ligne, à cause de la crise sanitaire de la Covid-19.

On attend tout particulièrement les nouveaux iPad mais également une nouvelle version des AirPods. On parle également des AirTags que nous attendons depuis de nombreux mois. Ces derniers sont de petits boitiers qui serviront de traqueur pour vos objets (clé, portefeuille..).D'ailleurs, Apple aurait intégré des fonctionnalités de sécurité pour éviter les usages malveillants, par exemple qu'un utilisateur soit tracé par un autre en lui glissant l'AirTags dans sa poche discrètement... Pour ce qui est de l'alimentation, on parle d'un chargement magnétique identique à l'Apple Watch ou bien simplement d'une pile. Autre rumeur : ce produit serait étanche.

Les AirPods quant à eux devraient avoir le design des AirPods Pro, avec l'arrivée d'un système de réduction de bruit active qui vous permet de ne pas entendre se qui se passe autour de vous quand vous écoutez du contenu. Une fonctionnalité particulièrement intéressante en extérieur ou dans les transports en commun.

Quant à l'iPad, il devrait être le premier modèle équipé d'un écran mini LED qui serait produit par le fabricant GIS (General Interface Solution).

Dans la continuité de la keynote, nous ne manquerons pas de partager avec vous les dernières annonces d'Apple. En tout cas, cette journée du 23 mars s'annonce riche en informations !

Source

The post Apple : vers une keynote le 23 mars 2021 ? first appeared on IT-Connect.

En collaboration avec FireEye, Microsoft a identifié trois nouveaux malwares utilisés dans le cadre de l'attaque contre SolarWinds par le groupe Nobelium.

Avant de parler de ces malwares, sachez que Nobelium est le nom donné par Microsoft à ce groupe de hackers. Microsoft a pour habitude de donner un nom d'élément chimique à un groupe de hackers lorsqu'il est lié à un Etat, comme par exemple Strontium pour un groupe de pirates russes qui avait fait parler de lui fin 2019.

Dans le cadre de cette attaques, il y a déjà eu plusieurs malwares identifiés : Sunburst, nommé également Solorigate, ainsi que Sunspot. D'ailleurs, Sunburst est la porte dérobée distribuée à 18 000 organisations au travers du logiciel Orion de SolarWinds.

L'enquête de Microsoft et FireEye a permise d'identifier trois nouvelles souches de malwares : GoldMax, GoldFinder et Sibot. De son côté, FireEye parle d'un autre nom pour les identifier : Sunshuttle.

GoldMax

Ecrit en Go, le langage de développement de Google, le malware GoldMax sert à communiquer avec le serveur de command & control (C2) des attaquants. Pour gagner en légitimité, il s'appuie sur des domaines réputés rachetés par les attaquants : ce qui aurait permis de passer outre les contrôles de nombreux produits de sécurité en trompant le score de réputation. Le trafic entre GoldMax et le serveur C2 est chiffré avec des clés de chiffrement AES-256 uniques, et le fichier de configuration du malware est chiffré également.

GoldFinder

Egalement écrit en Go, le malware GoldFinder est un outil de traçage HTTP qui va permettre d'identifier précisément le chemin réseau emprunté pour atteindre le serveur C2 des attaquants. Le serveur C2 de destination est codé en dur dans le code du malware GoldFinder.

Sibot

Ecrit en VBS, le malware Sibot a pour objectif de gagner la persistance sur la machine infectée pour que la machine puisse télécharger et exécuter une charge à partir du serveur C2. Microsoft a identifié trois variantes de Sibot.

Un trio de malwares qui sont complémentaires, avec chacun un rôle bien précis dans les interactions entre la machine infectée et le serveur C2 des attaquants.

The post Affaire SolarWinds : Microsoft a identifié trois nouveaux malwares first appeared on IT-Connect.

On ne présente plus Qualcomm et ses célèbres puces Snapdragon ! Pour aller plus loin, le géant américain souhaite créer une communauté de passionnés pour regrouper les fans des Snapdragon.

Baptisé, Snapdragon Insiders, ce programme reprend un peu les codes d'un autre programme bien connu : Windows Insiders, de Microsoft. En fait, il permettra à ses membres d'obtenir des informations en avant-première sur les futurs produits de Qualcomm. Cet accès VIP permettrait à Qualcomm de créer une communauté et de fidéliser ses utilisateurs, alors qu'habituellement ces informations sont réservées aux journalistes. D'ailleurs, tous les ans, Qualcomm organise l'événement Snapdragon Technology Summit avec les journalistes pour dévoiler des informations croustillantes. Désormais, ce sera ouvert aux membres du programme Snapdragon Insiders.

Des e-mails avec des informations exclusives seront envoyés à cette nouvelle communauté, alors si tu es intéressé, rendez-vous sur le site Qualcomm : Snapdragon Insiders

Ces derniers jours, Qualcomm a également levé le voile sur Snapdragon Sound, une certification qui permettra de garantir la qualité audio de certains smartphones. Bien sûr, on parle de smartphones qui tournent avec une puce Snapdragon. L'idée est d'améliorer la qualité audio (HD 24-bit 96kHz) et d'avoir une latence ultra-faible entre le smartphone et les écouteurs. Je crois que Qualcomm est bien décidé à rivaliser avec Apple...

The post Qualcomm vient de lancer son programme Snapdragon Insiders first appeared on IT-Connect.

I. Présentation

La console GPMC, appelée également "Gestion de stratégie de groupe" permet de générer un rapport pour chaque GPO. Ce rapport peut-être enregistré au format HTML pour une consultation extérieure. Néanmoins, la console GPMC ne permet pas de faire un seul rapport qui va regrouper toutes les GPO, il est nécessaire de générer un rapport HTML par GPO... Et de jouer du clic !

Ce travail fastidieux peut être remplacé par une commande PowerShell qui va permettre de générer un rapport HTML de toutes les GPOs. Bien utile, notamment en phase d'audit, je vous explique comment procéder.

II. Get-GPOReport : réaliser un export HTML de toutes les GPO

Le cmdlet "Get-GPOReport" sert à générer un rapport pour une stratégie de groupe, voire plusieurs. Si l'on précise le paramètre -All, on va pouvoir intégrer toutes les GPO à ce rapport : une bonne nouvelle puisque cela signifie que Microsoft a prévu le coup .

On va le coupler au paramètre -ReportType qui sert à spécifier le format, on prendra le type "html", tout en sachant que l'autre valeur disponible est "xml". Enfin, le paramètre -Path va permettre de spécifier le chemin vers le fichier à générer, par exemple "C:\Scripting\GPO-All.html".

Get-GPOReport -All -ReportType Html -Path "C:\Scripts\GPO-All.html"

La génération du fichier peut prendre plusieurs minutes et la taille du fichier varier fortement. S'il y a plusieurs dizaines de GPO, le fichier peut faire plusieurs dizaines de méga-octets.

Le fichier global va contenir chaque GPO, et à chaque fois, vous allez obtenir différentes informations comme pour un rapport unique : nom de la GPO, filtrage de sécurité, numéros de version, liaisons, et surtout les paramètres configurés.

Il y a une autre manière de faire : créer un rapport HTML pour toutes les GPO mais avec un rapport HTML par GPO, plutôt qu'un rapport global comme nous venons de le faire. Dans ce cas, il faut utiliser Get-GPO pour récupérer la liste des GPO et utiliser une boucle ForEach.

On va stocker tous les rapports dans le dossier "C:\Scripts" avec un rapport nommé sous la forme : "GPO_<Nom-de-la-GPO>.html". Voici la commande :

Get-GPO -All | Foreach{ Get-GPOReport -Guid $_.Id -ReportType Html -Path "C:\Scripts\GPO_$($_.DisplayName).html" }

Ce qui donne, par exemple :

III. Comment générer le rapport d'une seule GPO ?

Pour générer le rapport d'une seule GPO à l'aide de PowerShell, c'est possible aussi, avec le même cmdlet : Get-GPOReport.

Pour créer un rapport HTML pour une seule GPO, on peut identifier la GPO par son nom ou son GUID. Par exemple, pour générer le rapport HTML uniquement de la GPO "C_Deploy_Edge_Chromium", on utilisera cette commande :

Get-GPOReport -Name "C_Deploy_Edge_Chromium" -ReportType Html -Path "C:\Scripts\GPO_C_Deploy_Edge_Chromium.html"

Il conviendra d'utiliser le paramètre -Guid à la place de -Name pour spécifier un GUID au lieu du nom de la GPO.

IV. Générer un rapport HTML pour une sélection de GPO

Grâce à Get-GPO couplé à l'utilisation de Get-GPOReport, puis à un filtre avec Where-Object, on va pouvoir générer un rapport HTML pour une sélection de GPO. C'est surtout intéressant si vous avez une convention de nommage pour vos GPO.

Prenons un exemple : je gère une infrastructure multisites et toutes les GPO du site de Caen ont un nom qui commence par "CAEN_". De cette façon, on peut facilement ajouter un filtre avec Where pour générer le rapport uniquement pour les GPO qui ont un nom qui correspond au filtre.

Ce qui donne :

Get-GPO -All | Where{ $_.DisplayName -like "CAEN_*" } | foreach{ Get-GPOReport -Guid $_.Id -ReportType Html -Path "C:\scripts\GPO_$($_.DisplayName).html" }

On pourrait prendre un autre exemple et cibler toutes les GPO qui ont un mot dans leur nom, par exemple "PC" :

Get-GPO -All | Where{ $_.DisplayName -like "*PC*" } | foreach{ Get-GPOReport -Guid $_.Id -ReportType Html -Path "C:\scripts\GPO_$($_.DisplayName).html" }

L'export des GPO au format XML est très intéressant pour générer des rapports personnalisés : le format XML n'est pas forcément agréable à lire pour nous les humains. Pour un script PowerShell, ce n'est que du bonheur grâce aux balises du code XML : on peut générer toute sorte de rapport qui va croiser les informations des différentes GPO. Par exemple : un résumé des liaisons de toutes les GPO dans un tableau unique.

Est-ce que cela vous intéresse d'avoir une suite à cet article pour explorer les rapports de GPO au format XML ?

The post Comment créer un rapport HTML de toutes les GPO avec PowerShell ? first appeared on IT-Connect.

Microsoft a déployé en urgence un correctif pour son serveur de messagerie Exchange dans le but de corriger 4 failles Zero-Day Exchange. Les attaquants seraient passés à la vitesse supérieure puisqu'il y aurait eu plus de 30 000 entreprises touchées à l'heure actuelle !

Je vous ai déjà parlé de ces vulnérabilités la semaine dernière, mais compte tenu je souhaitais insister sur le sujet et surtout sur le fait que les failles sont activement exploitées. Pour rappel, il s'agit des failles référencées avec les noms suivants : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065. La société Devcore a baptisé cet ensemble de failles Proxylogon.

D'après les journaux américains, et notamment le journaliste spécialiste en cybersécurité Brian Kebs, il y aurait au moins 30 000 organisations touchées. De son côté, Reuters parle d'au moins 20 000 organisations touchées. Malgré tout, ces estimations pourraient être très loin de la réalité, car certains experts en cybersécurité parlent de centaines de milliers de victimes.

Les victimes ne seraient pas seulement des entreprises américaines. Il y aurait quelques victimes en Europe et en Asie, d'ailleurs l'Autorité bancaire européenne est dans la liste des victimes. Depuis que Microsoft a diffusé le correctif, tout le monde est au courant de l'existence de ces failles. Résultat, depuis cette annonce, les attaques se sont intensifiées : c'est une course contre la montre entre les pirates et les entreprises. Tout le temps qu'une entreprise n'a pas patchée son serveur Exchange elle est, potentiellement, vulnérable.

Lorsqu'un pirate exploite les failles sur un serveur Exchange d'une organisation, il peut en profiter pour déployer un Web Shell. De cette façon, même si l'entreprise corrige les failles sur son serveur, l'attaquant conserver un accès au réseau de l'entreprise : de quoi préparer une future attaque.

Sur GitHub, Microsoft a publié le script Test-ProxyLogon.ps1 pour vérifier si votre serveur Exchange a été touché par une attaque qui exploite ces failles. En complément de l'installation de la mise à jour, il convient d'exécuter ce script pour vérifier l'état de son serveur de messagerie. Sur GitHub, on retrouve aussi le script "ExchangeMitigations.ps1" qui sert à se protéger temporairement contre les failles en attendant d'installer le correctif.

Source

The post Failles Exchange : plus de 30 000 entreprises touchées ! first appeared on IT-Connect.