La faille Baron Samedit découverte au sein de l'outil sudo sous Linux touche également (sans surprise) le système MacOS. Un correctif est déjà disponible pour Linux et Apple a corrigé à son tour la faille au sein de son OS.

La version 1.9.5p2 de sudo correspond à la version patchée de l'utilitaire et qui élimine la vulnérabilité. Pour rappel, si un attaquant exploite cette vulnérabilité, il peut devenir administrateur sur la machine à partir de son compte sans privilège spécifique.

Concernant MacOS, Apple a déployé les mises à jour suivantes :

• MacOS Big Sur 11.2.1
• MacOS Catalina 10.15.7
• MacOS Mojave 10.14.6

Une fois que vous aurez installé sur votre Mac cette mise à jour, vous serez protégé contre la faille CVE-2021-3156, correspondante à sudo. C'est Matthew Hickey alias Hacker Fantastic qui a confirmé que MacOS était concerné par la même faille que Linux. Il recommande de mettre à jour votre Mac dès que possible pour vous protéger.

En complément, Apple précise avoir corrigé deux autres failles de sécurité au sein du pilote de la puce graphique Intel. Là encore, si un attaquant exploite ces failles, il est en mesure d'exécuter du code sur MacOS avec un niveau de droit identique à celui du noyau de l'OS.

Source

The post Apple corrige à son tour la faille dans sudo sur MacOS first appeared on IT-Connect.

Un hacker a publié sur un forum une base de données qui contient environ 3,2 milliards d'identifiants, c'est-à-dire de couples e-mail et mots de passe. Une quantité très impressionnante mais faut-il s'inquiéter ?

Cette base de données est une compilation de bases de données correspondantes à plusieurs fuites différentes survenues ces dernières années. D'ailleurs, c'est son nom qui l'indique puisqu'elle est baptisée "COMB" pour "Compilation of Many Breaches". Le pirate a publié son travail en ligne et la base de données est accessible à condition de payer 8 crédits, ce qui représente 2 euros.

Ce travail d'agrégation regroupe de nombreuses fuites de ces 5 dernières années : ce qui explique que cette base de données est si conséquente. Cela signifie aussi qu'il n'est pas nécessaire de s'inquiéter : il ne s'agit pas d'une base de données qui contient 3,2 milliards d'identifiant jamais découvert jusqu'ici.

Ce sont des données déjà connues, déjà accessibles et déjà exploitées qui n'ont pas trop d'intérêt pour les - véritables - hackers. Disons qu'il y a un intérêt pour les personnes qui veulent s'essayer au vol de comptes, à condition de tomber sur une information contenue dans la base et toujours valide aujourd'hui.

La base COMB en quelques chiffres :

- Une paire de 3,28 milliards d'identifiants
- Un poids de 87,5 giga-octets
- Un total de 4 000 fichiers répartis dans une centaine de dossiers

Pour faciliter la recherche d'identifiants, la base de données est accompagnée par un script de recherche.

Que faut-il faire par précaution ?

Si vous ne l'avez pas encore fait et que vous êtes inquiet, vous pouvez accéder au site "Have i been pwned" pour vérifier si vos adresses e-mail sont présentes au sein d'une fuite de données. Dans le cas où l'une ou plusieurs de vos adresses e-mail ressort, vous devez changer votre mot de passe, si ce n'est pas déjà fait. Le site est accessible à l'adresse suivante : haveibeenpwned.com

En complément, je vous encourage à activer la double authentification à chaque fois que c'est possible. Surtout, ne réutilisez jamais le mot de passe qui a fuité

Source

The post Fuite de 3,2 milliards d’identifiants, faut-il s’inquiéter ? first appeared on IT-Connect.

I. Présentation

La commande PowerShell "Compare-Object" est très pratique pour comparer deux objets, comme deux variables, le contenu de deux fichiers ou encore le contenu entre deux dossiers. Il m'est arrivé à plusieurs reprises d'utiliser cette commande pour comparer deux fichiers CSV.

Lorsque l'on compare deux objets avec Compare-Object, la commande retourne :

• Les éléments identiques entre les deux fichiers
• Les éléments présent dans l'objet de référence, mais absent dans le second objet
• Les éléments absent dans l'objet de référence, mais présent dans le second objet

Vous l'aurez compris, dans ce tutoriel, je vais vous expliquer comment comparer deux objets en PowerShell avec Compare-Object.

II. Compare-Object : comparer deux chaînes de caractères

Compare-Object peut, tout simplement, comparer deux chaînes de caractères. Cela va nous permettre de bien appréhender la syntaxe de cette commande.

Pour comparer deux chaînes, il suffit de les préciser à la suite de Compare-Object :

Compare-Object "www.it-connect.fr" "IT-Connect"

Dans le cas où les chaînes sont égales, la commande ne va rien retourner. Si l'on veut inclure les éléments égaux, il faut ajouter le paramètre "-IncludeEqual".

Compare-Object "www.it-connect.fr" "WWW.IT-CONNECT.FR" -IncludeEqual

Comme on peut le constater avec cet exemple, la comparaison ne tient pas compte de la casse. Si elle est importante, on peut ajouter le paramètre "-CaseSensitive" pour tenir compte de la casse.

Compare-Object "www.it-connect.fr" "WWW.IT-CONNECT.FR" -IncludeEqual -CaseSensitive

Ce qui donne :

Suite à cette introduction, passons maintenant à un exemple beaucoup plus utile : la comparaison de fichiers CSV avec PowerShell et Compare-Object.

III. Compare-Object : comparer deux CSV

Prenons les deux fichiers CSV suivants :

• CSV1.csv

Pays;
France;
Costa Rica;
Canada;
Belgique;
Suisse;

• CSV2.csv

Pays;
France;
Costa Rica;
Espagne;
Belgique;
Islande;
Colombie;

Nous allons comparer ces deux fichiers pour identifier facilement les différences.

On va commencer par importer le contenu de nos fichiers CSV dans les variables $CSV1 et $CSV2.

$CSV1 = Import-CSV "C:\TEMP\CSV1.csv" -Delimiter ";"
$CSV2 = Import-CSV "C:\TEMP\CSV2.csv" -Delimiter ";"

Ensuite, nous allons comparer la variable $CSV1 et la variable $CSV2. Le fichier CSV1 sera notre objet de référence, on va l'associer au paramètre -ReferenceObject alors que l'objet de "différence" sera le fichier CSV2. Il faut également spécifier la propriété sur laquelle se baser pour faire la comparaison, ici ce sera notre colonne "Pays".

Ce qui donne :

Compare-Object -ReferenceObject $CSV1 -DifferenceObject $CSV2 -Property Pays

Le résultat suivant est obtenu :

La colonne "SideIndicator" permet de savoir de quel côté est présente la valeur :

• "=>" : fait référence à une valeur présente dans le -DifferenceObject (CSV2), mais absente dans le -ReferenceObject (CSV1)
• "<=" : fait référence à une valeur présente dans le -ReferenceObject (CSV1), mais absente dans le -DifferenceObject (CSV2)

Si l'on veut connaître seulement les valeurs présentes dans le fichier CSV1, mais absentes du fichier CSV2, on peut ajouter un filtre sur le SideIndicator :

Compare-Object -ReferenceObject $CSV1 -DifferenceObject $CSV2 -Property Pays | Where{ $_.SideIndicator -eq "<=" }

Pour l'inverse, il suffit de changer le sens de la flèche dans le filtre.

On peut également afficher seulement les valeurs communes entre les deux fichiers en ajoutant le paramètre -ExcludeDifferent pour exclure les valeurs différentes :

Compare-Object -ReferenceObject $CSV1 -DifferenceObject $CSV2 -Property Pays -ExcludeDifferent

Sachez qu'il est possible de comparer plusieurs colonnes, et pas uniquement une seule comme ici avec la colonne "Pays". Une ligne peut alors ressortir plusieurs fois (dans les deux sens) s'il y a la valeur d'une colonne qui change dans un fichier, mais pas dans l'autre.

Voici un exemple en image avec l'ajout de la colonne "Continent" dans nos fichiers CSV. Dans cet exemple, pour le pays "Colombie", la valeur du continent évolue entre les deux fichiers, donc la ligne ressort une fois dans le sens "=>" et une seconde fois dans l'autre sens "<=".

IV. Compare-Object : comparer le contenu de deux dossiers

Pour finir ce tutoriel, prenons un autre cas concret : comparer le contenu de deux dossiers. Le but : identifier les fichiers présents dans un dossier, mais pas dans l'autre.

Voici les deux dossiers qui servent de cobaye :

Commençons par récupérer la liste des éléments avec récursivité via la commande Get-ChildItem.

$DOSSIER1 = Get-ChildItem "C:\TEMP\DOSSIER1\" -Recurse
$DOSSIER2 = Get-ChildItem "C:\TEMP\DOSSIER2\" -Recurse

Ensuite, on utilise la commande Compare-Object sur le même principe que précédemment, sans spécifier de propriété.

Compare-Object -ReferenceObject $DOSSIER1 -DifferenceObject $DOSSIER2

On obtient directement les chemins complets vers les fichiers qui sont absents dans un dossier ou l'autre.

On peut également utiliser le paramètre -Property pour compare les dates de dernière modification des fichiers. Cela nécessite de lire l'attribut LastWriteTime. On ajoutera également le nom du fichier (pas le nom complet) pour ne pas que la sortie contienne seulement la valeur de LastWriteTime.

Compare-Object -ReferenceObject $DOSSIER1 -DifferenceObject $DOSSIER2 -Property Name,LastWriteTime -IncludeEqual

Ainsi, on peut identifier les fichiers les plus récents plus facilement grâce à ce différentiel.

Maintenant, c'est à vous de jouer ! N'hésitez pas à tester ces différents exemples et les commentaires sont là si vous avez une question

The post PowerShell – Comparer des objets avec Compare-Object first appeared on IT-Connect.

Disponible depuis septembre dernier aux Etats-Unis, le Microsoft Surface Duo sera disponible en France à partir du 18 février et sera vendu pour la coquette somme de 1 549 euros.

Le Microsoft Surface Duo s'apparente à un smartphone à deux écrans qui tourne sous Android 10, dans une version adaptée pour le double écran. Courant 2021, il devrait recevoir une mise à jour Android 11. Il s'agit du premier modèle de cette nouvelle gamme lancée par Microsoft et dont on parle depuis octobre 2019.

Dès le jeudi 18 février 2021, il sera disponible à partir de 1 549 euros dans sa version 128 Go, ou 1 649 euros dans sa version 256 Go. Ce smartphone, ou plutôt cet ordinateur de poche comme l'appelle Microsoft, est bien équipé d'un slot pour insérer une carte SIM.

Ce qui est surprenant, c'est la fiche technique de cet appareil : il n'est pas compatible 5G, il dispose d'une seule caméra frontale de 11 Mpx, ses écrans ont des bordures imposantes, etc... Il dispose de deux écrans OLED de 5,6 pouces, que l'on peut retourner à 360°. Disons que c'est vraiment un appareil dans un format inédit ! C'est surement pour ça que Microsoft ne le considère pas comme un smartphone.

Il est à noter qu'il n'y aura que deux manières de se le procurer en France. Soit par l'intermédiaire du Microsoft Store, soit chez la Fnac qui a pu obtenir le privilège de distribuer ce nouvel appareil à deux écrans.

Source

The post Microsoft Surface Duo : il arrive en France au prix de 1549 euros first appeared on IT-Connect.

L'ANSSI a publié une nouvelle version de son rapport très intéressant au sujet des ransomwares intitulés "État de la menace rançongiciel". Une menace qui plane de plus en plus au-dessus des entreprises et l'ANSSI note une augmentation de 255% des signalements d'attaque par ransomware dans son périmètre, entre 2019 et 2020.

Lorsque l'on est victime d'une attaque par rançongiciel il y a trois options : accepter de perdre les données chiffrées avec les conséquences associées, payer la rançon dans l'espoir d'obtenir une clé de déchiffrement et récupérer ses données, et la troisième option qui est bien sûr celle dont tout le monde rêve : restaurer ses données à partir d'une sauvegarde.

Télécharger le guide

Ransomware : les trois tendances pour 2020

En analysant les attaques réalisées en 2020, l'ANSSI relève trois tendances principales avec les attaques de ransomwares :

Big Game Hunting

De plus en plus d'attaques ciblent précisément des entreprises et institutions spécifiques, et non au hasard. Les campagnes massives comme WannaCry et les campagnes d'attaques non ciblées ne sont plus privilégiées. En ciblant une entreprise spécifique, les attaquants peuvent viser une entreprise avec une puissance financière importante et qui sera en capacité de payer une rançon conséquente.

Par exemple les ransomwares suivants sont utilisés pour ce type d'attaques : RagnarLocker, DarkSide, RansomEXX ou encore Netwalker, chacun avec leur spécificité dans la manière d'opérer.

Ransomware-as-a-Service (RaaS)

Le RaaS est un véritable modèle économique et un business model bien juteux pour les attaquants. Aujourd'hui, on peut imaginer acheter sur le Darknet un ransomware prêt à l'emploi, ce qui facilite la réalisation des attaques.

Un RaaS peut être vendu sous forme d'un abonnement et les cybercriminels deviennent affiliés à ce service. Les attaquants n'ont pas besoin d'avoir les compétences pour développer le ransomware et n'ont pas besoin de monter une infrastructure de Command & Control : c'est inclus dans le service proposé.

Un RaaS peut être utilisé aussi bien lors de campagnes massives ou d'attaques ciblées.

Double extorsion

À l'origine, un ransomware chiffrait les données de votre système d'information et vous deviez payer une rançon pour les récupérer. Si vous ne payez pas, il ne se passait rien de plus. Désormais, la tendance est différente : les pirates mettent la pression à la victime pour qu'elle paie sous peine de voir les données exportées et publiées sur un site Internet. La publication des données lorsqu'elle a lieu, s'effectue sur un site en .onion.

Des chaînes d'infection toujours plus sophistiquées

Le ransomware représente la charge finale au sein d'une chaîne d'infection constituée de plusieurs éléments. Cette chaîne d'infection est constituée de plusieurs éléments :

Vecteurs d'infection

La première étape consiste à distribuer un logiciel malveillant à destination de sa cible. L'ANSSI met en avant le fait que les vecteurs d'infection se sont diversifiés au fil des années. Limité à des e-mails de type phishing ou l'exploitation de RDP mal sécurisé, "ils comprennent désormais d’autres vecteurs possibles tels que les points d’eau, l’exploitation de vulnérabilités ou encore des attaques par chaîne d’approvisionnement."

L'utilisation d'un point d'eau consiste à utiliser un site Internet piégé pour infecter la machine de la victime.

En résumé les vecteurs d'infection principaux sont : les e-mails de type phishing, les sites falsifiés, les accès RDP mal sécurisés, l'exploitation de vulnérabilités (serveurs, logiciels VPN, etc.) et les attaques de type supply-chain (comme avec le logiciel CCleaner qui suite à une attaque, contenait un malware).

Post-exploitation

En 2020, les attaquants se sont montrés plus rapides, entre le moment où il y a l'infection initiale et le chiffrement à l'aide du ransomware. Le déploiement du ransomware peut s'effectuer manuellement ou de manière automatique.

Avant que la phase de post-exploitation intervienne, il arrive fréquemment qu'un loader soit déployé sur l'infrastructure cible. L'intérêt pour les attaquants est de pouvoir récupérer des informations pour faciliter les mouvements latéraux et les accès ultérieurs. Dans un précédent article, je vous avais parlé de la chaîne d'infection Bazar-Ryuk.

Dans son rapport, l'ANSSI détaille précisément comment se déroule la phase de post-exploitation d'une attaque par rançongiciel [page 10]. Cela passe notamment par l'exploitation de vulnérabilités, la cartographie de l'Active Directory à l'aide d'outils tels que BloodHound et ADFind, ainsi que l'utilisation d'outils de tests d'intrusion. Pour déployer le ransomware, les attaquants peuvent utiliser PsExec, un loader ou tout simplement une GPO qui va déployer une tâche planifiée sur les machines cibles.

Exfiltration des données

Pour permettre la double extorsion, les attaquants doivent exfiltrer les données en dehors du système d'information de l'entreprise ciblée. L'ANSSI cite l'exemple de ProLock qui exfiltre les données grâce à Rclone et 7-Zip vers le Cloud au sein de services comme OneDrive, Google Drive et Mega. Bien sûr cette opération s'effectue avant que les données soient chiffrées.

Si vous avez un réseau dédié à vos serveurs, il s'avère pertinent d'empêcher vos serveurs de communiquer avec les services de stockage en ligne : autant mettre toutes les chances de son côté.

Chiffrement et demande de rançon

Pour la poursuivre de l'attaque, il y a l'exécution de la charge qui signifie que le ransomware va entrer en action et chiffrer vos données. Les fichiers du système ne seront pas chiffrés dans le but de permettre à la victime de prendre connaissance des données perdues et des informations associées à la rançon.

Double extorsion

Depuis novembre 2019, il y a une étape supplémentaire qui est utilisée dans certaines attaques : la double extorsion. L'objectif est de forcer l'entreprise victime à payer la rançon, sous peine que les données soient publiées sur Internet. Pour bien mettre la pression, cette offre est très limitée dans le temps et l'entreprise a peu de temps pour se décider avant que les données soient publiées.

---

Je vous encourage à prendre connaissance du rapport de l'ANSSI si ce sujet vous intéresse . C'est un document très intéressant, d'une trentaine de pages. Vous pourrez en apprendre plus sur le coût des attaques et sur les revenus des attaquants, on parle par exemple de 150 millions de dollars pour Ryuk depuis début 2018. À la fin, il y a également une présentation des principaux ransomwares du moment.

The post « Etat de la menace rançongiciel » : le nouveau rapport de l’ANSSI first appeared on IT-Connect.