Récemment, l'attaque informatique subie par la société SolarWinds a fait beaucoup parler d'elle compte tenu de sa gravité et des potentielles victimes collatérales. Nous apprenons que Malwarebytes est également touché par une attaque et les auteurs identifiés sont les mêmes que ceux de l'attaque contre SolarWinds.

On ne présente plus Malwarebytes, la société éditrice du célèbre logiciel Malwarebytes anti-malware. Le PDG, Marcin Kleczynski, a fait une annonce en toute transparence : Malwarebytes a subi une attaque informatique. Les auteurs, probablement russes, seraient les mêmes que ceux qui s'en sont pris à SolarWinds. Néanmoins, il y a un détail important à prendre en compte et qui change tout : Malwarebytes n'utilise pas les logiciels de SolarWinds. Malwarebytes n'est pas une victime collatérale, mais une cible directe, comme de nombreuses autres entreprises comme le précise le PDG de la société. Il estime même que d'autres victimes vont s'annoncer très prochainement.

Dans son communiqué, Malwarebytes précise que les attaquants s'en sont pris à Microsoft 365 et au Cloud Azure. D'ailleurs, aux alentours du 15 décembre, la division sécurité de Microsoft a averti Malwarebytes qu'il y avait une activité suspecte sur son compte environnement Office 365. Cette activité avait une origine commune avec l'attaque contre SolarWinds. Les pirates ont pu accéder à des e-mails internes, de façon limitée. En fait, la production de Malwarebytes n'est pas hébergée chez Microsoft, ce qui a permis d'éviter une attaque beaucoup plus lourde de conséquences. Ces attaques s'appuient sur quatre malwares : Raindrop, Sunburst, Sunspot et Teardrop.

Malwarebytes se veut rassurant et affirme clairement que son service est sécurisé. D'après le PDG, vous pouvez continuer d'utiliser ses outils sans problèmes, car suite à cette attaque, il y a eu une vérification de l'ensemble du code source. Quoi qu'il en soit, il faut s'attendre à d'autres annonces dans les semaines à venir.

Source

The post Malwarebytes victime des mêmes hackers que SolarWind first appeared on IT-Connect.

I. Présentation

Sur un poste de travail Windows 10 (ou versions antérieures) ou un serveur sous Windows Server, nous pouvons créer un partage dans le but de rendre accessible des données sur le réseau, à partir d'autres machines. Il faut savoir que par défaut, Windows a déjà quelques partages que l'on appelle les partages administratifs.

Ces partages sont masqués car le nom termine par un "$". En effet, lorsque l'on crée un partage sous Windows, si l'on précise un "$" à la fin du nom il est alors invisible à moins d'en connaître le nom. Même si les partages administratifs sont masqués, on sait qu'ils existent car ils sont intégrés à Windows.

II. Liste des partages administratifs

Suite à l'installation, Windows dispose au minimum de trois partages administratifs. Il suffit d'exécuter une simple commande PowerShell pour s'en convaincre :

Get-SmbShare

Ou, à l'ancienne :

net share

Nous retrouvons bien les trois partages :

Découvrons ensemble ces partages.

A. Le partage C$

Windows va générer automatiquement un partage qui pointe vers la racine du volume système, généralement le volume "C". Ce partage C$ va donner accès à la racine du volume et à l'intégralité de votre disque, par conséquent. Si vous avez une machine avec plusieurs disques, par exemple un volume avec la lettre E, Windows va automatiquement créer un partage E$ qui pointe vers le volume.

L'accès à un partage s'effectue grâce au chemin UNC :

\\<nom-PC>\C$
\\W10-CL1\C$

Si le compte que vous utilisez actuellement n'a pas les droits, Windows affichera l'UAC pour vous permettre d'entrer un identifiant et un mot de passe. Ensuite, vous accédez aux données :

Cet accès permet facilement de récupérer des données sur la machine distante ou d'en déposer puisque l'on peut accéder à l'intégralité des disques.

B. Le partage admin$

Dans le même esprit que le précédent, le partage admin$ donne un accès direct au répertoire où est installé Windows. Autrement dit, le fait d'accéder à ce partage, vous permet d'accéder directement au dossier "C:\Windows" de la machine distante. Dans ce cas, on est bridé au sein de cette racine, ce qui offre moins de possibilité que les partages basés sur les lecteurs tel que C$.

L'accès s'effectue sur le même principe :

\\<nom-PC>\admin$

C. Le partage IPC$

Passons maintenant au dernier partage de la bande, le partage IPC$. Contrairement aux autres, il ne donne pas accès aux systèmes de fichiers mais il sert à l'interaction entre les programmes à travers le réseau. Par exemple, un logiciel tel que PDQ Deploy va s'appuyer sur les partages administratifs "admin$" et "ipc$" pour installer un logiciel à distance sur une machine.

Note : IPC signifie Inter Process Communication, c'est-à-dire Communication Interprocessus.

D. Les droits d'accès aux partages administratifs

Rassurez-vous ! Les partages administratifs ne sont pas accessibles à tous les utilisateurs d'un domaine ou d'une machine. Pour accéder à un partage administratif, vous devez être administrateur local de la machine cible. Dans le cas d'un domaine Active Directory et d'une machine intégrée au domaine, le compte que vous utilisez pour vous connecter au partage administratif doit être Administrateur du domaine.

III. Configurer le pare-feu pour les partages administratifs

Pour accéder à un partage administratif tel que C$ ou ADMIN$, le protocole SMB est utilisé. Par défaut, une règle de pare-feu existante mais désactivée empêche l'accès à ces partages. Voici la règle à activer sur une connexion domaine (profil pare-feu) :

Pour l'activer en PowerShell, ouvrez une console en tant qu'administrateur et exécutez cette commande :

Set-NetFirewallRule -Name "FPS-SMB-In-TCP-NoScope" -Enabled True

Sachez également que vous pouvez déployer ce paramètre à l'aide d'une GPO si vous souhaitez déverrouiller l'accès aux partages administratifs temporairement sur quelques machines.

A savoir également que certains antivirus bloquent l'accès aux partages administratifs pour des raisons de sécurité.

IV. Activer les partages administratifs en groupe de travail

Bien qu'existant dès l'installation de Windows et par conséquent sur une machine hors domaine, les partages administratifs ne sont pas accessibles si facilement que ça en mode "Groupe de travail" (WORKGROUP). Pour rendre l'authentification possible sur un partage administratif à l'aide d'un compte admin local de la machine distante, la valeur de registre "LocalAccountTokenFilterPolicy" doit être créée avec "1" comme valeur. La valeur doit être redéfinie sur "0" pour réactiver le filtrage au niveau de l'authentification.

Voici une commande à exécuter en tant qu'administrateur pour créer cette valeur de registre correctement :

REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Ensuite, vous devez redémarrer votre machine Windows et tenter une connexion

V. Partages administratifs : un risque pour la sécurité

Les partages administratifs sont pratiques pour les administrateurs systèmes, mais il faut se méfier : ils exposent également les machines Windows en cas d'attaque informatique. Sur une infrastructure compromise où un compte Administrateur du domaine est entre les mains d'un attaquant, le partage administratif peut être exploité pour propager le malware sur le réseau, c'est le cas avec Emotet. Par propagation, j'entends copie et exécution sur les hôtes du réseau à l'aide d'un outil comme PsExec.

Il convient alors de limiter au maximum l'utilisation des comptes Administrateur du domaine et d'utiliser LAPS pour la gestion du mot de passe administrateur local des postes de travail du domaine. Vous pouvez également décider de désactiver les partages administratifs, surtout sur vos serveurs !

Si vous déployez par GPO la règle de pare-feu évoquée précédemment dans l'article, je vous encourage à l'affiner pour autoriser ce flux uniquement depuis un nombre d'hôtes restreint. Par exemple, si vous avez besoin des partages administratifs pour votre solution de déploiement de logiciel, autorisez seulement ce serveur à passer outre la règle de pare-feu.

VI. Désactiver les partages administratifs

Pour stopper ces partages, on peut instinctivement se rendre dans la console "Gestion de l'ordinateur", puis "Dossiers partagés" et "Partages". Ensuite, on retrouve bien nos partages et d'un clic droit on peut faire "Arrêter le partage". C'est possible, sauf qu'il y a un problème : ils sont associés au service "Serveur" et à chaque fois que ce service va redémarrer, les partages seront de nouveaux créés.

Voici le fameux service "Serveur", pour information.

Finalement, c'est vers le Registre Windows qu'il faut se tourner pour désactiver les partages administratifs. En tout cas, cela permet de supprimer les partages associés aux lecteurs comme C$ et ADMIN$. Le partage IPC$ quant à lui reste actif. Des paramètres dans le registre que l'on peut facilement déployer par GPO.

Attention : avant de désactiver les partages administratifs sur votre environnement, réalisez des tests pour identifier les éventuelles effets de bord, en fonction des applications que vous utilisez !

A. Supprimer les partages administratifs sur Windows 10

Une valeur de registre nommée "AutoShareWks" avec la valeur "0" doit être créée pour supprimer les partages administratifs sur Windows 10, Windows 8 ou Windows 7. Le fait de supprimer cette valeur ou indiquer "1" permettra de recréer les partages.

Pour ajouter la valeur à l'emplacement "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters", exécutez cette commande :

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks /t REG_DWORD /d 0 /f

Redémarrez le service "Serveur" et les partages vont disparaître dans la foulée !

Restart-Service LanmanServer -Force

B. Supprimer les partages administratifs sur Windows Server

Pour supprimer ces mêmes partages sur un serveur Windows, le principe est le même sauf que le nom de la valeur est créer est différent. En effet, elle s'appelle "AutoShareServer" et doit avoir la valeur "0". Ce qui donne :

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer /t REG_DWORD /d 0 /f

Comme pour le cas précédent, on redémarre le service :

Restart-Service LanmanServer -Force

Voilà, les partages administratifs qui permettent d'envoyer des fichiers sur une machine Windows sont désormais désactivés !

En complément des partages administratifs évoqués ci-dessus, il faut savoir qu'à l'époque de Windows 2000, on pouvait rencontrer un partage nommé FAX$ pour l'envoi des fax. Pour la gestion des imprimantes à distance, on peut rencontrer également le partage PRINT$ qui pointe directement dans le dossier "%SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS".

Les trois partages que l'on a vu ensemble sont ceux que vous allez rencontrer à coup sûr sur toutes les machines et tous les serveurs Windows dans leur configuration par défaut.

The post Les partages administratifs sous Windows 10 first appeared on IT-Connect.

La faille Zerologon avait créé la panique en août dernier puisqu'elle est critique et touche directement l'Active Directory. Pour se débarrasser de cette vulnérabilité définitivement, Microsoft va déployer un nouveau correctif en février pour désactiver la prise en charge des connexions non sécurisées sur les contrôleurs de domaine. 

Quelque temps après l'annonce de la faille Zerologon, Microsoft avait signalé une augmentation des attaques qui s'appuyaient sur ce vecteur. En fait, le correctif publié initialement n'est pas suffisant pour se protéger de la faille Zerologon. En vérité, il y a quatre étapes à suivre pour en venir à bout.

La firme de Redmond va passer à la vitesse supérieure à compter du 9 février 2021. En effet, un correctif sera intégré au prochain Patch Tuesday pour supprimer la prise en charge des connexions non sécurisées sur les contrôleurs de domaine effectuées via Netlogon. Autrement dit, toutes les machines devront utiliser une version sécurisée du RPC dans un canal Netlogon.

Pour rappel, la faille critique Zerologon affecte directement l'Active Directory et les contrôleurs de domaine. Elle se situe au niveau du protocole Netlogon Remote Protocol (MS-NRPC) et permet à un attaquant d'effectuer une élévation de privilèges sur un contrôleur de domaine. Cette élévation de privilèges est possible sans être authentifié auprès du contrôleur de domaine, ce qui rend la vulnérabilité particulièrement dangereuse. Ensuite, l'attaquant peut prendre le contrôle de votre serveur Active Directory. La faille Zerologon est identifiée sous le nom CVE-2020-1472 et touche toutes les versions de Windows Server.

Pour protéger son infrastructure contre la faille Zerologon, Microsoft a indiqué (depuis août) les quatre étapes à suivre :

1 - Appliquer les mises à jour d'Août 2020 (au minimum) sur ses contrôleurs de domaine

- Windows Server v2004 : KB4566782
- Windows Server v1909 : KB4565351
- Windows Server v1903 : KB4565351
- Windows Server 2019 : KB4565349
- Windows Server 2016 : KB571694
- Windows Server 2012 R2 : KB4571723
- Windows Server 2012 : KB4571702

2 - Identifier les équipements qui utilisent actuellement des connexions non sécurisées. Comme l'explique Microsoft, sur les contrôleurs de domaine patchés il faut rechercher les événements avec l'ID 5829. Pour vous faciliter la tâche, vous pouvez utiliser le script PowerShell (qui nécessite Excel) fourni par Microsoft et qui va analyser l'observateur d'événement et générer un export.

3 - Analyser les équipements identifiés. Microsoft précise que tous les systèmes actuellement sous support sont capables d'effectuer des connexions MS-NRPC sécurisées. Pour les systèmes et équipements tiers, il faut se rapprocher des éditeurs si nécessaire.

4 - Activer le mode "Domain Controller enforcement" sur son environnement pour se protéger de la faille Zerologon.

Jusqu'au 09 février 2021, vous avez encore la main pour activer ou non ce mode. Ensuite, lorsque les correctifs de février seront déployés sur vos serveurs contrôleur de domaine, ce mode sera automatiquement activé.

Pour anticiper, vous pouvez activer ce mode dès à présent dans le but de réaliser des essais et d'identifier les éventuels appareils qui vont poser problème.

Pour activer le mode "Domain Controller enforcement", il est nécessaire de créer et configurer la valeur suivante dans le Registre Windows de tous les contrôleurs de domaine : FullSecureChannelProtection. Avec la valeur "1", le mode sera actif et vous êtes protégé contre la faille Zerologon. A l'inverse, la valeur "0" permet de faire machine arrière. Cette valeur REG_DWORD doit être créée à l'emplacement suivant :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

S'il y a des machines sur votre réseau qui ont besoin de continuer à établir une connexion non sécurisée, vous devez créer une GPO en complément. Cette GPO doit activer le paramètre "Domain controller: Allow vulnerable Netlogon secure channel connections" qui se situe à l'emplacement suivant : Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options. Dans ce paramètre, vous pouvez spécifier un groupe qui contiendra les objets autorisés à établir des connexions non sécurisées. Bien sûr, l'objectif à terme est de supprimer cette exception.

Bon courage et prenez cette vulnérabilité au sérieux

Voir la documentation Microsoft

The post Zerologon : le correctif de février va bloquer les connexions non sécurisées first appeared on IT-Connect.

Alors que les modes de consommation changent, les habitudes de recherche suivent également le pas. Une tendance notamment appuyée par le contexte sanitaire. En 2020, les entreprises ont plus que jamais compris qu'une bonne visibilité sur internet peut être un levier de réussite. En 2021, la concurrence sera rude, d'autant plus que les moteurs de recherche ont relevé leurs exigences. Fini le temps où il suffisait d'optimiser les mots-clés et les meta titles pour être bien classé. Cette année, les entreprises devront revoir de près leur stratégie SEO.

À qui s'adresse le SEO ?

Pour toute entité souhaitant se mettre en avant sur internet, le SEO (Search Engine Optimisation) est un outil à ne pas négliger. Il permet d'accroître la visibilité d'un site ou d'un blog sur le web. Quelle que soit la taille de l'entreprise, avoir une excellente stratégie SEO est toujours nécessaire. Plus le référencement naturel est optimal, plus un site a de chances d'être populaire. En effet, les moteurs de recherche se basent sur le SEO pour recommander un site.

Pour ceux qui n'en mesurent pas encore l'importance, figurer sur la première page de Google est un vrai tremplin. D'ailleurs, être sur la première page de tous les moteurs de recherche est le but de tous les sites. En effet, les internautes ne s'intéressent principalement qu'aux deux premières pages proposées par les moteurs de recherche. Il va sans dire que ne pas figurer sur celles-ci peut être contraignant.

Occuper les premières places sur les moteurs de recherche représente de véritables enjeux. Soigner sa stratégie SEO devient primordial. Travailler avec une agence SEO vous permettra d'atteindre rapidement cet objectif. Le référencement naturel n'est en effet pas une chose qui s'improvise. Pour faire face à la concurrence, mieux vaut s'entourer d'experts sur le sujet. Un spécialiste du SEO vous livrera les techniques nécessaires pour optimiser vos contenus. Vous augmenterez ainsi vos chances d'apparaître en première page et de générer ainsi plus de trafic sur votre site.

Quels sont les enjeux d'une stratégie SEO en 2021 ?

La pandémie de Covid-19 a accéléré la digitalisation de nombreuses entreprises. Pour faire face à la concurrence, il est important de se démarquer et d'augmenter sa visibilité. D'où l'intérêt de réadapter sa stratégie SEO. Quels sont les avantages d'un bon référencement ?

Obtenir une bonne note PageRank

Le PageRank (PR) est un outil permettant d'évaluer la popularité d'un site sur Google. Il octroie à un site ou à la page d'un site une note allant de 0 à 10. Celle-ci sera évaluée en fonction de critères définis. Plus la note est élevée, plus le contenu de la page est considéré comme ayant de la valeur. Ce qui permettra de le faire figurer sur les premières pages des résultats de recherche. Auparavant, le PR était visible par tous. Mais en 2016, il a disparu. Pour autant, il n'a pas cessé de fonctionner. Au contraire, l'algorithme a relevé ses exigences.

En 2021, l'enjeu sera de garder sa bonne note PageRank ou de la relever davantage. Plus votre note se rapprochera de 10, plus vous générerez du trafic sur votre site. Votre stratégie SEO devrait ainsi se diriger vers cet objectif. Vos contenus devront être pertinents pour que d'autres sites les utilisent comme référence.

Générer plus de trafic

Une stratégie SEO bien menée permet de générer du trafic sur un site. Plus il aura de visiteurs, plus il aura de chances de se retrouver en premières pages des moteurs de recherches. Avec Analytics ou la Search Console, Google prend en compte le trafic sur les sites pour établir leur positionnement. Il évalue la popularité de votre site par le nombre de visites et le taux de rebond. Il tiendra également compte du temps passé par les internautes sur le site.

Générer du trafic permet donc à un site d'être mieux placé sur les moteurs de recherche. Cela permet également de booster le chiffre d'affaires. Sur un site e-commerce, par exemple, les visites peuvent vite se transformer en achat. Il va sans dire qu'être en tête de liste permettra de faire face à la concurrence de manière optimale.

Améliorer l'expérience client (UX)

La crise sanitaire que nous traversons actuellement a largement boosté la digitalisation des entreprises. Aujourd'hui, tout passe par internet (information, achat, éducation…). La satisfaction des utilisateurs est donc l'un des grands enjeux de 2021. Le public s'élargit, allant des plus jeunes aux plus âgés, de la mère au foyer au dirigeant d'entreprise.

L'amélioration de l'UX design sera un facteur clé de développement pour un site cette année. Il devra être au cœur de la stratégie SEO. Cette partie sous-entend l'optimisation de l'utilisation du site par tous les internautes. Ces derniers devraient pouvoir visiter une page, quel que soit le support utilisé (smartphone, tablette, PC…). Plus les visiteurs auront plaisir à s'attarder et à revenir sur un site, mieux il sera positionné sur les moteurs de recherche.

Comment améliorer sa stratégie SEO en 2021 ?

Pour améliorer sa visibilité, la stratégie SEO doit se baser avant tout sur un contenu de qualité. L'utilisation des bons mots clés, un champ sémantique riche, la pertinence des sujets… sont les piliers d'un référencement naturel réussi. Néanmoins, d'autres outils permettent d'améliorer sa stratégie SEO.

Le netlinking

En plus d'un contenu de qualité, pensez à créer un netlinking de qualité. Cette stratégie consiste à multiplier les backlinks vers un site web. Il faudra par contre mettre en place une campagne de netlinking efficace. Si la quantité est importante, il ne faudra pas lésiner sur la qualité pour autant. Il est préférable que les backlinks soient issus d'une page dont le PR est supérieur à 3. Choisissez de préférence les pages ayant une certaine ancienneté et de bons contenus.

La recherche vocale

De nombreux experts estiment que la recherche vocale est la nouvelle tendance SEO. Depuis plusieurs années maintenant, les utilisateurs parlent avec leurs appareils connectés. Les services d'assistance vocale ne cessent de se développer. Un secteur qui peur représenter un vrai tremplin. Pour ne pas se faire doubler par la concurrence, il est primordial d'adapter son site à la recherche vocale. Là encore, il faudra miser sur un contenu de qualité, en adoptant notamment un langage naturel.

The post Que faut-il attendre d’une stratégie SEO en 2021 ? first appeared on IT-Connect.

À l'occasion de cette nouvelle année, le site Godeal24 propose de nouvelles promotions sur les licences Windows 10 et d'autres produits Microsoft.

Voici la liste des offres :

Licences Windows 10 

• Windows 10 Professional (32/64 Bit) - à 7.25€
• Windows 10 Professional (32/64 Bit) (2 PC) – à 11.25€
• Windows 10 Home – à 7.96€ avec le code "EGD50"
• Windows 10 Home - 2 PCs – à 13.24€ avec le code "EGD50"
• Windows 10 Enterprise 2019 LTSC – à 8.91€ avec le code "EGD50"

 Licences Office pour Windows et Mac

• Office 2016 Professional Plus (1 PC) – à 22.25€
• Office 2019 Professional Plus (1 PC) – à 28.25€
• Office 2019 Home & Business (For Mac) – à 50.25€ avec le code "EGD55"

Les prix sur les licences Office étaient inférieurs de quelques euros lors de la dernière offre promotionnelle, mais ils restent attractifs aujourd'hui.

Si vous souhaitez avoir Visio pour dessiner des schémas ou Project pour la gestion de projets, ils sont également disponibles :

• Microsoft Visio Professional 2019 - 1 PC – à 19.19€ avec le code "EGD55"
• Microsoft Project Professional 2019 - 1 PC– à 22.55€ avec le code "EGD55"

Des offres packagées qui intègrent à la fois une licence Windows et une licence Office sont proposées, une bonne manière d'optimiser les coûts si les deux produits vous intéressent.

Windows Server 2019 et Office 365

• Windows Server 2019 Standard – à 15.67€ avec le code "EGD50"
• Compte Microsoft Office 365 Professional Plus – 1 Appareil - 1 An – à 15.19€ avec le code "EGD55"
• Compte Microsoft Office 365 Professional Plus - 1 Appareil - 1 An + Windows 10 Pro - à 20.59€ avec le code "EGD55"

Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les  offres sont limitées dans le temps et gérées directement par le site Godeal24.

Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site Godeal24 à l'adresse e-mail suivante : service@godeal24.com

The post Bon plan : deux licences Windows 10 pour 11,25 € first appeared on IT-Connect.