PixieFail, c'est le nom associé à un ensemble de 9 vulnérabilités découvertes dans une implémentation open source de la pile TCP/IP utilisée par l'UEFI de nombreux modèles d'ordinateurs ! Voici ce qu'il faut savoir !
Quarkslab a identifié 9 vulnérabilités différentes dans TianoCore EFI Development Kit II (EDK II) et elles peuvent être exploitées pour effectuer de l'exécution de code à distance, empoisonner le cache DNS, récupérer des informations sensibles ou encore mener une attaque de type déni de service. L'exploitation s'effectue en étant connectée sur le même réseau local que la machine cible, même si dans certains cas, l'exploitation serait possible à distance.
Dans le cas présent, c'est la pile TCP/IP, nommée "NetworkPkg" dans TianoCore EDK II qui est affectée. Elle permet d'ajouter des fonctionnalités associées au réseau, notamment le boot PXE (démarrage sur le réseau, ce qui est utile en cas d'absence d'un système d'exploitation), d'où le nom PixieFail.
Le problème, c'est qu'il est très largement utilisé par de nombreux firmwares UEFI, notamment chez Intel, Phoenix Technologies, AMI ou encore Insyde Software. Un avis publié par le CERT/CC précise : "L'impact et l'exploitabilité de ces vulnérabilités dépendent de la version spécifique du micrologiciel et de la configuration par défaut du démarrage PXE."
Cette page est intéressante, car elle permet de savoir quels sont les constructeurs affectés par ces vulnérabilités, et ceux qui ne le sont pas, bien que ce ne soit pas encore déterminé pour certains d'entre eux tels que Microsoft, Dell, Fujitsu, etc. Des millions de machines sont potentiellement affectées.
La solution pour se protéger consiste à maintenir à jour le firmware de ses machines. Par ailleurs, il est recommandé de désactiver le boot PXE si vous ne l'utilisez pas et déployer des mesures de protection sur vos services réseau, notamment la détection des serveurs DHCP non autorisés (rogue DHCP).
La liste des vulnérabilités PixieFail
Terminons par la liste des vulnérabilités PixieFail :
CVE-2023-45229 - Score CVSS : 6.5 - Integer underflow lors du traitement des options IA_NA/IA_TA dans un message de type "DHCPv6 Advertise"
CVE-2023-45230 - Score CVSS : 8.3 - Buffer overflow dans le client DHCPv6 via l'option Server ID
CVE-2023-45231 - Score CVSS : 6.5 - Out-of-bounds read lors du traitement d'un message "ND Redirect", avec des options tronquées
CVE-2023-45232 - Score CVSS : 7.5 - Boucle infinie lors de l'analyse d'options inconnues dans l'en-tête "Destination Options"
CVE-2023-45233 - Score CVSS : 7.5 - Boucle infinie lors de l'analyse d'une option "PadN" dans l'en-tête "Destination Options"
CVE-2023-45234 - Score CVSS : 8.3 - Buffer overflow lors du traitement de l'option "DNS Servers" dans un message "DHCPv6 Advertise"
CVE-2023-45235 - Score CVSS : 8.3 - Buffer overflow lors du traitement de l'option "Server ID" d'un message "DHCPv6 proxy Advertise"
Le logiciel de prise en main à distance TeamViewer est utilisé par les cybercriminels pour obtenir un accès initial aux machines des organisations, dans le but de déployer un ransomware ! Voici ce que l'on sait sur cette méthode d'attaque.
Pour rappel, TeamViewer est une application très populaire et utilisée mondialement pour effectuer de la prise en main à distance, que ce soit sur des postes de travail ou des serveurs. Ainsi, le fait de compromettre un accès TeamViewer peut permettre d'avoir directement accès à l'infrastructure d'une entreprise.
Pour cela, il n'est pas nécessaire que TeamViewer soit impacté par une faille de sécurité zero-day : la technique du credential stuffing peut tout à fait fonctionner, notamment si des identifiants fuites et qu'ils correspondent également à un compte TeamViewer.
Un nouveau rapport mis en ligne par Huntress montre que TeamViewer est toujours apprécié par les cybercriminels pour bénéficier d'un accès initial à l'infrastructure d'une organisation. Ceci peut commencer par un premier appareil, puis un second, etc... : "Une enquête sur chaque endpoint a montré que l'accès initial à chaque endpoint a été réalisé via TeamViewer." - A chaque fois, c'est la même adresse IP source qui est associée aux connexions, ce qui prouve qu'il s'agit bien des mêmes attaquants.
Dans le cadre de l'attaque analysée par Huntress, les attaquants avaient accès à deux machines par l'intermédiaire de TeamViewer. À chaque fois, les attaquants ont tenté de déployer un ransomware à l'aide d'un script Batch nommé "PP.bat" qui exécute un fichier DLL malveillant via une commande rundll32.exe.
Suite à l'analyse de ces attaques, Huntress n'a pas été en mesure de les attribuer avec certitude à un gang de ransomware, même s'il y a des similitudes avec le module de chiffrement utilisé par le ransomware LockBit. Tout porte à croire qu'il s'agit d'un ransomware mis au point par un nouveau gang qui aurait utilisé le builder de LockBit Black, ce dernier ayant fait l'objet d'un leak.
De son côté, TeamViewer invite ses utilisateurs à configurer correctement leur compte et les clients TeamViewer déployés sur les machines. L'éditeur fait référence à cette page qui regroupe les bonnes pratiques pour la configuration de l'accès non surveillé.
Microsoft va renforcer l'intégration de Teams au sein de Windows 11 puisque les rappels de réunions seront directement visibles dans le menu Démarrer du système d'exploitation ! Voici ce qu'il faut savoir sur cette nouveauté !
Les réunions Teams dans le menu Démarrer
Au sein de la version "Windows 11 Insider Preview Build 23619" disponible au travers du programme Windows Insider, via le canal Dev, Microsoft a introduit plusieurs changements, dont l'un qui concerne directement les adeptes de réunions Microsoft Teams.
Comme le montre l'image ci-dessous, la section du menu Démarrer de Windows 11 dédiée aux recommandations va inclure une nouvelle forme de contenus : les rappels associés à vos réunions Teams à venir.
Pour le moment, il n'y aura qu'un seul rappel à la fois et il sera présent à un moment bien précis comme l'explique Microsoft : "La prochaine réunion Teams en ligne apparaîtra comme un élément recommandé 5 minutes avant qu'elle ne commence. En cliquant sur la recommandation de la réunion, vous ouvrirez le flux de participation à la réunion dans Teams." - Autrement dit, un simple clic sur cet élément du menu Démarrer permettra d'accéder à la réunion.
Il est important de préciser que cette nouveauté s'adresse aux utilisateurs connectées avec un compte Microsoft Entra ID (Azure AD) : "Pour les personnes connectées à Windows 11 Pro ou Enterprise avec un compte Microsoft Entra ID, nous testons la possibilité d'afficher et de rejoindre les réunions Microsoft Teams à venir directement à partir du menu Démarrer.", peut-on lire sur le site de Microsoft.
L'accès immédiat aux photos de votre smartphone Android
Par ailleurs, Microsoft a introduit une autre nouveauté intéressante dans cette version : la possibilité d'accéder instantanément, depuis Windows 11, à ses photos et copies d'écran stockées sur un appareil Android.
À ce sujet, Microsoft précise : "Grâce à cette fonctionnalité, vous recevrez des notifications instantanées sur votre PC chaque fois qu'une nouvelle photo ou capture d'écran sera réalisée sur votre appareil Android."
Dans cet article, nous allons partir à la découverte des profils de configuration des appareils avec Microsoft Intune ! Il est essentiel de bien maitriser les profils de configuration, car ils permettent de configurer et personnaliser le système des appareils gérés avec Intune. Ce qui en fait une fonctionnalité incontournable !
Au sein de mon article d'introduction à Microsoft Intune, je vous ai expliqué comment créer un profil de configuration sans évoquer toutes les possibilités ni le fonctionnement de certaines options. Cet article aura pour objectif d'approfondir le sujet des profils de configuration !
Après avoir lu cet article, vous connaîtrez les différentes options offertes par l'intermédiaire d'Intune puisque nous allons évoquer les types de profil de configuration, mais également la notion d'étendue (utilisateur/appareil), les balises d'étendues ainsi que les filtres. Ce sera aussi l'occasion de voir que nous pouvons "faire des GPOs" à partir d'Intune, ce qui devrait plaire aux adeptes de stratégies de groupe !
Les profils de configuration des appareils (que l'on appelle aussi "Profils d'appareils") correspondent à des stratégies qui vont permettre de définir un ensemble de paramètres à appliquer sur les appareils.
Nous pouvons citer quelques exemples :
Personnaliser les paramètres du système (activer/désactiver une fonction de Windows, déployer un fond d'écran, etc...)
Personnaliser les paramètres d'une application, notamment la suite Microsoft Office ou le navigateur Microsoft Edge
Déployer un nouveau réseau Wi-Fi sur les appareils
Etc...
Comme pour les stratégies de groupe, il y a des milliers de possibilités... Sachez qu'Intune est capable de déployer des profils de configuration à destination des appareils sous Windows, macOS, iOS, iPadOS, et Android.
Un profil de configuration se crée à partir du Centre d'administration Microsoft Intune. Bien qu'il existe plusieurs types de profils de configuration, dans la majorité des cas, la création d'une nouvelle stratégie passera par le menu suivant :
Appareils > Stratégie > Profils de configuration > Créer > Nouvelle stratégie
III. Les types de profils de configuration pour les appareils
Il y a plusieurs types de profils de configuration disponibles dans Intune et nous allons les présenter dans cette partie de l'article.
A. Catalogue des paramètres
Le "Catalogue des paramètres" (Settings catalog) correspond à un inventaire de tous les paramètres disponibles : libre à vous de rechercher le ou les paramètres dont vous avez besoin et de les ajouter à votre stratégie afin d'en faire la configuration.
La zone de recherche et le système de filtres permettent de gagner du temps lorsque l'on recherche un paramètre pour un usage spécifique. D'ailleurs, dans la zone de recherche, vous pouvez spécifier plusieurs mots clés séparés par une virgule.
Appareils > Profils de configuration > Créer > Nouvelle stratégie > Catalogue des paramètres
B. Modèles (Templates)
Les "Modèles" (Templates) correspondent à des paramètres organisés par groupe. Lorsque vous sélectionnez un modèle, la stratégie créée vous permettra de configurer tous les paramètres associés à ce modèle. Parmi les exemples de modèles, nous pouvons citer ceux pour la configuration Wi-Fi, la configuration VPN ou encore le modèle E-mail pour définir la configuration d'un serveur de messagerie sur des appareils.
Appareils > Profils de configuration > Créer > Nouvelle stratégie > Modèles
C. Les modèles d'administration
Les "Modèles d'administration" (Administratives templates), c'est probablement la section qui va plaire le plus aux administrateurs systèmes habitués à configurer des GPOs en environnement Active Directory ! En effet, Intune reprend un ensemble de modèles d'administration (ADMX) pour la configuration de Windows, mais aussi de Microsoft Office, de Microsoft Edge et de Google Chrome.
Les modèles d'administration sont accessibles au travers de la création d'un profil de type "Modèles" (ou via le "Catalogue des paramètres").
Appareils > Profils de configuration > Créer > Nouvelle stratégie > Modèles > Modèles d'administration
Pour les modèles d'administrations intégrés à Intune par Microsoft
Appareils > Profils de configuration > Créer > Nouvelle stratégie > Modèles > Modèles d'administration importés (préversion)
Pour les modèles d'administrations importés par l'administrateur (vous) à partir de fichiers ADMX et ADML
Comme le montre l'image ci-dessous, lorsque nous créons un profil de configuration basé sur un modèle d'administration, nous retrouvons une interface et une organisation des paramètres similaires à l'expérience proposée par la console d'édition d'une stratégie de groupe.
D'ailleurs, lorsque nous cliquons sur un paramètre, nous pouvons le configurer comme nous avons l'habitude de le faire pour une GPO, sauf qu'ici tout est intégré à l'interface web. La description du paramètre est intégrée, tout comme les systèmes pris en charge.
Remarque : les "Modèles d'administration" sont accessibles également via le Catalogue des paramètres.
D. Bases de référence de sécurité
Les "Bases de référence de sécurité" (Security Baselines) sont là pour vous aider à améliorer la posture de sécurité de vos appareils en utilisant des ensembles de paramètres mis à disposition par Microsoft et qui sont le reflet des bonnes pratiques de Microsoft. Autrement dit, il s'agit de stratégies prêtes à l'emploi, mais que vous pouvez personnaliser, et qui vont permettre de durcir la configuration du système d'exploitation Windows, mais aussi de certaines applications (Edge, Defender, etc.).
Pour créer un profil de configuration basé sur les recommandations de Microsoft, vous devez utiliser "ce chemin" sur le portail d'administration Intune :
Sécurité du point de terminaison > Bases de référence de sécurité > Choix de la baseline > Créer un profil
Les profils de Security Baselines proposés par Microsoft sont également mis à jour par Microsoft de façon automatique. Toutefois, à partir du moment où vous créez un profil basé sur une version spécifique d'une Security Baseline, ce sera à vous d'en faire la mise à jour manuellement (ce qui est compréhensible pour éviter les effets de bords).
Gardez à l'esprit que ces profils de configuration orientés sécurité vont modifier en profondeur la configuration du système (ou de l'application) pour durcir sa configuration, mais également activer certaines fonctionnalités, ce qui peut engendrer le dysfonctionnement de certains services et applications. Il est indispensable de faire toute une batterie de tests pour ajuster, si besoin, la configuration.
IV. Les paramètres OMA-URI et les CSP
Chaque paramètre de configuration Intune est accessible à un OMA-URI unique associé faisant référence à un point d'entrée dans un CSP (Configuration Service Provider). Sachez que les paramètres configurables pour Windows 10 et Windows 11 par l'intermédiaire d'Intune font référence à un ensemble de CSP, et la lecture de la documentation peut s'avérer utile dans certains cas, notamment pour déterminer les éditions de Windows supportées par certains paramètres.
Sachez qu'un paramètre OMA-URI (Open Mobile Alliance - Uniform Resource Identifier) correspond à un standard utilisé par Microsoft Intune pour gérer les paramètres sur les appareils. Ces OMA-URI permettent à Intune de communiquer avec le CSP sur l'appareil cible pour définir ou obtenir les valeurs de ces paramètres.
Certains paramètres ne sont pas disponibles directement à partir de l'interface Intune, bien qu'il soit pris en charge par le système d'exploitation Windows 10 ou Windows 11, ce qui nous "force" à cibler directement l'OMA-URI. Nous pouvons considérer que les OMA-URI permettent une gestion plus fine et précise des appareils à partir d'Intune.
Terminons par ce schéma issu de la documentation Microsoft qui représente bien le fonctionnement, et notamment l'implication du protocole OMA-DM pour la communication.
V. Appliquer la stratégie : sur les utilisateurs ou les appareils ?
Lors de la configuration d'un paramètre dans une stratégie, nous pouvons constater que certains paramètres ont une balise entre parenthèses (utilisateur / appareil). Ceci signifie que le paramètre en question affecte uniquement l'utilisateur ou l'appareil, en fonction de la base spécifiée entre parenthèses.
Lorsque le paramètre s'appliquera sur l'appareil Windows, la modification ne sera pas effectuée dans la même ruche du Registre Windows, en fonction de la portée du paramètre (sur le même principe que pour les GPO) :
La stratégie pour l'utilisateur modifiera "HKEY_CURRENT_USER", qui est spécifique à chaque session (profil utilisateur)
La stratégie pour l'appareil modifiera "HKEY_LOCAL_MACHINE", qui est unique sur la machine et commune à l'ensemble des sessions sur la machine
Après avoir configuré les paramètres dans la stratégie, vient l'étape de l'affectation de cette stratégie à des appareils ou des utilisateurs. Cette affectation s'effectue exclusivement par groupe, bien que ce soit possible de solliciter deux "groupes" par défaut permettant d'ajouter tous les appareils ou tous les utilisateurs.
Voici le comportement des stratégies Intune :
Une stratégie avec des paramètres d'appareils affectée à des appareils va s'appliquer à tous les utilisateurs qui vont utiliser ces appareils
Une stratégie avec des paramètres d'utilisateurs affectée à des utilisateurs va suivre les utilisateurs d'un appareil à l'autre (synchronisation des paramètres via Intune lorsque l'utilisateur ouvre une session sur un appareil). À cela s'ajoute l'application des paramètres qui cible l'appareil directement.
Une stratégie avec des paramètres d'utilisateurs attribuée à des appareils va s'appliquer à tous les utilisateurs qui vont utiliser ces appareils (sur le même principe que le loopback processing de GPO en mode fusion).
En cas de conflit, c'est-à-dire un même paramètre configuré à la fois pour l'utilisateur et l'appareil, sachez que la valeur de ce paramètre pour l'utilisateur sera prioritaire vis-à-vis de la configuration pour l'appareil.
Pour approfondir le sujet, vous pouvez consulter la documentation Microsoft :
Les balises d'étendue sont utiles pour les organisations qui ont besoin de segmenter l'administration des appareils et sont là en complément de la gestion des rôles (RBAC). Une balise d'étendue va permettre de "filtrer" les objets visibles à partir d'un compte utilisateur pour qu'il ne puisse voir que les appareils correspondants à ses attributions. Par exemple, cette fonctionnalité pourra s'avérer utile dans une organisation répartie dans plusieurs pays avec plusieurs équipes IT.
Le portail Intune décrit cette fonctionnalité de la façon suivante : "Les balises d'étendue définissent des groupes de ressources Intune qui s'alignent sur des attributions de rôle Intune spécifiques. Par exemple, une balise d'étendue "Bureau de Seattle" peut servir à associer des stratégies, des profils ou des applications uniquement avec les administrateurs qui s'appliquent à l'emplacement Bureau de Seattle."
La balise d'étendue par défaut n'applique aucune restriction. Vous avez la possibilité de choisir une ou plusieurs balises d'étendue lors de la création d'un profil de configuration.
Mais avant cela, il faudra créer une balise d'étendue et en faire la configuration à partir du portail Intune.
Administrateur de locataire > Rôles > Balises d'étendue > Créer
VII. Intune et les filtres lors de l'affectation d'une stratégie
Quand une stratégie est affectée à tous les appareils, à tous les utilisateurs, ou à un groupe spécifique, l'administrateur a la possibilité de définir un filtre. Ceci signifie que l'on va pouvoir cibler un ensemble d'utilisateurs / d'appareils contenus dans le groupe.
Sur chaque groupe, il est possible d'affecter un seul filtre à la fois, mais un filtre peut contenir plusieurs conditions. Un filtre peut être basé sur une caractéristique des appareils ou des applications.
Pour créer un filtre, nous devons accéder à l'emplacement suivant du portail d'administration Intune :
Prenons un exemple tout simple où nous allons créer un filtre permettant de filtrer sur le fabricant des appareils pour conserver uniquement les appareils où le fabricant est "VMware Inc.", ce qui correspond à des VMs sur un environnement VMware. D'ailleurs, cette fonctionnalité me fait penser au principe des filtres WMI avec les GPOs.
Nous commençons par définir un nom, une description et nous devons choisir la plateforme cible, c'est-à-dire l'OS.
Ensuite, nous définir l'ensemble des règles intégrées à ce filtre, ce qui permet de définir des conditions. Comme le montre l'image ci-dessous, nous pouvons choisir entre plusieurs propriétés : fabricant, modèle, nom de l'appareil, propriétaire, etc.
Une fois la propriété choisie, nous devons sélectionner un opérateur (égal, commence par, etc.) et définir une valeur. Nous pouvons aussi définir le comportement à adopter (et/ou) dans le cas où il y a plusieurs expressions (ou conditions, si vous préférez) dans ce filtre. La règle peut être modifiée manuellement, si vous avez besoin de créer de filtres plus avancés.
Ce qui est très pratique, c'est le bouton "Aperçu" puisqu'il permet de voir quels sont les appareils correspondants à ce filtre. Autrement dit, ce bouton permet de tester le filtre (sur la base de tous les appareils inscrits).
Une fois que c'est fait, il ne reste plus qu'à poursuivre jusqu'à la création du filtre...
Ensuite, ce filtre pourra être utilisé lors de la création d'un profil de configuration au moment de l'étape "Affectations" (1). Il suffira de cliquer sur "Modifier le filtre" (2), de choisir s'il faut inclure ou exclure les appareils filtrés (3) puis de sélectionner le filtre (4).
Les filtres sont très pratiques et offrent de nombreuses possibilités pour la gestion des ordinateurs, des smartphones et des tablettes. Si l'on prend l'exemple des appareils sous iOS et iPadOS, à savoir les iPhone et les iPad, sachez que nous pourrions faire un filtre pour détecter les appareils jailbreakés (isRooted) ! Ce même filtre pourrait fonctionner pour détecter les appareils Android rootés.
Grâce à la lecture de cet article, ou après avoir regardé la vidéo, vous avez une bonne vue d'ensemble des possibilités offertes avec les profils de configuration Intune ! Comme je le disais en introduction, c'est une fonction clé puisqu'elle va nous permettre de gérer la configuration des appareils, en plus d'autres stratégies comme celles dédiées à la sécurité (sans parler des Security Baselines) et que nous découvrirons progressivement dans d'autres articles.
Microsoft travaille sur l'intégration de nouvelles fonctions d'annotation pour l'Outil capture d'écran de Windows 11. Au fil des années, il continue de s'étoffer : voici les dernières nouveautés ajoutées par Microsoft !
Autant vous le dire dès maintenant : les fonctionnalités évoquées dans cet article ne sont pas encore disponibles dans la version stable de l'Outil capture d'écran. Toutefois, cet aperçu des nouveautés publié par le leaker PhantomOcean3 montre que Microsoft est bien sur le point de faire évoluer l'outil de capture d'écran intégré à Windows 11.
La version 11.2312.33.0 de l'Outil capture d'écran intègre de nouveaux outils d'annotations qui viennent s'ajouter à ceux déjà présents. Nous allons voir la possibilité d'ajouter des formes de différentes couleurs sur les copies d'écran que ce soit des carrés, des cercles, des lignes, mais aussi des flèches, afin de pouvoir mettre en évidence facilement un élément. Pour chaque élément, l'utilisateur peut choisir la couleur de son choix. C'est une fonctionnalité clé qui manquait vraiment à l'outil de Microsoft, en comparaison des outils tiers.
Voici la vidéo publiée sur X (Twitter) par l'utilisateur PhantomOcean3 où nous pouvons voir ces nouveautés en action :
Coming soon to Snipping Tool: you will be able to add shapes such as circles and arrows to images you are editing! pic.twitter.com/JaEGsSERhQ
Pour que cet outil puisse tenter de s'imposer face aux logiciels tiers dont c'est la fonction principale, il manque encore quelques fonctionnalités, à commencer par la possibilité de pouvoir flouter facilement une zone, ce qui est utile pour cacher des informations sensibles. Un système de "tampon" qui permettrait de faire une numérotation facilement serait également un plus quand on prend des copies d'écran afin de faire un tutoriel.
Si ce n'est pas déjà le cas, cette nouvelle version devrait être disponible dans une build Windows 11 disponible via le programme Windows Insider avant d'être publiée auprès de tous les utilisateurs. A suivre...
(@PhantomOfEarth)