Une nouvelle fois, Microsoft a pris la décision de désactiver l'appel du protocole MSIX dans les applications dans le but de renforcer la sécurité des utilisateurs. En effet, plusieurs groupes de cybercriminels l'exploitent pour distribuer des logiciels malveillants. Faisons le point !

D'après Microsoft, les cybercriminels exploitent fréquemment la faille de sécurité CVE-2021-43890 présente dans l'installeur Windows AppX pour déployer des malwares en passant outre les systèmes de protection de Windows (notamment SmartScreen). Ceci peut passer par la diffusion de publicités malveillantes pour des logiciels populaires, mais également des messages sur Microsoft Teams. Les malwares prennent la forme d'un package d'application au format MSIX, signé et malveillant.

En février 2022, Microsoft avait déjà pris la décision de désactiver l'appel du protocole MSIX, notamment car il était exploité par le malware Emotet qui se propageait sous la forme d'un package MSIX d'Adobe PDF malveillant. On pourrait également citer deux autres malwares qui s'appuient sur cette méthode : Bazarloader et Trickbot.

Un changement opéré le 28 décembre 2023

Le 28 décembre 2023, Microsoft a annoncé avoir désactivé cette fonctionnalité dans l'installeur Windows AppX. Ce qui est étonnant d'un côté, et nous ne savons pas quand et pourquoi Microsoft avait réactivé cette méthode entre février 2022 et décembre 2023.

"Le 28 décembre 2023, Microsoft a mis à jour CVE-2021-43890 afin de désactiver le schéma URI (protocole) de ms-appinstaller par défaut, dans le cadre d'une réponse de sécurité visant à protéger les clients contre les techniques évolutives des attaquants contre les mesures précédentes. Cela signifie que les utilisateurs ne pourront plus installer une application directement à partir d'une page web en utilisant le programme d'installation de paquets MSIX.", peut-on lire sur le site de Microsoft.

Désormais, l'installation devra se faire en deux temps : d'abord, il faudra télécharger le package, puis lancer son installation manuellement. Ceci est important, car cela permettra à la solution de sécurité présente sur la machine d'analyser le package. À ce sujet, Microsoft précise : "Au lieu de cela, les utilisateurs devront d'abord télécharger le paquet MSIX pour l'installer, ce qui garantit que les protections antivirus installées localement fonctionneront."

Comment se protéger ?

Ce changement est intégré à l'application "App Installer" de Microsoft à partir de la version 1.21.3421.0. Il s'agit d'une version datant de plusieurs mois, donc si vous mettez à jour régulièrement vos machines, vous devriez être protégé. Toutefois, cette commande PowerShell vous permettra d'obtenir la version d'App Installer sur votre machine :

(Get-AppxPackage Microsoft.DesktopAppInstaller).Version

Si besoin, vous pouvez mettre à jour l'App Installer via WinGet à l'aide de cette commande :

winget upgrade Microsoft.AppInstaller

Vous avez également la possibilité de configurer un paramètre par stratégie de groupe dans le but de désactiver la fonction d'appel du protocole MSIX. La firme de Redmond précise que le paramètre suivant doit être désactivé :

• Computer Configuration > Administrative Templates > Windows Components > Desktop App Installer > Enable App Installer ms-appinstaller protocol

Source

The post Microsoft désactive le protocole MSIX sur Windows pour vous protéger de certains malwares first appeared on IT-Connect.

I. Présentation

Dans cet article, nous allons découvrir l'outil ADRecon pour Active Directory Recon qui va permettre de collecter différentes informations à partir d'un annuaire Active Directory.

ADRecon va générer un rapport Excel qui va contenir un ensemble d'informations au sujet de l'environnement Active Directory analysé, notamment celles-ci :

• Domaines, forêts, sites, relations d'approbations, sous-réseau
• Liste des contrôleurs de domaine (OS, adresse IP, rôles FSMO, versions SMB supportées, SMB signing, etc.)
• Politiques de mots de passe (y compris les stratégies de mots de passe affinées)
• Liste des unités d'organisation
• Liste des utilisateurs, des groupes et des membres des groupes
• Liste des ordinateurs
• Liste des comptes de services
• Liste des imprimantes
• Informations sur les stratégies de groupe (GPO)
• Informations au sujet de LAPS et des clés de récupération BitLocker
• Liste des permissions (SACLs / DACLs)
• Zones DNS, enregistrements DNS
• Un ensemble de statistiques et d'indicateurs au sujet des utilisateurs et des ordinateurs

L'outil ADRecon est utile pour les administrateurs systèmes, les auditeurs, les pentesters, etc...Tout dépend dans quel contexte il est utilisé et ce que l'on souhaite faire des données collectées. En quelques secondes, l'outil ADRecon va permettre de créer un inventaire de la configuration et des objets de l'Active Directory à l'instant t.

Pour en savoir plus, consultez le GitHub du projet :

• GitHub - ADRecon

II. La valeur des informations de l'Active Directory

Grâce à la récupération d'informations sensibles à partir de l'Active Directory, il devient possible d'identifier plus facilement les points faibles du domaine Active Directory, ainsi que les comptes avec des privilèges élevés, ou les éventuels erreurs de configuration (une ACL trop permissive, une GPO avec un script qui intègre un mot de passe, une politique de mots de passe faible, etc...).

III. Découverte d'un annuaire Active Directory avec ADRecon

La première étape consiste à télécharger l'archive ZIP du projet ADRecon à partir du GitHub officiel (ou à effectuer un git clone) afin de récupérer les sources du projet. Sachez que sur une machine Windows (testé sur Windows 11 et Windows Server 2022), l'outil affole directement Windows Defender. Donc, si vous l'utilisez de façon légitime, vous devez créer une exception dans la quarantaine.

Une fois le prompt positionné dans le répertoire "ADRecon-master", vous pouvez exécuter ADRecon. Il est possible que la politique d'exécution de la machine locale bloque l'exécution du script PowerShell, dans ce cas, nous l'exécuterons au travers d'un processus PowerShell exécuté en mode "bypass.

.\ADRecon.ps1
# ou
Powershell.exe -ExecutionPolicy bypass -File adrecon.ps1

Ensuite, il suffit de patienter quelques secondes pendant l'exécution du rapport. Dans le cas présent, ADRecon est exécuté avec un utilisateur standard, c'est-à-dire qu'il n'est pas admin du domaine !

Note : si les outils RSAT ne sont pas détectés (ce qui sera surement le cas sur un poste de travail), ADRecon va s'appuyer sur des requêtes LDAP.

Suite à l'exécution du rapport, nous obtenons un dossier contenant un rapport Excel et un ensemble de fichiers CSV correspondants à l'ensemble des données collectées.

Nous allons regarder de plus près le rapport Excel. Lorsqu'on l'ouvre, nous avons accès à un sommaire qui contient un ensemble de liens vers les différents onglets du classeur Excel. Ainsi, nous pouvons naviguer facilement afin d'avoir accès aux informations sur les utilisateurs, les ordinateurs, les groupes, etc.

Si nous prenons l'exemple de l'onglet "User Stats", il donne des indications intéressantes sur les comptes présents dans l'annuaire Active Directory, notamment le nombre de comptes activés, le nombre de comptes désactivés, mais aussi les comptes avec le "SID History", les comptes dormants, les comptes où le mot de passe n'expire jamais, etc.

Un autre onglet nommé tout simplement "Users" contient la liste de tous les utilisateurs de l'annuaire avec un ensemble d'informations à leur sujet.

Nous avons des onglets similaires pour d'autres objets, notamment les ordinateurs. Ceci regroupe aussi bien les postes de travail que les serveurs puisqu'ils partagent la même class dans l'annuaire Active Directory. Un onglet est dédié à l'inventaire des versions de Windows utilisées.

Par ailleurs, et dans un registre totalement différent, l'onglet "LAPS" permet de collecter les mots de passe "Administrateur" stockés dans l'Active Directory. Autrement dit, il vaut mieux que les droits de lecture des attributs LAPS soient bien gérés sinon cela peut être un vrai problème !

Au-delà de vous fournir la liste des stratégies de groupe, ADRecon récupère la liste de toutes les liaisons entre vos GPOs et vos OUs ! À chaque fois, la configuration du lien et de l'OU est intégrée (état de l'héritage, de l'option Enforced/Appliqué, de la liaison, etc.).

En résumé, le rapport généré par ADRecon contient une mine d'informations sur l'environnement Active Directory !

Sachez que vous pouvez cibler le contrôleur de domaine de votre choix et vous authentifier avec un compte précis, en exécutant ADRecon de cette façon :

.\ADRecon.ps1 -DomainController <adresse IP ou FQDN> -Credential <domaine\utilisateur>

En principe, vous pouvez également exécuter ADRecon à partir d'un ordinateur qui n'est pas joint au domaine Active Directory. Dans ce cas, l'authentification sera obligatoire (à moins que les accès anonymes soient autorisés...).

.\ADRecon.ps1 -Protocol LDAP -DomainController <adresse IP ou FQDN> -Credential <domaine\utilisateur>

Enfin, vous pouvez utiliser ADRecon avec la technique d'attaque Kerberoasting (qui vise à craquer le mot de passe d'un compte de service), en l'exécutant dans un mode spécifique où il va simplement générer un fichier CSV avec la liste des comptes vulnérables. Ce fichier CSV intégrera le hash prêt à l'emploi pour Hashcat et John the Ripper.

.\ADRecon.ps1 -Collect Kerberoast -OutputType CSV

IV. Conclusion

Bien que très bruyant, ADRecon est un outil très intéressant pour effectuer une collecte d'informations dans un annuaire Active Directory. Le rapport étant très complet, il sera utile dans plusieurs scénarios : un test d'intrusion, effectuer un état des lieux de son Active Directory (en prévision d'un peu de nettoyage, peut-être), etc.

Pour les utilisateurs de Microsoft Entra ID / Azure Active Directory, sachez qu'il existe une version dédiée à cet environnement : AzureADRecon.

The post ADRecon, un outil en PowerShell pour collecter des informations sur l’Active Directory first appeared on IT-Connect.

La société Ivanti a mis en ligne des mises à jour de sécurité afin de corriger 13 failles de sécurité critiques dans sa solution de gestion des appareils mobiles (MDM) : Ivanti Avalanche. Quels sont les risques ? Faisons le point !

Remarque : Ivanti Avalanche est une solution de gestion des appareils mobiles prenant en charge jusqu'à 100 000 appareils et permettant de déployer des logiciels, mettre à jour l'OS, gérer l'ensemble des appareils managés depuis une console unique.

Du côté d'Ivanti, la fin d'année 2023 est synonyme d'énorme mise à jour de sécurité pour sa solution Avalanche. Il s'agit de vulnérabilités critiques dont "certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.", comme le précise l'avis du CERT-FR. En effet, il y a 9 failles de sécurité critique permettant une exécution de code à distance !

Ces vulnérabilités, signalées par les chercheurs en sécurité de Tenable et la Zero Day Initiative de Trend Micro, se situent dans le composant "WLAvalancheService" de la solution Avalanche.

Sachez que de nombreuses versions sont affectées : "Ces vulnérabilités affectent toutes les anciennes versions d'Avalanche (confirmées jusqu'à la version 6.3.1, mais toutes les versions 6.X sont probablement concernées).", peut-on lire sur le site officiel d'Ivanti.

Comment se protéger ?

Toutes les vulnérabilités de sécurité divulguées dans le bulletin de sécurité d'Ivanti sont désormais corrigées dans Avalanche en version v6.4.2.313. Si vous avez besoin d'aide pour mettre à jour votre instance Avalanche, vous pouvez consulter la documentation officielle d'Ivanti.

Il est à noter que cette mise à jour corrige 13 failles de sécurité critiques, mais également 8 vulnérabilités importantes et 1 vulnérabilité moyenne. Au total, il y a donc une petite vingtaine de vulnérabilités comblées !

Mettez à jour rapidement si vous utilisez cette solution.

Source

The post 13 failles de sécurité critiques corrigées dans la solution MDM de chez Ivanti first appeared on IT-Connect.

Une mise à jour de sécurité a été déployée en urgence pour Google Chrome dans le but de corriger une faille de sécurité importante déjà connue et exploitée par les cybercriminels. Voici ce que l'on sait à son sujet !

Google a mis en ligne un nouveau bulletin de sécurité pour évoquer la faille de sécurité CVE-2023-7024 reportée, comme souvent, par Clément Lecigne et Vlad Stolyarov de l'équipe de chercheurs Google Threat Analysis. D'ailleurs, Google a corrigé cette vulnérabilité seulement quelques heures après en avoir eu connaissance : c'est appréciable !

Dans le bulletin de sécurité de l'entreprise américaine, nous pouvons lire : "Google sait qu'il existe un programme d'exploitation pour CVE-2023-7024 dans la nature." - Il s'agit d'une vulnérabilité de type "heap buffer overflow" découverte dans le framework open source WebRTC.

Ce framework étant très populaire, notamment car il permet la prise en charge du streaming (flux vidéo) dans les navigateurs : "WebRTC (Web Real-Time Communications) est une technologie qui permet aux applications et sites web de capturer et éventuellement de diffuser des médias audio et/ou vidéo, ainsi que d'échanger des données arbitraires entre les navigateurs sans passer par un intermédiaire.", peut-on lire sur le site de Mozilla.

Etant donné que WebRTC est implémenté au sein d'autres navigateurs, dont Microsoft Edge, Mozilla Firefox, et Safari, cette vulnérabilité pourrait les affecter également. Si c'est le cas, ces navigateurs auront surement le droit à une mise à jour.

Comment se protéger de la CVE-2023-7024 ?

Google a mis en ligne de nouvelles versions de Google Chrome pour Windows, macOS et Linux. Voici les nouvelles versions qui permettent de se protéger de cette vulnérabilité :

• Windows :120.0.6099.129/130
• Linux et macOS : 120.0.6099.129

En 2023, il s'agit de la 8ème faille de sécurité zero-day corrigée par Google dans son navigateur Chrome. Il y a des chances pour que ce soit la dernière pour cette année !

A vos mises à jour !

Source

The post Mettez à jour Google Chrome pour vous protéger de la faille de sécurité CVE-2023-7024 first appeared on IT-Connect.

Des chercheurs universitaires ont mis au point une nouvelle technique d'attaque nommée Terrapin qui affecte l'une des solutions d'administration à distance les plus populaires : OpenSSH. Au total, trois nouvelles failles de sécurité sont exploitées !

• Cours - Comprendre et maitriser SSH

Les chercheurs en sécurité de l'Université de la Ruhr à Bochum (Allemagne) ont mis au point la technique Terrapin. Elle exploite plusieurs faiblesses dans OpenSSH désormais identifiées par trois références CVE : CVE-2023-48795, CVE-2023-46445 et CVE-2023-46446.

Pour que cette attaque puisse fonctionner, l'attaquant doit se trouver en position de man-in-the-middle (MiTM), au niveau de la couche réseau, afin de pouvoir intercepter et modifier l'échange entre le client SSH et le serveur SSH, au moment de la "poignée de main" (handshake) via une injection de paquets. Autre condition pour que l'attaque soit possible : la connexion doit être sécurisée avec ChaCha20-Poly1305 ou CBC avec "Encrypt-then-MAC". Cette attaque permettrait de porter atteinte à l'intégrité des données échangées, mais potentiellement d'exécuter du code à distance.

Les chercheurs en sécurité estiment que cette attaque est réalisable dans un scénario réel. "L'attaque Terrapin exploite les faiblesses du protocole de couche de transport SSH en combinaison avec les nouveaux algorithmes cryptographiques et modes de chiffrement introduits par OpenSSH, il y a plus de 10 ans", peut-on lire sur le site officiel de l'attaque Terrapin.

En complément, une analyse effectuée par les chercheurs a révélé que 77% des serveurs avec le service SSH exposé sur Internet prennent en charge au moins un des algorithmes de chiffrement vulnérables.

Comment se protéger ? Ma machine est-elle vulnérable ?

Tout d'abord, il faut savoir que toutes les versions d'OpenSSH antérieures à la version 9.6 sont vulnérables. Cette nouvelle version est disponible depuis le 18 décembre 2023, et il s'agit avant tout d'une mise à jour de sécurité, comme le montre la note de version officielle.

Sur le site Internet dédié à cette attaque, les chercheurs ont répondu "Presque tout le monde" à la question "Qui est vulnérable ?". La bonne nouvelle, c'est qu'un outil est à disposition des utilisateurs de Linux, Windows et macOS afin d'analyser leur système et vérifier si leur système est vulnérable à l'attaque Terrapin. L'outil est accessible sur ce dépôt GitHub.

Désormais, ce sont les différents éditeurs qui doivent aider les utilisateurs en diffusant cette nouvelle version d'OpenSSH. Bien qu'il y a un risque réel, n'oublions pas que cette attaque implique plusieurs prérequis (dont le MiTM) !

Source

The post L’attaque Terrapin exploite plusieurs vulnérabilités dans SSH ! Un correctif est disponible ! first appeared on IT-Connect.