Des chercheurs universitaires ont mis au point une nouvelle technique d'attaque nommée Terrapin qui affecte l'une des solutions d'administration à distance les plus populaires : OpenSSH. Au total, trois nouvelles failles de sécurité sont exploitées !
Les chercheurs en sécurité de l'Université de la Ruhr à Bochum (Allemagne) ont mis au point la technique Terrapin. Elle exploite plusieurs faiblesses dans OpenSSH désormais identifiées par trois références CVE : CVE-2023-48795, CVE-2023-46445 et CVE-2023-46446.
Pour que cette attaque puisse fonctionner, l'attaquant doit se trouver en position de man-in-the-middle (MiTM), au niveau de la couche réseau, afin de pouvoir intercepter et modifier l'échange entre le client SSH et le serveur SSH, au moment de la "poignée de main" (handshake) via une injection de paquets. Autre condition pour que l'attaque soit possible : la connexion doit être sécurisée avec ChaCha20-Poly1305 ou CBC avec "Encrypt-then-MAC". Cette attaque permettrait de porter atteinte à l'intégrité des données échangées, mais potentiellement d'exécuter du code à distance.
Les chercheurs en sécurité estiment que cette attaque est réalisable dans un scénario réel. "L'attaque Terrapin exploite les faiblesses du protocole de couche de transport SSH en combinaison avec les nouveaux algorithmes cryptographiques et modes de chiffrement introduits par OpenSSH, il y a plus de 10 ans", peut-on lire sur le site officiel de l'attaque Terrapin.
En complément, une analyse effectuée par les chercheurs a révélé que 77% des serveurs avec le service SSH exposé sur Internet prennent en charge au moins un des algorithmes de chiffrement vulnérables.
Comment se protéger ? Ma machine est-elle vulnérable ?
Tout d'abord, il faut savoir que toutes les versions d'OpenSSH antérieures à la version 9.6 sont vulnérables. Cette nouvelle version est disponible depuis le 18 décembre 2023, et il s'agit avant tout d'une mise à jour de sécurité, comme le montre la note de version officielle.
Sur le site Internet dédié à cette attaque, les chercheurs ont répondu "Presque tout le monde" à la question "Qui est vulnérable ?". La bonne nouvelle, c'est qu'un outil est à disposition des utilisateurs de Linux, Windows et macOS afin d'analyser leur système et vérifier si leur système est vulnérable à l'attaque Terrapin. L'outil est accessible sur ce dépôt GitHub.
Désormais, ce sont les différents éditeurs qui doivent aider les utilisateurs en diffusant cette nouvelle version d'OpenSSH. Bien qu'il y a un risque réel, n'oublions pas que cette attaque implique plusieurs prérequis (dont le MiTM) !
Une nouvelle fonctionnalité de géolocalisation des contacts a été introduite dans l'application Google Contacts pour Android. Grâce à elle, vous pouvez localiser votre famille, vos amis, en temps réel !
Rassurez-vous : pour qu'un utilisateur puisse être géolocalisé en temps réel, la fonction doit être activée dans les paramètres de l'application Google Contacts. Sur Android, vous devez utiliser Google Contacts en version 4.22.37.586680692 ou supérieur pour bénéficier de cette nouveauté.
Si l'un de vos contacts prend la décision de partager son emplacement actuel, sa position sera partagée par l'intermédiaire de Google Maps et elle sera visible dans les propriétés de la fiche contact via un nouveau bloc "Google Maps". Ce bloc d'informations indique la position actuelle du contact et se met à jour en temps réel.
Ceci implique que l'adresse du compte Google de la personne soit enregistrée dans sa fiche contact, dans le champ prévu à cet effet. Chaque utilisateur peut prendre la décision de démarrer ou stopper ce service à tout moment. D'ailleurs, un nouveau bouton nommé "Partage de localisation" a pris part aux côtés des boutons habituels (appel vocal, message texte, appel vidéo).
Afin de respecter la confidentialité des utilisateurs (et d'économiser la batterie du smartphone), il est à noter qu'une session de partage de localisation ne peut durer que 60 minutes au maximum.
Cette nouvelle fonctionnalité introduite par Google permettra d'avoir l'esprit plus tranquille dans diverses situations : certains parents ne diront pas le contraire. Pour autant, la fonction n'est pas innovante pour autant, car il y a déjà des fonctions similaires dans d'autres applications, dans WhatsApp et Messenger par exemple, même si l'intégration est différente.
Cette fonctionnalité est actuellement en cours de déploiement dans Google Contacts. Si vous voyez pas encore cette nouveauté, patientez et attendez que la nouvelle version de l'application soit disponible sur votre appareil Android.
Une nouvelle campagne de phishing cible Instagram et elle présente la particularité de chercher à voler les codes de secours des utilisateurs du réseau social de Meta ! Grâce à ces précieux codes, les pirates peuvent contourner l'authentification à deux facteurs ! Voici ce que l'on sait.
Pour protéger son compte utilisateur, que ce soit celui sur Instagram ou ailleurs, il est recommandé de configurer l'authentification à deux facteurs (2FA/MFA) dès que c'est possible. Ceci permet de mieux protéger l'accès à son compte utilisateur notamment en cas de fuite d'un identifiant et d'un mot de passe.
Bien souvent, lors de la configuration du MFA, le service ou l'application en question fournit à l'utilisateur un ensemble de codes de secours permettant d'avoir une solution de replie si le second facteur d'authentification est "inaccessible". Par exemple, si vous utilisez la méthode par SMS ou TOTP mais que votre téléphone est totalement hors service. Dans ce cas, le code de secours permet de valider le second facteur d'authentification.
Bien que pratique dans certaines situations, ces codes représentent également un risque et les cybercriminels l'ont bien compris. Depuis plusieurs années maintenant, les cybercriminels ont mis au point différentes techniques permettant d'outrepasser le MFA afin de continuer à compromettre les comptes des utilisateurs.
Source : Trustwave
Instagram : collecte d'identifiants, de mots de passe et de codes de secours 2FA
Les analystes de chez Trustwave ont repéré des attaques basées sur une campagne de phishing dont l'objectif est de voler ces fameux codes. Pour cela, les utilisateurs reçoivent un e-mail aux couleurs de Meta faisant référence à une violation des droits d'auteur sur l'une de leurs publications Instagram, ce qui a mené à la restriction du compte Instagram. Si, pris de panique, l'utilisateur clique sur le lien, il est redirigé vers une page contrôlée par les pirates où on lui demande de remplir un formulaire d'appel pour résoudre le problème !
Pendant ce processus, la page "Meta Portal" demande à l'utilisateur de saisir son identifiant, son mot de passe, puis on lui demande si son compte est protégé par l'authentification à deux facteurs. Si l'utilisateur répond oui, il est invité à saisir un code de secours à 8 chiffres, comme le montre l'image ci-dessous. Ainsi, les cybercriminels ont tous les éléments en leur possession pour prendre le contrôle du compte.
Source : Trustwave
Bien qu'il y ait plusieurs éléments qui permettent de détecter cette arnaque, il est fort probable, que dans l'urgence, des utilisateurs se soient fait piéger. Posez-vous les bonnes questions : pourquoi me demande-t-on un code de secours 2FA si je suis en mesure d'utiliser mon second facteur d'authentification habituel ?
Vous avez des problèmes de connexion Wi-Fi sous Windows 11 suite à l'installation de la mise à jour de décembre 2023 ? Sachez que Microsoft a résolu le problème ! Voici ce qu'il faut savoir !
Suite aux nombreux signalements des utilisateurs, notamment sur Reddit, X (ex-Twitter) et sur son forum, Microsoft s'est penché sérieusement sur le problème de connectivité Wi-Fi affectant les utilisateurs de Windows 11. Désormais, nous avons que ce problème affecte uniquement Windows 11 22H2 et Windows 11 23H2 lorsque la mise à jour KB5033375 est installée. Ce problème peut se produire également avec la mise à jour KB5032288, qui est la mise à jour "preview" qui contient les mêmes correctifs que la KB5033375 (hormis ceux liés à la sécurité).
Microsoft a également confirmé que ceci impactait uniquement certains réseaux Wi-Fi, notamment ceux que l'on est susceptible d'utiliser en entreprise : "Vous êtes plus susceptible d'être affecté par ce problème si vous essayez de vous connecter à un réseau Wi-Fi d'entreprise, d'éducation ou public utilisant l'authentification 802.1x. Ce problème n'est pas susceptible de se produire sur les réseaux domestiques.", peut-on lire sur cette page.
Microsoft évoque l'authentification 802.1x, ce qui est différent du premier diagnostic effectué par la communauté : l'option fast roaming (norme IEEE 802.11r) était plutôt dans le viseur.
Comment résoudre le problème ?
Pour résoudre ce problème, Microsoft s'est appuyé sur son service KIR (Known Issue Rollback). Pour rappel, l'objectif de la fonctionnalité KIR est de rétablir le bon fonctionnement d'une machine dans le cas où des dysfonctionnements sont détectés. Sur les appareils non managés et ceux du grand public, le correctif est diffusé automatiquement et ceci peut prendre jusqu'à 24 heures pour être déployé sur l'ensemble des appareils concernés.
En environnement professionnel, la procédure est différente : "Pour les appareils gérés par l'entreprise qui ont installé une mise à jour affectée et qui ont rencontré ce problème, celui-ci peut être résolu en installant et en configurant une stratégie de groupe spéciale.", précise Microsoft.
En l'occurrence, vous devez télécharger ce package MSIpour obtenir le package "Windows 11 22H2 KB5032288 231029_032011 Known Issue Rollback" permettant de bénéficier d'un nouveau paramètre sous "Configuration ordinateur" puis "Modèles d'administration".
L'entreprise américaine précise bien que : "Pour résoudre ce problème, vous devez installer et configurer la stratégie de groupe correspondant à votre version de Windows." - Pour en savoir plus, vous pouvez consulter la documentation officielle :
Dans ce tutoriel, nous allons voir comment désactiver la protection anti-virus et anti-malware de Windows Defender sur Windows 11 ou Windows 10, bien qu'il y ait des différences entre les deux systèmes d'exploitation.
Pourquoi vous proposer de désactiver Windows Defender ? Ceci peut s'avérer utile pour tester certains outils de sécurité ou faire quelques démonstrations techniques sans être bloqué par Windows Defender. Bien entendu, je vous recommande de laisser actif Windows Defender (Microsoft Defender), et d'effectuer vos tests dans une machine virtuelle ou une machine physique isolée.
Sur votre machine en production, ne désactivez pas Windows Defender à moins d'avoir une autre solution de protection que vous souhaitez installer à la place (en principe la cohabitation est possible !).
Sachez que si vous avez besoin d'autoriser un fichier spécifique, vous pouvez aussi créer une exclusion. Vous pouvez vous référer à la documentation de Microsoft.
II. Désactiver temporairement Windows Defender
Sur votre machine Windows 11, recherchez "Sécurité Windows" puisqu'il s'agit du nom donné au centre de contrôle correspondant à Defender. En effet, dans "Sécurité Windows" vous pouvez gérer et configurer l'ensemble des modules de protection de Windows Defender.
Sur la gauche, cliquez sur "Protection contre les virus et menaces".
Une fois dans la section "Protection contre les virus et menaces", cliquez sur "Gérer les paramètres".
Ici, vous devez désactiver les différents modules de protection comme "Protection en temps réel" et "Protection dans le Cloud", ainsi que ceux plus bas dans la page.
À partir de ce moment-là, la protection contre les menaces est désactivée dans Windows Defender, ce qui vous permet de faire vos tests ! Le problème, c'est qu'au prochain redémarrage, le module "Protection en temps réel" sera réactivé automatiquement par Windows ! Il y a un service qui va relancer la protection et vous embêter... C'est pour cette raison que la prochaine partie de l'article explique comment désactiver Defender de façon permanente !
III. Désactiver Windows Defender (permanent)
Il existe plusieurs méthodes pour désactiver Microsoft Defender de façon permanente : via le Registre Windows, via l'application Autoruns, et la configuration par stratégie de groupe. Pour cet exemple, c'est la méthode basée sur les paramètres de stratégies de groupe qui est expliquée, ce qui correspond à la stratégie locale d'une machine Windows.
Avant toute chose, vous devez veiller à bien désactiver le module "Protection contre les falsifications" en cliquant sur "Gérer les paramètres" sous "Protection contre les virus et menaces", sinon les paramètres de stratégie locale ne s'appliqueront pas.
Une fois que c'est fait, recherchez "gpedit.msc" dans la zone de recherche Windows et validez.
Ceci va permettre d'ouvrir la console "Éditeur de stratégie de groupe locale". Parcourez les paramètres :
Configuration ordinateur > Modèles d'administration > Composants Windows > Antivirus Microsoft Defender
Nous avons un paramètre à activer à cet endroit, et un autre sous "Protection en temps réel".
Commencer par activer le paramètre nommé "Désactiver l'antivirus Microsoft Defender".
Puis, en cliquant sur "Protection en temps réel", recherchez le paramètre nommé "Désactiver la protection en temps réel" afin de l'activer également.
Pour finir, il est recommandé de désactiver quatre tâches planifiées liées à Windows Defender et que vous pouvez retrouver dans le Planificateur de tâches de Windows.
Commencez par ouvrir la console "Planificateur de tâches" que vous pouvez rechercher à partir du menu Démarrer. Parcourez l'arborescence de cette façon :
Microsoft > Windows > Windows Defender
Ici, sélectionnez les quatre tâches planifiées, effectuez un clic droit et cliquez sur "Désactiver".
Windows Defender Cache Maintenance
Windows Defender Cleanup
Windows Defender Scheduled Scan
Windows Defender Verification
Voilà, c'est tout pour Windows 10 (certaines versions) et Windows Server 2016. Mais, à partir de Windows 10 version 1903 et Windows 11, cette technique par GPO n'est pas suffisamment efficace. Nous devons effectuer d'autres modifications. D'un côté ceci est rassurant, cela veut dire que Defender est plutôt "résistant".
Vous devez redémarrer votre PC en mode sans échec de façon à pouvoir désactiver le démarrage de certains services. Accédez à "msconfig" (Configuration du système), cliquez sur "Démarrer" et cochez l'option "Démarrage sécurisé" (en mode minimal). Cliquez sur "OK" et validez redémarrez votre PC.
La machine peut mettre plusieurs minutes à redémarrer. Quand c'est fait, connectez-vous et vous aurez accès à votre session en mode sans échec. Ouvrez le Registre Windows, afin de changer l'état de plusieurs services. Parcourez l'arborescence du Registre comme ceci :
Ici, vous devez désactiver le démarrage de plusieurs services Windows. Pour cela, recherchez le service dans la liste, cliquez dessus et modifiez la valeur de Registre "Start" correspondante à chaque service pour lui attribuer la valeur "4". Voici la liste des services (dans l'ordre que vous pourrez les trouver) à modifier :
Sense
WdBoot
WdFilter
WdNisDrv
WdNisSvc
WinDefend
Voici un exemple avec le service "Sense" :
Petite parenthèse : par la suite, si vous souhaitez revenir en arrière, vous devez remettre les valeurs d'origines. Voici la liste, pour info :
Sense : 3
WdBoot : 0
WdFilter : 0
WdNisDrv : 3
WdNisSvc : 3
WinDefend : 2
Quand c'est fait, vous devez désactiver le mode sans échec et redémarrer la machine. Retournez dans "msconfig" afin de décocher l'option "Démarrage sécurisé".
Après redémarrage de Windows 11, vous verrez que la protection en temps réel est désactivée et Windows Defender n'est pas actif ! Si vous ne l'aviez pas encore fait, vous devez désactiver les tâches planifiées mentionnées ci-dessus.
IV. Conclusion
Pour désactiver la protection Microsoft Defender, à vous de choisir entre la méthode temporaire et la méthode permanente, selon vos besoins. Désormais, vous êtes en mesure de pouvoir réaliser vos tests sans être perturbé par les blocages de Defender toutes les 2 minutes... Sur une machine virtuelle, effectuez un snapshot avant de commencer à agir sur le système, ce qui vous permet de restaurer la machine virtuelle à un état antérieur afin de repartir sur une base saine avant votre prochain test.
