learn.hack.repeat

Étiquette : Microsoft Page 2 of 8

Azure AD Identity Protection

Microsoft lance une nouvelle fonctionnalité de sécurité pour Azure Active Directory : Azure AD Identity Protection

Source: Pexels

Microsoft a récemment annoncé le lancement d’Azure AD Identity Protection, une nouvelle fonctionnalité de sécurité pour Azure Active Directory. Cette fonctionnalité vise à renforcer la sécurité des identités en utilisant l’intelligence artificielle et l’apprentissage automatique pour détecter et empêcher les menaces en temps réel.

Les menaces pour la sécurité des identités sont en constante augmentation et peuvent entraîner des dommages graves pour les entreprises, tels que la perte de données confidentielles, le vol d’identité et la diffusion de logiciels malveillants. Pour lutter contre ces menaces, Microsoft a développé Azure AD Identity Protection, qui utilise l’intelligence artificielle pour analyser en temps réel les activités d’identification et détecter les anomalies.

Lorsqu’une anomalie est détectée, Azure AD Identity Protection envoie une notification à l’administrateur pour prendre des mesures appropriées. Les administrateurs peuvent également définir des politiques pour bloquer automatiquement les activités suspectes, telles que les connexions à partir d’emplacements géographiques inhabituels ou les modifications apportées aux informations d’identification.

Azure AD Identity Protection offre également des rapports détaillés sur les menaces détectées et les mesures prises pour les résoudre. Les administrateurs peuvent utiliser ces rapports pour évaluer les risques et améliorer la sécurité des identités au fil du temps.

En plus de renforcer la sécurité des identités, Azure AD Identity Protection offre également d’autres avantages, tels que la simplification de la gestion des comptes d’utilisateurs et la réduction des coûts liés à la gestion de la sécurité des identités. La fonctionnalité est facile à utiliser et peut être activée ou désactivée à tout moment par l’administrateur.

En conclusion, Azure AD Identity Protection est une solution innovante pour renforcer la sécurité des identités dans Azure Active Directory. Avec sa capacité à détecter et empêcher les menaces en temps réel, cette fonctionnalité offre une protection supplémentaire pour les utilisateurs de Azure Active Directory. Microsoft continue de se concentrer sur la sécurité et d’innover pour offrir les meilleures solutions de protection pour ses utilisateurs.

Plus d’information:
https://learn.microsoft.com/en-us/azure/active-directory/identity-protection/overview-identity-protection

Patch Tuesday

Le premier lot de correctifs de Microsoft en 2023 commence fort. Il corrige 98 vulnérabilités. 11 d’entre eux sont critiques. L’une d’elles était déjà connue et une élévation de privilège (CVE-2023-21674) est déjà exploitée par des attaquants. Celle qui était déjà connue est celle qui affecte le service Windows SMB Witness (CVE-2023-21549), qui permettrait également une élévation de privilèges.

Source: pexels.com

Une autre vulnérabilité notable (et liée à l’élévation des privilèges) est la CVE-2023-21561, dans les services cryptographiques (il y en a d’autres, moins graves, dans le même module). Celle-ci permettrait de sortir de l’environnement plus restreint d’AppContainer jusqu’à l’obtention des permissions SYSTEM.

Sept autres ont été corrigés et entraînent l’exécution de code. Les problèmes de la file d’attente d’impression sont à nouveau résolus. Trois élévations de privilège. Au fait, l’un d’entre eux, CVE-2023-21678, a été signalé par la NSA. C’est le troisième en peu de temps que cette agence a découvert.

Deux bugs sont également importants dans Exchange : CVE-2023-21762 et CVE-2023-21745, qui est généralement une cible prioritaire pour les attaquants.

Plus d’information:
https://msrc.microsoft.com/update-guide/

In the end

Windows 7 cessera de recevoir des mises à jour de sécurité ce mois-ci. Windows 8.1 les perdra également ce jour-là, mais comme pour Vista, l’impact est beaucoup plus faible. Quelque 11% de Windows sont des Windows 7, tandis qu’il reste moins de 3% de Windows 8 et 8.1. Chrome cessera également de fournir un support de sécurité sur ces systèmes d’exploitation en février.

Source: microsoft.com

Bien qu’ils ne soient plus disponibles à partir de 2020, le fait de ne pas recevoir de correctifs fait de près de 15 % de la flotte Windows un problème potentiel de cybersécurité, non seulement pour eux-mêmes, mais aussi pour d’éventuels problèmes de vers. À tel point que, par exemple, bien qu’abandonné depuis longtemps, Microsoft a publié en 2017 un correctif pour XP afin de tenter de stopper la propagation de Wannacry.

L’alternative est de passer à Windows 10, mais si l’on considère qu’il sera également abandonné en 2025, la marge n’est pas grande.

Plus d’information:
https://learn.microsoft.com/en-gb/lifecycle/products/windows-7

Des attaques contre des VM Azure via Azure Bastion

Actuellement, les utilisateurs d’Azure ont la possibilité de se connecter à leurs serveurs bastion via des connexions SSH et RDP avec un client natif ou en utilisant l’interface web. Cependant, il est possible d’effectuer des attaques contre les VM Azure via Azure Bastion et son client natif.

Source: Microsoft

D’après la documentation de Microsoft, il existe deux options par lesquelles un utilisateur peut établir une connexion avec le client natif à un serveur bastion. Celui qui peut être utilisé par un attaquant est celui dans lequel un plus grand nombre d’options concernant la connexion peuvent être spécifiées :

az network bastion tunnel --name "" --resource-group "" --target-resource-id "" --resource-port "" --port ""

Lorsque vous exécutez la commande ci-dessus, Azure CLI crée un tunnel et écoute sur un port local. C’est en se connectant à ce port local avec le client natif que l’utilisateur accède à la VM interne via le protocole utilisé (par exemple RDP).

Session RDP via un client natif
Source: Codyburkard.com

Pour comprendre le processus d’attaque, il faut d’abord voir comment se déroule le flux de travail du client natif :

Flux de travail du client natif d’Azure Bastion.
Source de l’image : Codyburked.com

Après avoir reçu une commande via l’API pour démarrer une nouvelle session, Azure Bastion effectue trois actions :

  • Crée une connexion TCP entre le serveur Bastion et la VM cliente, sur le port spécifié dans la requête API.
  • Il crée une nouvelle clé de session associée à ce port.
  • Il accepte une nouvelle connexion websocket en utilisant la clé de session, et transfère toutes les informations de la connexion websocket à la connexion TCP de la VM interne.

Du côté client, Azure CLI effectue les opérations suivantes :

  • Écoute sur un port local.
  • Il accepte les nouvelles connexions sur ce port, et pour chaque connexion, il appelle l’API du service de base pour démarrer une nouvelle session, comme décrit ci-dessus.
  • Il crée un nouveau thread qui transfère toutes les informations reçues sur la nouvelle connexion au tunnel websocket vers le bastion.

Ainsi, en activant cette configuration, les utilisateurs finaux peuvent communiquer directement avec la VM interne par le biais d’une connexion websocket, un processus complètement différent de celui d’un serveur de bastionnement traditionnel, qui ne communique que par le biais du protocole du service utilisé pour l’accès à distance (RDP ou SSH, dans ce cas).

En outre, le fait de pouvoir spécifier un port signifie que les services internes de la VM peuvent être analysés à l’aide d’Azure Bastion, et que les ports qui exposent des services vulnérables peuvent être accessibles et exploités par toute personne demandant une session de bastionnement pour une VM particulière.

Toutefois, pour pouvoir mener des attaques contre les VM Azure via Azure Bastion, l’utilisateur en question doit disposer d’un certain nombre d’autorisations et de conditions préalables :

  • Un rôle RBAC Azure en lecture doit être attribué à la VM.
  • Un rôle RBAC Azure en lecture doit être attribué à la carte réseau associée à l’adresse IP privée.
  • Un rôle RBAC Azure en lecture doit être attribué au service Azure Bastion.
  • Le réseau doit inclure des routes qui permettent au sous-réseau Azure Bastion de communiquer avec la VM, soit sur le même VNet, soit via un peering VNet.

Les recommandations pour prévenir ce type d’attaque comprennent la désactivation du support du client natif des services de bastionnement. Toutefois, si cela n’est pas possible, les mesures suivantes peuvent être prises pour atténuer le problème dans une certaine mesure :

  • Assurez-vous que le sous-réseau sur lequel Azure Bastion est déployé possède un groupe de sécurité réseau (NSG) associé, afin que la connectivité soit limitée aux ports 3389 et 22.
  • Limitez le nombre d’utilisateurs qui ont un accès RBAC en lecture à une ressource privilégiée, comme le groupe admin root.
  • Incluez une règle NSG sur le sous-réseau de base qui limite la connectivité à une adresse IP spécifique ou à de petites plages de sous-réseau.

Plus d’information:
https://codyburkard.com/blog/bastionabuse/

Hive Ransomware extorque 1300 entreprises

Le monde évolue, et les créateurs de logiciels malveillants n’en font pas moins, au point que l’on parle déjà dans le monde de « Ransomware-as-a-service » (Raas), le moyen qu’ils ont de monétiser leurs activités criminelles. Dans ce cas, Hive Ransomware extorque de l’argent à 1 300 entreprises.

Source: Bleeping Computer

Le modus operandi de cette activité illicite consiste à détourner un ordinateur en exploitant une vulnérabilité, qu’elle soit logicielle ou humaine, puis à exiger une rançon pour débloquer ce détournement si la victime veut que son ordinateur fonctionne à nouveau.

Lorsque la machine est infectée, le logiciel malveillant crée un document dans lequel il guide la victime sur la manière de récupérer sa machine, étape par étape, bien sûr, pour effectuer un paiement. Cela ressemble à ce qui suit:

Aujourd’hui, une attaque a cours dans laquelle Hive Ransomware extorque 1300 entreprises dans le monde entier, collectant 100 millions de dollars rien qu’en novembre 2022. Ces paiements sont totalement illicites.

Selon les services de renseignement américains, la cible de l’attaque n’a pas été filtrée, touchant tout type d’acteur, des entreprises d’infrastructure aux entreprises de soins de la santé, ce qui permet de constater l’ampleur et la criticité de l’attaque.

Le point d’exploitation semble avoir été des failles de sécurité dans le ProxyShell de Microsoft Exchange Server.

En plus de cette faille de sécurité, il existe également des contournements de moteurs antivirus ainsi que certaines mesures de sécurité de Windows.

Selon l’Agence pour la cybersécurité, les infrastructures et la sécurité (CISA), les acteurs qui ont restauré des systèmes sans paiement ont été réinfectés.

Plus d’information:
https://thehackernews.com/2022/11/hive-ransomware-attackers-extorted-100.html
https://www.cisa.gov/uscert/sites/default/files/publications/aa22-321a_joint_csa_stopransomware_hive.pdf

Page 2 of 8

Fièrement propulsé par WordPress & Thème par Anders Norén