learn.hack.repeat

Étiquette : Microsoft Page 3 of 8

Microsoft corrige de graves problèmes d’authentification Windows Kerberos

de

On 18/11/2022

dans Sécurité

Source: SevenITblog

Récemment, Microsoft a publié des mises à jour facultatives pour corriger un problème qui provoque des échecs d’ouverture de session Kerberos et d’autres problèmes dans les contrôleurs de domaine d’entreprise Windows après l’installation des mises à jour cumulatives, publiées au cours du mois de novembre.

« Après l’installation des mises à jour du 8 novembre 2022 ou d’une version ultérieure sur les serveurs Windows avec le rôle de contrôleur de domaine, vous pouvez rencontrer des problèmes avec l’authentification Kerberos. » « Lorsque ce problème est rencontré, vous pouvez recevoir un événement d’erreur Microsoft-Windows-Kerberos-Key-Distribution-Key-Distribution-Center Event ID 14 dans la section Système du journal des événements sur votre contrôleur de domaine avec le texte suivant. »

Microsoft

Les scénarios d’authentification Kerberos concernés :

Publication d’un correctif pour les versions de Windows concernées

Les mises à jour OOB publiées sont uniquement disponibles via le catalogue Microsoft Update et ne seront pas proposées via Windows Update.

Redmond a publié des mises à jour cumulatives à installer sur les contrôleurs de domaine (aucune action n’est nécessaire du côté client) :

Windows Server 2022 : KB5021656
Windows Server 2019 : KB5021655
Windows Server 2016 : KB5021654

Microsoft a également publié des mises à jour autonomes qui peuvent être importées dans Windows Server Update Services (WSUS) et Microsoft Endpoint Configuration Manager :

Windows Server 2012 R2 : KB5021653
Windows 2012 Server : KB5021652
Windows 2008 Server SP2 : KB5021657

Cependant, il reste encore une plateforme à corriger, à savoir Windows Server 2008 R2 SP1. Selon Redmond, il devrait recevoir une mise à jour dédiée dans le courant de la semaine prochaine.

Plus d’information:
https://support.microsoft.com/en-us/topic/november-8-2022-security-update-kb5019081-4e51dca6-695b-4578-abf2-852cacea2d77
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-kerberos-auth-issues-in-emergency-updates/

toc-toc

de

On 28/07/2022

dans CVE

Microsoft a constaté une augmentation de la détection de portes dérobées basées sur des extensions de son serveur web Internet Information Services (IIS). La raison en est que les modules qui servent d’extensions à IIS sont parfaitement structurés pour camoufler un code malveillant qui passe sous la ligne radar des systèmes de détection des logiciels malveillants, y compris Microsoft Defender lui-même.

Pourquoi ? Les extensions IIS malveillantes sont programmées en C# et présentent généralement une structure logique minimale. Cela simplifie leur développement mais renforce également leur capacité de furtivité en générant le minimum d’activité nécessaire. Ils parviennent à passer inaperçus une fois qu’ils sont installés dans le système.

Mais malgré leur taille et leur fonctionnalité, ils sont capables de capturer des informations, de manipuler le trafic et d’ouvrir un shell web aux attaquants. Ils ne s’impliquent pas dans le système au-delà des domaines et des ressources du serveur web, évitant ainsi les endroits souvent visités par les logiciels malveillants.

L’article fournit des instructions sur la façon de déployer une stratégie défensive qui répond à ce cas particulier, ainsi que des indicateurs de compromission pour les extensions malveillantes connues.

Plus d’informations:
https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers/

The Office World

de

On 26/07/2022

dans CVE

Deux des bugs les plus importants de l’année sont apparus dans Office, et sont liés à de nouvelles façons d’exécuter du code dans Word ou Excel. La manipulation des appels de protocole intégrés permet l’exécution de code en dehors du contexte des macros. En janvier, nous avons encore eu des problèmes avec CVE-2021-40444 (protocole MSHTML) et en mai avec le dénommé Follina (protocole MSDT) qui permettait à nouveau l’exécution de code.

Cela a donné matière à réflexion : les macros ne sont-elles pas en train de devenir un vecteur d’attaque obsolète au profit de techniques plus sophistiquées, moins détectées et qui ont encore de beaux jours devant elles (on pense que les vulnérabilités liées à l’utilisation des protocoles intégrés dans Office vont continuer à apparaître). Mais il est intéressant de noter qu’une initiative de Microsoft a bouleversé cette idée à plusieurs reprises. En janvier, il a été annoncé que d’ici juin 2022, les macros seraient complètement bloquées pour les documents téléchargés sur le web. Et c’est ce qui s’est passé. Un message rouge beaucoup plus voyant est apparu pour tenter d’empêcher les utilisateurs d’activer les macros. Mais, juste en juillet, elle a annoncé qu’elle allait revenir sur ce changement. L’ancien « contenu admissible » était de retour. Les macros comme vecteur d’attaque avaient une pierre de moins sur leur chemin. Et nous disons « avait » car moins d’une semaine après l’annonce, il a encore changé d’avis : les macros sont à nouveau désactivées par défaut sans possibilité de les activer lorsqu’un utilisateur vient d’Internet. Espérons que ça reste ainsi. Il leur a fallu 25 ans pour prendre cette décision.

Plus d’information:
https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/bc-p/3566717

Microsoft piraté : LAPSUS$ vole son code source

de

On 25/03/2022

dans Sécurité

Microsoft a été piraté par le groupe de hackers LAPSUS$. Ce groupe de pirates a volé le code source de certains produits Microsoft. Le groupe cybercriminel LAPSUS$, célèbre pour avoir publié ses méfaits sur un canal Telegram, a volé des informations et extorqué de l’argent à Nvidia et Samsung le mois dernier. Sa prochaine cible était le géant technologique Microsoft.

Le groupe LAPSUS$ a rendu public via Telegram qu’il disposait du code source de Cortana et de Bing. Ce groupe a publié des informations confidentielles extraites des serveurs d’Ubisoft, Nvidia et Samsung. Ils leur ont également extorqué de l’argent en échange de ne pas rendre publiques les informations qu’ils ont obtenues sur eux. Dans le cas de Nvidia, les attaquants ont demandé quelque chose de très curieux, qu’ils débloquent certains aspects des cartes graphiques de l’entreprise pour les rendre plus adaptées au minage de crypto-monnaies.

Capture d’écran téléchargée par le groupe sur le canal Telegram de LAPSUS$.

Une capture d’écran de ce qui semblait être un accès au compte interne d’un développeur Microsoft est apparue sur le canal Telegram de LAPSUS$ dimanche. Cette capture d’écran semble provenir d’Azure DevOps. Le projet montré dans l’image mettait en évidence des dossiers portant les noms Bing_UX, Bing-Source, Cortana ; ce qui a fait naître des soupçons quant à l’accès à l’expérience utilisateur du moteur de recherche de Microsoft, au code source et au code de l’assistant intelligent du géant technologique. Cette image n’a été publique sur la chaîne Telegram du groupe que pendant quelques heures et a été supprimée par l’un des administrateurs de la chaîne. À sa place, on peut trouver le message « Supprimé pour l’instant, sera reposté plus tard ».

Capture d’écran du canal Telegram de LAPSUS$.

Depuis, Microsoft a mené une enquête à ce sujet. Il y a quinze jours, le groupe LAPSUS$ a posté sur le même canal qu’il recrutait des employés initiés. Ils ont indiqué qu’ils recherchaient un VPN ou un accès au bureau à distance pour de grandes entreprises dans différents secteurs. Dans ce message, ils mentionnent des entreprises de télécommunications, des entreprises de jeux vidéo ou de logiciels telles que IBM, Apple, EA ou Microsoft, etc. Cela peut être considéré comme une déclaration d’intention visant à découvrir les prochaines cibles du groupe cybercriminel.

Capture d’écran du canal Telegram de LAPSUS$.

Microsoft s’exprime sur l’attaque

Selon les dernières informations communiquées par Microsoft, aucune donnée client n’a été divulguée. Microsoft lui-même publie dans son blog que le groupe LAPSUS$ n’a compromis qu’un seul compte qui avait des autorisations d’accès limitées. En outre, ils soulignent que les équipes de réponse aux incidents ont agi rapidement pour éviter des problèmes majeurs.

Plus d’information:
https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/
https://www.vice.com/en/article/y3vk9x/microsoft-hacked-lapsus-extortion-investigating?&web_view=true

Le FBI et la CISA mettent en garde contre les dangers de WhisperGate et d’HermeticWiper

de

On 06/03/2022

dans Malware, Ransomware, Sécurité

Il y a quelques jours, j’ai publié un billet dans lequel je parlais de l’engagement de Microsoft à aider à protéger l’Ukraine en termes de cybersécurité contre les attaques de logiciels malveillants tels que FoxBlade. Aujourd’hui, le FBI et la CISA ont publié un nouveau rapport mettant en garde contre les dangers du WhisperGate et de l’HermeticWiper.

Dans le cas de WhisperGate, Microsoft a signalé qu’il s’agit d’un logiciel malveillant conçu pour ressembler à un rançongiciel, mais qui vise en fait à causer des dommages irréparables. Il s’agit d’un « wiper », un type de logiciel malveillant qui cherche à effacer complètement le disque dur de la machine affectée, en se débarrassant de toutes les informations et de tous les programmes qu’il contient. Il écrase complètement le MBR (Master Boot Record) avec une note de rançon. En outre, il tente également de détruire la partition C: en écrasant toutes les informations existantes par des données aléatoires et dénuées de sens.

D’autre part, HermeticWiper a déjà été abordé dans ce blog le 24 février, je vous renvoie donc vers l’article « La théière russe explose : l’Ukraine et la Russie également en guerre numérique » pour plus de détails sur le fonctionnement de ce malware. En résumé, HermeticWiper a été lancé en conjonction avec les leurres HermeticRansom pour rendre les appareils touchés non amorçables.

Le rapport publié par les deux organisations vise principalement à alerter les entreprises américaines, car on estime que ces attaques de logiciels malveillants pourraient éventuellement toucher des entreprises en dehors des frontières de l’Ukraine. Le rapport exhorte les entreprises à prendre des mesures telles que la mise en place d’une authentification à deux facteurs (MFA), de solutions antivirus et anti-malware, ainsi que de filtres anti-spam.

En plus des deux malwares mentionnés jusqu’à présent dans ce billet, nous allons mentionner un troisième wiper supplémentaire découvert par les chercheurs d’ESET : IsaacWiper.

Les chercheurs n’ont pas encore attribué ce nouveau wiper à un groupe cybercriminel spécifique et on ne sait pas encore exactement quel était le vecteur d’attaque initial, mais en ce qui concerne ce dernier, on soupçonne que les attaquants ont utilisé des outils tels que Impacket pour effectuer des mouvements latéraux. Ce nouveau « wiper » a été détecté dans des DLL ou des fichiers EXE de Windows sans signature d’authentification, et sa date de compilation la plus ancienne remonte à octobre 2021.

Pour conclure cette publication, il est donc recommandé, et ce non seulement aux entreprises mais aussi aux utilisateurs, de prendre les mesures de protection recommandées contre les attaques potentielles de malware et de ransomware car, bien que nous ayons parlé dans ce cas d’attaques dirigées au niveau national, les incidents causés au niveau privé par ce type de cyberattaques sont de plus en plus fréquents et touchent un nombre croissant de personnes.

Plus d’information:
Beware of WhisperGate and HermeticWiper – Warns the FBI and CISA
Researchers Peek into the Deadly WhisperGate Wiper

Page 3 of 8

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén