Disponbilité de EMET 5.2 - Enhanced Mitigation Experience Toolkit

EMET  (Enhanced Mitigation Experience Toolkit) est disponible dans version 5.2.

Il s'agit d'un utilitaire Microsoft gratuit qui empêche l'exploitation des vulnérabilités logicielles grâce à l'utilisation de technologies de réduction des risques pour la sécurité.
Ces technologies fonctionnent comme des obstacles et des protections spéciales, que l'auteur d'une attaque doit mettre en échec pour pouvoir exploiter les vulnérabilités logicielles.
Ces technologies de réduction des risques pour la sécurité ne garantissent pas que des vulnérabilités ne puissent pas être exploitées. Toutefois, elles font en sorte que l'exploitation soit aussi difficile que possible.
EMET 4.0 et versions ultérieures fournissent également une fonctionnalité d'épinglage de certificat SSL/TLS configurable appelée Certificat de confiance. Cette fonctionnalité a pour but de détecter les attaques d'interception qui exploitent l'infrastructure à clé publique (PKI).

Pour voir les nouveautés, c'est par ici :
Nouveautés EMET 5.2

Lien de téléchargement :
EMET

A noter : 

• "Opt-In" indique que la fonctionnalité n'est pas activée pour toutes les applications, seulement pour celles ou la fonctionnalité a été activée manuellement.
• "Opt-Out" indique que la fonctionnalité est activée pour toutes les applications, sauf pour celles ou la fonctionnalité a été désactivée manuellement.

Note du blog Security Research and Defense du Technet:

3/16/2015 UPDATE: We have received reports of certain customers experiencing issues with EMET 5.2 in conjunction with Internet Explorer 11 on Windows 8.1. We recommend customers that downloaded EMET 5.2 before March 16th, 2015 to download it again via the link below, and to uninstall the previous EMET 5.2 before installing the new one.

Lire la suite »

Clusif - Panorama de la Cybercriminalité 2014

Bien le bonjour,

Mise à disposition par le Clusif du Panorama de la Cybercriminalité - Année 2014

Disponible à cette adresse
Clusif du Panorama de la Cybercriminalité - Année 2014

Bonne lecture
Guillaume

Lire la suite »

Renforcer la sécurité de SSH

Voici une base de paramètres pour améliorer la sécurité de SSH basée sur la version 5.5p1-6+squeeze1 (Debian).

Certaines options peuvent déjà être par défaut selon la version du serveur SSH installée.

La configuration est bien sûr à tester et à adapter à vos besoins (RTFM et STFW sont vos amis).

Liste complète fournie par "man sshd_config" et "man ssh_config"

Côté serveur SSH :

vim /etc/ssh/sshd_config

#N’utiliser que le SSH v2, la version 1 contient des failles.

Protocol 2

#Durée autorisée pour rentrer le login et le mot de passe.

#Définir une valeur faible, une valeur trop haute pourrait faciliter une attaque DOS.

LoginGraceTime 60

#Changer le port défaut par exemple 1022. Utilisez -p 1022 pour vous connecter ensuite.

Port 1022

#Spécifier l’adresse de votre interface

ListenAddress XXX.XXX.XXX.XXX

#Déconnecter au bout de 5 min d’inactivité

ClientAliveInterval 300

ClientAliveCountMax 0

#Les requêtes tcpkeepalive ne sont pas chiffrées et peuvent être spoofées

TCPKeepAlive no

#Restreindre l’accès à des utilisateurs et/ou groupes (voir aussi DenyUsers et DenyGroups)

AllowUsers user1, user2

AllowGroups ssh-users

#Refuser root

PermitRootLogin no

#Désactiver les mots de passé vides (par défaut à no)

PermitEmptyPasswords no

#Afficher un message d’avertissement à la connexion

Banner /etc/ssh/ssh_banner

#Vérification des droits et du propriétaire des fichiers de l’utilisateur ssh_keys…

#Par défaut StrictModes yes

StrictModes yes

#Utiliser l’authentification pas clé publique et désactiver l’authentification par mot de passe

#Nécessite bien entendu, la mise en place de l'authentification par clé publique au préalable

PubkeyAuthentication yes

PasswordAuthentication no

# Désactiver le mode de compatibilité RSH

IgnoreRhosts yes

HostbasedAuthentication no

#Configurer /etc/hosts.allow pour n’autoriser votre réseau ou les IP nécessaires

sshd:192.168.1.

#Configurer /etc/hosts.deny pour refuser tout le reste

sshd:ALL

#Nombre de tentative d’authentification par connexion

MaxAuthTries 3

#Désactiver le forwarding

AllowTcpForwarding no

X11Forwarding no

#Journaux

SyslogFacility AUTHPRIV

LogLevel VERBOSE

#Réduire les informations de version renvoyées

#Par défaut

#OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)

#Après :

#OpenSSH 5.5p1 (protocol 2.0)

DebianBanner no

Côté client :

vim /etc/ssh/ssh_config

#Vérifie l’ip et le nom du server pour éviter du spoofing DNS.

HashKnownHosts yes

#Renégocier la clé tous les 1Gb de données échangées.

RekeyLimit 1G

Lire la suite »

Mot de passe Windows 7 perdu

Ce n’est pas une nouveauté, mais pour ceux qui ne connaissent pas ça peut économiser une réinstallation et tout ça en moins de 10min.

Il suffit simplement d’un Live CD, linux dans mon cas et de démarrer dessus.
La technique est simple et fonctionne aussi sur Vista normalement.
Il permet de réinitialiser un mot de passe oublié, de créer un compte, d’activer le compte administrateur local…

Le principe est de remplacer l’exécutable Utilman.exe, qui gère les options d’ergonomie, options disponibles dès l’ouverture de session via cet icone bleu , par l’invite de commande cmd.exe.
Ainsi en cliquant sur l’icône des options d’ergonomie, l’invite de commande se lance et dispose de droits permettant un certain nombre d’opérations d’administration.
Partant du principe que les lecteurs de se blog ont un minimum de bases en informatique, je ne détaillerais pas comment booter sur un cd, lire un fdisk etc…

#Selon le livecd, vous risquez de devoir mettre sudo devant les commande suivantes.

#Afficher la liste des partitions pour savoir quelle partition est celle contenant le système Windows
fdisk –l
#Monter la partition Windows (dans le cas présent 1ere partition du 1er disque dur)
mount –t ntfs-3g /dev/sda1 /mnt
#Se déplacer dans le dossier system32 de la partition Windows
#Attention les majuscules sont importantes
cd /mnt/Windows/System32
#Renommer Utilman.exe
mv Utilman.exe Utilman.exe.bak
#Copier cmd.exe sous le nom Utilman.exe
cp cmd.exe Utilman.exe
#Redémarrer
init 6

Il suffit ensuite de cliquer sur l’icone bleu d’option d’ergonomie pour voir afficher le prompt de l’invite de commande.

Petit rappel des commandes utiles dans le cas présent :
#Afficher la liste des utilisateurs
net user
#Réinitialiser le mots de passe oublié
net user nom_utilisateur *
#Activer le compte administrateur local éventuellement
net user administrateur /active:yes

Une fois terminé, vous pouvez vous connecter avec le mot de passe ainsi modifié.
Pensez à remplacer le Utilman.exe par le Utilman.exe.bak d’origine pour remettre les choses dans leur état initial.

Lire la suite »

Introduction au mécanisme de hash en cryptographie

Voici, un billet présentant les fonctions de hachage en cryptographie

Le hachage (hash) est un moyen de vérifier l'intégrité de l'information et donc prouvé que les données transmises n’ont pas été modifiées entre la source et la destination. Les fonctions de hachage permettent de créer une empreinte électronique (fingerprint ou message digest).

Les mécanismes les plus courants pour la vérification de l’intégrité d’un message sont Message Digest 5 (MD5), Secure Hash Algorithm (SHA-1, SHA-256, SHA-384 et SHA-512), Message Authentication Code (MAC) et Keyed-Hash Message Authentication Code (HMAC).

Le chiffrement assure l'intégrité de manière intrinsèque puisque si un bloc de texte chiffré a été modifié, le bloc ne sera pas déchiffré correctement. La signature numérique fournit également l'intégrité, car elle utilise des fonctions de hachage.

Figure 1 : Les mécanismes assurant l'intégrité

Les empreintes électroniques ou hachages doivent être uniques. Cette unicité est nécessaire parce que deux documents qui sont très semblables ont besoin de créer des hachages complètement différent pour aider à protéger les fichiers d’une falsification.

Une propriété souhaitable de toute fonction de hachage cryptographique est l'effet avalanche. L'objectif est qu’un tout petit changement en entrée doit entraîner un changement important en sortie. Si un attaquant venait à modifier un bit dans le fichier, l’empreinte électronique doit changer d’au moins 50 % de ses bits. Cela empêche un attaquant de comparer deux hachages similaires et de déterminer que ses valeurs proches de hachage signifient que les fichiers sont deux fichiers similaires.

Une fonction de hachage doit avoir les propriétés suivantes :
• Compression : La valeur de hachage a une longueur fixe quel que soit la taille du message.
• Efficacité : Il est relativement facile à calculer pour un message donné.
• Sens-unique : Il est mathématiquement impossible d’inverser le hachage.
• Forte résistance aux collisions : « Impossibilité » d’obtenir deux haches identiques à partir de deux différents messages.

Une fonction de hachage est une « fonction de hachage forte» si elle satisfait toutes les propriétés ci-dessus.

Figure 2 : Processus de vérification d'intégrité

Lire la suite »

Le Troyen qui fait réinstaller Windows

Il est des infections qui méritent un peu plus qu’un entrefilet dans une base de signatures. C’est le cas de l’équidé Win32/Popureb.E qu’a analysé avec attention Monsieur Chun Feng du Microsoft Security Research Center, et qui vaut à cette infection tout un billet avec dump à l’appui. Un cheval dont les méthodes d’attaques semblent relativement « bourrines », puisque son imbrication dans le noyau semble résister à toute tentative d’élimination par des moyens conventionnels.
Plus d'information sur l'article : Le Troyen qui fait réinstaller Windows

Lire la suite »

Les stratégies de sécurité des entreprises souvent obsolètes

Selon une étude sponsorisée par l'éditeur Fortinet, davantage d'entreprises françaises que dans le reste de l'Europe n'ont pas de stratégie en sécurité ou ne l'ont pas réévaluée depuis au moins trois ans. Pourtant les menaces ont beaucoup évolué.
Plus d'information sur l'article : Les stratégies de sécurité des entreprises souvent obsolètes

Lire la suite »

Les experts de la gendarmerie passent au logiciel libre

Au diapason de la gendarmerie qui adopte les logiciels libres étape par étape, son labo de recherche criminelle, l'IRCGN, adopte de même l'open source. "Nous avons tout intérêt à partager nos outils avec les autres forces de police", explique aux Echos son responsable SI.
Plus d'information sur l'article : Les experts de la gendarmerie passent au logiciel libre

Lire la suite »

Protection des mots de passe Cisco

Bonjour à tous ceux qui suivent le blog!
Comme vous avez pu le constater, très peu d'actualités ici depuis quelques temps mais ça devrait revenir doucement à la normale.

Un petit billet, sur la protection des mots de passe sur les équipements Cisco, lié à une petite mésaventure.
J'avais tout simplement perdu le mot de passe telnet d'un switch Cisco. Merci au fait que les mots de passe telnet, console et auxiliaire soient, dans mon cas, cryptés via le "service password-encrytion" et que le cryptage utilisé dans ce cas soit réversible. Il m'a suffit d'aller sur la sauvegarde de la configuration, de passer sur internet avec une recherche du style : decrypt 7 cisco. Et là plein d'utilitaires online pour decrypter le mots de passe.

J'en profite pour faire un petit rappel sur les recommandations Cisco en matière de mot de passe :

• Utiliser un mot de passe d'au moins 10 caractères. On peut exécuter la commande "security password min-length 10" pour s'assurer que cette recommandation soit respectée.
• Utiliser des caractères alphanumériques (minuscule et majuscule), caractères spéciaux. Un espace est un caractère spécial valide sauf s'il est utilisé au tout début du mot de passe, dans ce cas il est ignoré.
• Le mot de passe ne devrait pas être un mot commun que l'ont peut trouver dans un dictionnaire.
• Créer une politique qui définit quand les mots de passes doivent être changés.
• Utiliser la commande "enable secret" plutôt que "enable password". La première crypte le mot de passe (MD5) ne permettant pas ainsi de lire le mot de passe à l'œil nu dans la configuration, tandis que la deuxième laisse le mot de passe en clair. La commande "enable password" n'est à utiliser que si l'IOS ne supporte pas la commande "enable secret".
• Les mots de passe telnet, console et auxiliaires sont stockés en clair dans la configuration. Il est nécessaire d'utiliser la commande "service password-encryption" pour qu'ils soient cryptés. Le service utilise un algorithme de cryptage propre à Cisco basé sur "le chiffre de vigenere". Ce cryptage est facilement réversible comme indiqué au début du billet.

Note : L'encryption MD5 est désignée par un 5 par Cisco. L'encryption propriétaire à Cisco est désignée quand à elle par un 7. Il existe aussi une encryption "6", plus d'informations encrypt pre-shared key.

Le cryptage MD5 n'est pas en reste puisqu'en faisant une recherche "md5 decrypt" vous trouverez un panel de site vous proposant de "décrypter" le hash MD5 de votre mot de passe.

Lire la suite »

Cursor Jacking - Proof of concept

Cursor Jacking est une attaque de type ClickJacking qui a pour particularité de "créer" un décalage entre l'endroit où vous semblez cliquer et l'endroit où vous cliquez réellement. De ce fait, un pirate pourrait vous faire, en théorie, cliquer n'importe où dans une page web.

Informations et démonstration sur static.vulnerability.fr

Lire la suite »

Lancer un malware sans toucher a la base de registre

Nick Harbour, dans un article publié sur M-unition, s’intéresse aux différentes méthodes permettant de lancer un exécutable sans toucher ni à la base de registre, ni au répertoire de démarrage, ni aux autres méthodes conventionnelles connues à ce jour.

Le principe de son « lanceur de malware » est assez subtil : il repose sur l’ordre de recherche et d’exécution des dll appelées par un programme.

Lire l'article complet : Lancer un malware sans toucher à la BDR : le DLL-Hell frappe encore

Lire la suite »

Nouvelle faille de sécurité Windows toutes versions

Dans un bulletin de sécurité publié le 16 juillet, Microsoft confirme l'existence d'une vulnérabilité non corrigée de son système d'exploitation Windows. D'après les premières informations communiquées, la faille se situe au niveau du composant Windows Shell et découle d'une erreur dans le traitement des fichiers de raccourci en .LNK.

Selon Microsoft, cette vulnérabilité affecte les différentes versions de l'OS, à savoir 2000, Windows XP (dont le SP2 qui n'est plus supporté et ne bénéficiera dont pas d'un correctif), Vista, Seven, Server 2003 et 2008.

lire l'article complet : Découverte d'une faille de sécurité affectant toutes les versions de Windows

Lire la suite »

Le Tabnabbing un nouveau type d'attaques par Phishing

Le Tabnabbing est un nouveau type d'attaques par Phishing visant à modifier le contenu d'un onglet déjà ouvert et cela après une période définie d'inactivité. Elle part du principe que la vigilance est moindre dès lors que des actions malicieuses interviennent sur un onglet ouvert préalablement.
Un chercheur vient d'exposer un nouveau type d'attaque par Phishing autorisant son instigateur à se servir d'un script qui va s'exécuter dans le but de modifier, après un certain laps de temps, le contenu de la page dont il est issu. Cette technique est bien entendu dépendante du fait que la victime navigue au préalable sur un site contrôlé par l'attaquant et que le script en question puisse être exécuté.

Lire l'article complet : Le Tabnabbing un nouveau type d'attaques par Phishing

Lire la suite »

IAWACS 2010 PWN2KILL, ils en parlent

La deuxième édition du concours IAWACS (International Alternative Workshop on Aggressive Computing and Security) a eu lieu à Paris, à l'ESIEA, le week end dernier.

L'objectif était de passer outre la protection du logiciel antivirus dans un environnement Windows 7 en mode utilisateur, sans connexion internet et avec les applications communes installées (Suite Microsoft, Suite OpenOffice, Pdf reader...).

Les résultats sont très loin d'être glorieux pour les antivirus. Voici une liste d'articles sur le sujet :

iAWACS 2010 : les antivirus déjoués en masse
iAwacs 2010 ou la défaite par K.O. des antivirus
Challenge iAWACS 2010 : comment les antivirus sont tombés
iAwacs 2010, la sécurité informatique est un sport de combat
iAwacs 2010, sécurité sans obscurité
iAwacs 2010 : des virus et des hommes
iAwacs 2010, sur les traces des perversions polymorphes
Bilan iAWACS 2010 : les outils de sécurité tombent, il faut revoir les politiques de sécurité
Challenge PWN2KILL : les antivirus pas assez efficaces
Quinze antivirus mis en échec par des étudiants en informatique
le marketing des antivirus contesté lors du concours Pwn2kill

Lire la suite »