Sécurité des mots de passe : Comment choisir un password inviolable

Le mot de passe est encore considéré pour beaucoup comme le dernier rempart de sécurité pour la plupart d’entre nous. Que ce soit en entreprise ou dans notre vie personnelle nous devons donc attacher un grand soin à son choix, et aujourd’hui plus qu’hier en du risque qui pèse sur le mot de passe.

Les cybers criminels utilisent les attaques par mot de passe pour prendre le contrôle de nos informations. Ceci est facilite par le fait que très souvent nous choisissons des mots de passe faibles qui ne peuvent pas résister bien longtemps aux attaques par force brute ou aux attaques par dictionnaire de mot de passe. La robustesse d’un mot de passe dépend en général de sa complexité read more

Multiples vulnérabilités dans Microsoft Exchange Server – Update du 8 mars 2021

Exchange server mail

Microsoft a publié un code ( https://github.com/microsoft/CSS-Exchange/tree/main/Security ) permettant de vérifier la présence des indicateurs de compromission (IoCs) liés au mode opératoire Hafnium. Un détail de l’utilisation de ce code est disponible dans la section « scan Exchange log files » de l’article « HAFNIUM targeting Exchange Servers with 0-day exploits ».

A défaut d’appliquer le correctif immédiatement, des mesures de contournement 

provisoires read more

Microsoft alerte sur 4 failles zero-day exploitées sur Exchange

Le 2 mars 2021, Microsoft a publié des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero day) affectant les serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019.

Ces vulnérabilités permettent à un attaquant de réaliser une exécution de code arbitraire à distance, permettant d’obtenir in fine les droits de l’administrateur de domaine Active Directory.

Article similaire : Webinar ce 5 Mars sur la sécurité des environnements web : Présentation et démo de CrowdSec

  • CVE-2021-26855 : vulnérabilité côté serveur de type SSRF permettant à l‘attaquant non authentifié d’envoyer des requêtes HTTP arbitraires qui seront exécutées sous l’identité du serveur Exchange.
  • CVE-2021-27065 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.
  • CVE-2021-26857 : vulnérabilité basée sur une faiblesse de la désérialisation dans le service de messagerie unifiée (Unified Messaging). Cette vulnérabilité permet à l’attaquant de pouvoir exécuter du code arbitraire à distance avec les privilèges SYSTEM sur le serveur Exchange. L’exploitation de cette vulnérabilité demande les droits administrateurs (ou l’exploitation d’une autre vulnérabilité).
  • CVE-2021-26858 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.

L’éditeur indique que ces vulnérabilités ont été exploitées dans des attaques ciblées qu’il attribue à un groupe d’attaquants appelé Hafnium [1]. En complément, les chercheurs de Volexity indiquent avoir détecté des premières attaques dès janvier 2021 [4].

Article similaire : Formation sur la sécurité en environnement Windows Server

Au vu de la criticité de ces vulnérabilités, ST DIGITAL recommande fortement de réaliser les actions suivantes :

  • déconnecter immédiatement les serveurs Exchange qui seraient exposés sur Internet sans protection le temps d’appliquer les correctifs ;
  • appliquer immédiatement les correctifs de sécurité fournis par l’éditeur sur l’ensemble des serveurs Exchange exposés sur Internet puis en interne ;
  • procéder à l’analyse des serveurs Exchange afin d’identifier une possible compromission à l’aide des indicateurs de compromission publiés par l’éditeur [1] et de Volexity [4]. Une première étape consistera notamment à effectuer une recherche d’antécédents dans les logs des serveurs web de Outlook Web Access afin de déceler d’éventuelles requêtes de type POST vers /owa/auth/Current/themes/resources/ ;
  • en cas de compromission, de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.

Pour rappel, seuls les deux derniers Cumulative Update (CU) des serveurs Exchange en version 2013, 2016 et 2019 sont maintenus à jour et reçoivent les correctifs de sécurité.

Des correctifs de sécurité sont donc disponibles pour :

  • Exchange Server 2013 CU 23
  • Exchange Server 2016 CU 19 et CU 18
  • Exchange Server 2019 CU 8 et CU 7
  • Exchange Server 2010 SP3 Rollup 30

Pour des versions antérieures, il faut appliquer les Cumulative Update ou les Rollup pour Exchange 2010 en amont de l’application du correctif. Microsoft a publié une procédure accompagnée d’une Foire Aux Questions [2].

Bulletin de sécurité Microsoft du 02 mars 2021
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
Référence CVE CVE-2021-26855
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26855
Référence CVE CVE-2021-26857
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26857
Référence CVE CVE-2021-26858
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26858
Référence CVE CVE-2021-27065

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27065 read more

Formation CEH : Réussir sa certification et devenez Certified Ethical Hacker

ST DIGITAL organise une Formation Sécurité Informatique CEH Ethical Hacker v10 du 6 au 10 Avril 2020 dans ses locaux de Douala.

Description de la formation CEH Ethical Hacker v10

La certification CEH dans sa version v10 est actuellement la plus avancée au monde dans le domaine de l’Ethical Hacking. Ce cours officiel CEH Ethical Hacker v10 EC-Council aborde 20 modules successifs liés aux domaines de la sécurité informatique les plus récents, en détaillant les dernières techniques de hacking. La formation permet à tous les informaticiens et tous les passionnés d’informatique ayant un profil technique de découvrir et de mieux comprendre les modes opératoires, les méthodes employées ainsi que les différents outils utilisés par les pirates informatiques pour contourner et déjouer les protections de sécurité en place. Ce cursus est destiné à vous transmettre une vision étendue des variétés d’attaques possibles dans un SI, et vous permettre d’obtenir l’examen de certification final CEH Certified Ethical Hacker. De nouveaux modules apparaissent dans cette version v10, avec des thématiques telles l’Analyse de Vulnérabilités ou le sujet des IoT (Internet of Things). read more