Cette version 83.20 du Client Enterprise Endpoint Security E83.20 apporte les fonctionnalités suivantes :
○ La blade Anti-Malware est désormais disponible pour MacOS
○ Scan contextuels par la blade Anti-Malware
○ Support de l'extension Chrome de l'agent Sandblast avec la capacité d'utiliser la blade URL Filtering
○ support de nouvelles fonctionnalités VPN
> Multiple Authentication Factors
> Multiple Entry Point, Implicit mode
> Secondary Connect
Apple modifie le mode de fonctionnement pour l'envoie de "Push Notifications" en passant d'un protocole TCP à une connexion HTTP/2. Vous trouverez tous les détails ici. Ce changement est annoncé depuis longtemps, mais l'échéance approchant, certaines vérifications s'imposent.
L'ancien système sera complètement arrêté en Novembre 2020.
Pour les clients ayant une installation On Premise de Workspace One UEM, vous devez vous assurer avant cette date que votre version est compatible. Le premier critère est que la version de Workspace One UEM doit être 19.05 ou >. Vous trouverez le détail des versions (et patch levels) supportés ici.
Notez par ailleurs que bien que ce flux soit en HTTP/2, les contraintes d'authentification Apple (par certificat) impose une connectivité directe entre les serveurs Workspace One UEM (Device Services, Console Server) et les serveurs PUSH d'Apple, sans passage par un proxy Web.
Yoann Le Corvic
Senior Security Engineer / CISM
Catégorie : Post-IT
Date : 3 août 2020
Mise à jour : 3 août 2020
Microsoft DNS : Critical remote code execution (CVE-2020-1350)
La semaine dernière, le mardi 14 Juillet, Microsoft a publié un patch corrigeant une vulnérabilité critique sur le composant DNS de Windows server. Découverte par Checkpoint Research, La CVE-2020-1350 touche toutes les versions ...
Automatiser la réponse aux incidents de sécurité en entreprise !
Dans le cadre de nos missions, nous constatons régulièrement que la gestion d’un incident est souvent perçue comme une tâche fastidieuse.
Un incident peut demander aux équipes (aka SOC/Incident Response team), plusieurs heures jusqu’à plusieurs jours de traitement en fonc ...
La signature dans le monde de l’authentification SAML
Dans le monde informatique actuel, les entreprises utilisent une multitude de produits dérivés de différents fabricants. Au quotidien, ces produits sont exploités par des professionnels et des personnes malveillantes, afin d’y découvrir des vulnérabilités permettant de gagner des ...
Nous vous proposons de retrouver ici la liste des nouveautés majeurs de la version r80.40 de Check Point !
L'utilisation du noyau Linux 3.10 permet les améliorations suivantes
Changement du système de gestion des partitions : Passage du MBR au GPT
Suppression de la limite de taille des disques (2 To max en MBR)
Suppression de la limite du nombre de partitions
Distribution de la table de partition à plusieurs emplacement sur le disque
Vérification de l'intégrité (gestion réelle du CRC)
Changement de système de fichier
XFS remplace EXT3
XFS délivre notamment les améliorations suivantes
Augmentation des capacités I/O grace à la paralelisation des taches de lecture / ecriture disque
Meilleure gestion des inodes
Notes : Afin de profiter de l'ensemble des améliorations apportéées par la version R80.40, il est nécessaire de réaliser une migration avancée (migrate export / migrate import).
Enrichissement des statistiques CPVIEW
Ajout des statistiques par VS
Détails des statistiques de NAT
Amélioration de la visibilité concernant l'activité des différentes Blades
Update RPMs
Un grand nombre de packages RPM sont mis à jour. Note : La version de BASH est mise à jour de 3.1-16 vers 4.2-47 : Vérifiez la compatibilité de vos scripts BASH.
Possibilté de paramétrer un domain d'encryption par communauté VPN
Support du SMBv3 multichannel
Support de l'inspection SSH sur les flux entrants
Support du protocol http2
Interface de configuration intégrée au SmartConsole en tant que layer
Notes : Certaines configurations avancées (gestion des autorités de confiance notamment) nécessitent encore l'utilisation de l'ancienne interface
Prise en charge des objets dynamiques (Updatable Objects et Domain Objects)
Contrôle de cohérence des catégories lors de l'utlisation du SNI (Server Name Indication) afin de limiter le risque de contournement de la politique de filtrage Web.
Les instances SND et FW_workers sont distribuées dynamiquement, permettant l'adaptation au conditions réelles d'utilisation :
A intervalle de temps réguliers, le système évalue le gain de perfomance potentiel en cas de redistribution des ressources CPU.
Cette amélioration permet notamment de basculer automatiquement d'une matrice de distribution "Daily" (forte activité utilisateur, souvent caractérisée par une consommation élevée des ressources par les blades d'analyse avancée) à une matrice orientée "Out of working hours" (forte activité de backup et flux techniques, principalement pris en charge par la blade FW)
Notes :
Cette amélioration n'est pas supportée sur les environnements VSX
La modification manuelle des paramètres CoreXL via l'outil "cpconfig" entraine la désactivation complète du processus automatique
La version R80.40 implémente par défaut le CCP (Cluster Control Protocol) en mode Unicast
Diminution la consommation de ressources réseau par rapport aux modes Broadcast et Multicast
Simplicité d'implémentation par rapport au mode Multicast, qui nécessite une configuration sur les switchs
Première version du mode ClusterXL "Active-Active"
Chaque membre porte ses propres IPs, pas de VIP configurée
La distribution des flux est réalisée par le routage dynamique et des load balancer externes
A termes, capacité à déployer des Cluster "L3" multilocalisés
Support des identity provider SAMLv2
Généralisation du modèle PDP Broker permettant le partage d'identités entre gateways managés par des SMS ou MDS différents
Nouvelle version de l'agent MultiHost (MUHv2)
Changement du modèle d'identification et de propagation des sessions utilisateurs sur les systèmes multi-users (Terminal Servers).
L'identifiant de chaque utilisateur est désormais inséré dans l'entête IP de chaque paquet (utilisation du champ "identification" décrit dans la RFC 791)
Amélioration des performances
MUHv2 supporte jusqu'à 256 utilisateurs par machine (seulement une vingtaine en v1)
Les PDP supportent jusqu'à 50 clients MUHv2 (seulement 5 en v1)
Amélioration du processus RAD (Resource Advisor) utilisé lors de l'interrogation des bass de données Cloud (réputation, catégorisation...)
Performance
Le processus fonctionne désormais en multi-threat (jusqu'à 32 instances)
Statistiques RAD disponibles via CPVIEW
Logs détaillés disponibles dans $FWDIR/log/rad_events
Modèle de service "semi-managé" permettant l'implémentation de politiques de Threat Prevention basées sur des templates prédéfinis par Check Point
Le client ne peut pas modifier la politique. mais peut ajouter des exceptions
Amélioration de la prise en charge IoT
Collecte des attributs IoT depuis une liste de fournisseurs certifiés
Identification automatique des protections à appliquer, permettant notamment une approche "virtual patching" afin de sécuriser les flux des systèmes IoT souvent non pacthabhes
ECLIPSE
Senior Security Engineer
Catégorie : Post-IT
Date : 4 juillet 2020
Mise à jour : 6 juillet 2020
F5 – CVE Critique CVE-2020-5902
La vulnérabilité critique CVE-2020-5902 a été patché, cette vulnérabilité concerne la Traffic Management User Interface (TMUI) de BIG-IP
Un attaquant non-authentifié ayant accès à cette interface depuis le port de management ou une self-ip peut exécuter arbitrairement du code, créer et supprimer des fichiers ou lancer des commandes système.
Voici les versions identifiées comme vulnérables :
V11.x : vulnérable de 11.6.1 à 11.6.5
V12.x : vulnérable de 12.1.0 à 12.1.5
V13.x : vulnérable de 13.1.0 à 13.1.3
V14.x : vulnérable de 14.1.0 à 14.1.2
V15.x : vulnérable de 15.0.0 à 15.1.0
Voici les versions qui patchent cette faille :
V11.x : patché en 11.6.5.2
V12.x : patché en 12.1.5.2
V13.x : patché en 13.1.3.4
V14.x : patché en 14.1.2.6
V15.x : patché en 15.1.0.4
Toutes les informations de l'éditeur sont disponibles sur le site de F5
Enterprise Endpoint Security E83.10 Windows Clients
Le dernière version E83.10 de la suite Enterprise Endpoint Security pour Windows est également disponible depuis fin juin. Cette version apporte son lot de nouvelles fonctionnalités et d'améliorations :
les nouveautés :
○ Supports de VMware Horizon VDI (Virtual Desktop Infrastructure), en mode persistent et non-persistent
○ nouvelle extension pour la navigateur Chrome permettant le support d'URL Filtering
○ Ajout d'un icone spécifique pour les partages réseaux chiffrés.
Forcepoint Web 8.5.4 apporte les améliorations suivantes :
○ Possibilité d'activer l'authentication pour le traffic HTTPS au travers du 4443 plutot que 8080 si nécessaire.
○ Historiquement le mode de déploiement de Web Content Gateway avec module DLP était soit Web DLP soit ICAP. Il est désormais possible d'activer les 2 fonctionnalités.
○ meilleur gestion des SIEM et ajout des logs d'audit dans la feature SIEM Integration pour le Policy Server Primaire
Nous sommes une PME spécialisée dans la sécurité des systèmes d’information depuis 2001, nos domaines de compétences sont l’expertise technique, l’intégration, l’offre de services managés et le développement de solutions sur mesure.
Microsoft alerte les hôpitaux ciblés par le ransomware « REvil » en période de crise COVID19
La semaine dernière (mercredi 1er avril) Microsoft a effectué une notification ciblée, unique en son genre, pour alerter les hôpitaux sur la vulnérabilité de leurs infrastructures VPN.
Selon Microsoft, le groupe malveillant derrière le ransomware REvil (Sodinokibi) exploite cette situation d’urgence pour cibler des hôpitaux. Ces entités, étant très vulnérable aux interruptions, la probabilité que ces derniers payent une rançon dans un court délai, augmente.
Les techniques utilisées par ces groupes pour atteindre leurs cibles n’ont pas beaucoup évolué. Seul la part d’ingénierie sociale a été adaptée à la situation. En ces temps de crise lié au COVID19, les attaquants misent sur la peur et le besoin urgent d’information qui peut parfois faire oublier la méfiance et les précautions d’usage des utilisateurs.
De plus, en cette période de confinement, les organisations ont dû mettre en place, souvent dans la hâte, des solutions pour rendre possible le télétravail. Ces entités n’ont pas forcément eu le temps ou les ressources pour contrôler l’état des infrastructures informatiques, qui sont ainsi exposées, ce qui en fait des cibles de choix. En effet, les attaquants derrière REvil sont connus pour avoir ciblé les vulnérabilités des Gateway Citrix ou du VPN Pulse Security révélées ces derniers mois.
Microsoft a ainsi détecté, à travers ses services « Microsoft Threat Protection » (Microsoft Defender ATP, Office 365 ATP et Azure ATP), que le groupuscule derrière le ransomware REvil recherche activement des systèmes vulnérables exposés sur Internet. Ils ont également observé que des attaquant utilisent les fonctionnalités de mise à jour des clients VPN pour déployer des charges utiles malveillantes.
Il convient donc, malgré ces temps de crise, que les utilisateurs des infrastructures informatiques restent vigilants!
De plus, il est primordial que les équipes techniques et de sécurités veillent au suivi des mises à jour de sécurité des systèmes, ainsi qu’à l’application des bonnes pratiques sécuritaires de l’entreprise.
Tufin s’impose comme le leader dans le domaine de l’orchestration Firewall
Avec la version TOS 19.3, Tufin conforte sa place de leader dans le domaine de l'orchestration firewall.
En effet, Tufin demeure le seul éditeur à proposer à ses clients la prise en charge de tous les types environnements et notamment les solutions Cloud. La versio ...
ALERTE VIGILANCE : Les pirates profitent du Coronavirus pour vous piéger !
Comme à leur habitude, les pirates surfent sur l’actualité pour mieux vous attaquer. Ils se font passer pour des professionnels de la santé et démultiplient des campagnes de phishing basées sur la peur du Coronavirus.
Du simple vol de vos identifiants à l’installation du cheval de Troie Emotet…
Le Japon est à priori le premier pays touché par ces campagnes de phishing autour du Coronavirus. Les pirates envoient des mails qui se veulent informatifs, sur l’évolution de l’épidémie, sur la localisation des foyers à risque de la propagation du virus, voire même sur les remèdes contre le virus.
Ils vous invitent à cliquer sur des liens et/ou à ouvrir des pièces jointes malicieuses. Derrière les liens se cachent des PDF infectés. Pièce jointe ou lien piégé, les deux installent le cheval de Troie Emotet. Le Malware Emotet est à ce jour l’un des malwares les plus coûteux et destructeur qui concerne autant les particuliers que les professionnels jusqu’aux administrations.
Ne vous laissez pas duper !
Tenté par l’envie de vous protéger, vous cliquez sur les liens et ouvrez les pièces jointes… Et voilà, le mal est fait !
Comme pour le Coronavirus, faîtes preuve de vigilance à ne pas vous faire infecter.
Si vous souhaitez des renseignements sur l’épidémie, préférez visiter directement les sites web officiels.
Rohde & Schwarz vient de "releaser" sa nouvelle mouture du R&S WAF LTS (Long Time Support) avec la version 6.5.5.
Une des nouveautés de cette version est le support du déploiement de la solution sur Google Cloud Platform via des templates Terraform.
Dans cette "release", Rohde & Schwarz a également mis l’accent sur l’optimisation des performances lors de l’Apply. Cette optimisation permet de gagner jusqu’à 70% de temps d’application.
La version 6.5.5 introduit un nouveau Datastore basé sur une base Redis externe permettant l’intégration du Workflow dans un écosystème plus vaste.
Tous les composants internes (Apache, NodeJS, etc.) sont également mis à jour. Finalement cette mise à jour comprend tous les derniers correctifs du produit.
La dernière version de la suite Endpoint Security Client est disponible en GA pour la version 10.15 de macOS Catalina. Cette version propose également le module Forensic de l'agent SandBlast. Cette version apporte également quelques améliorationw sur les performances et la stabilité.
Enterprise Endpoint Security E82.40 Windows Clients
Le dernière version E80.40 de la suite Enterprise Endpoint Security pour Windows est également disponible depuis peu. Cette version apporte son lot de nouvelles fonctionnalités et d'améliorations : (english)
- Adds a new protection in Static Analysis against CVE-2020-0601. This prevents the use of spoofed ECC (Elliptic Curve Cryptography) certificates on malicious executables.
- Behavioral Guard now detects Windows-reported CVEs to generate a log and Forensic Analysis. An example is CVE-2020.0601. This is different from the Static Analysis protection that is not dependent on Windows-reported CVEs.
- Behavioral Guard Meterpreter Reverse Shell detections are now active, by default.
- Behavioral Guard new injection detections including Process Hollowing are now active, by default.
- Forensics can now identify starting points of attacks originating from lateral movement and Windows Management Instrumentation (WMI). Indirect execution on a single machine through WMI is now detected and followed in the Forensics Analysis
Une nouvelle version majeur du client Edge a été publiée, amenant un grand nombre de fonctionnalités.
Parmi les nouveautés il faut retenir :
○ Une nouvelle interface pour le client Edge pour MacOS
○ le support de TouchID pour MacOS
○ la possibilité de déconnecter le VPN temporairement. Ainsi un utilisateur peut se déconnecter du VPN, et lorsqu'il souhaite se reconnecter il n'a alors pas à se réauthentifier.
○ Il est désormais possible d'utiliser la fonction Auto-Connect avec la fonctionnalité "Network Location Awarness"
○ le Client Edge peut désormais charger un certificat depuis le Local Machine Certificate Store.
Parmi les bug corrigés il faut noter :
○ des problèmes de connexions pouvaient arriver lorsque le client edge venait d'une auto-update en 7.1.6 ou plus ancien.
○ Sous MacOS un utilisateur sans privilièges pouvait accéder à des fichiers dont Root est propriétaire.
○ des problèmes de résolutions DNS par le DNS Relay proxy Service pouvaient arriver. La stabilité du service est maintenant réatblie.
○ Le client edge empêche un utilisateur de saisir ses identifiants d'entreprise dans un portail captif qui pourrait s'avérer malicieux.
○ Sous Windows le service StoneWall pouvait ne pas bloquer le traffic lorsque le VPN est déconnecté. c'est désormais corrigé.
Tous les détails des changement dans la release note ci dessous.
Seed script pour supporter les dernières versions Apple OS
L'éditeur VMware a puiblié pour son produit WorkSpace ONE une nouvelle version du Seed Script.
Il offre le support des dernières versions d'iOS (jusqu'à 13.4 Beta), AppleTV (jusqu'à 7.4), MacOS (Jusqu'à 10.15.4)
N'hésitez pas à vous connecter sur votre portail pour les télécharger, ou a contacter notre support qui vous les transmettra.
Check Point - R80.20 Jumbo Hotfix 141 is now GA !
Ce nouveau Jumbo Hotfix apporte de nombreux correctifs de stabilité et de performance, parmi lesquels :
Pour la partie Management server :
○ optimisation de la synchro pour les Management HA
○ optimisation du Policy verifier
○ correction de bug sur des sessions en statut "disconnected" ou "Lock" dans la vue SmartConsole.
Pour la partie Security Gateway :
○ amélioration de l'identification des applications (Blade Application Control) sur les flux SSL (Blade HTTPS Inspection)
○ Amélioration de la stabilité de HTTPS Inspection.
○ optimisation de la catégorisation URL Filtering sur les flux SSL (HTTPS Inspection)
○ Amélioration de la gestion du supernetting pour les 3rd party peers avec IKEv2
Pour le composant SmartConsole :
○ Ajout de l'intégration de Management API via Ansible 2.9
○ Correction de l’erreur "Policy Installation has failed due to an internal error"
Les terminaux mobiles, nouvel axe d’attaque des pirates informatiques
L’adoption des terminaux mobiles en complément des équipements informatiques « traditionnels » est un fait, et la tendance ne s’inversera pas, bien au contraire. D’autant que ces terminaux sont de plus en plus conçus pour être gérés dans un contexte professionnel.
Les cybe ...
Dans sa nouvelle version, Insight se dote d'un système de dashboards dynamiques basé sur son language de requête, Insight Query Language (IQL).
Il est possible de créer toute sorte de dashboards avec différents types de graphes (pie charts, bar charts, table, etc.) à partir des logs collectés par la solution. De plus, il est possibles de customizer ces graphes à l'aide d'un grand nombre d'option afin de controller leur couleur, taille, etc.
En plus de ce module, cette release inclut de nombreuses améliorations:
- Une fonctione de recherche jusqu'à 5 fois plus rapide sur certaines requêtes
- Le support de fonctions d'agrégations dans le langage de requête (Insight Query Language)
- Ajout de nouveaux filtres de recherches (aggregate, filter, ...)
- La possibilité d'exécuter une une commande système ou une commande à travers SSH depuis le module d'alerting
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site web. En le visitant, vous acceptez notre politique de confidentialité.AccepterPolitique de confidentialité
Workspace One UEM et Apple Push Notifications 
