Swiss Security Hackademy

Dear All,

These last days were marked by the "Most sensitive vulnerability ever published on Internet" aka Log4j. Our team of researchers and SOC analysts worked hard since friday to create detections rules and prevent exploitation for our SOC customers.

Due to the criticity of this vulnerability we decided to publish our detections tools and some of signatures to help the community facing this huge issue.

You can find them on :

https://github.com/e-XpertSolutions/atdefense-research/tree/master/log4shell

This repository contains: - Updated IOC - Threat Hunting tool developped for both Linux & Windows to identify potentially impacted servers, and compromissions For the windows version it also supports large scale deployments - IDS (Intrusion Detection System) rules fully developped by e-Xpert researchers with a new (and unseen approach). Indeed, all published rules will collect flood of external attacks (impossible to differentiate from sucess one) and so are not of great interest...

These new rules used a completely different approach relying on the detection of ingoing/outgoing external LDAP trafic used in >90% of exploitation attempts.

If you did not consider this vulnerability you should use our tools quickly.

We hope that you will enjoy, keep safe.

AT-Defense SOC Team
e-Xpert Solutions.

Le 9 décembre dernier, Apache a publié une vulnérabilité zero-day (CVE-2021-44228) pour Apache Log4j appelée « Log4Shell ». Cette vulnérabilité a été classée comme « Critique » avec un score CVSS de 10.0, permettant l'exécution de code à distance avec des privilèges au niveau du système.

Lorsqu'elle est exploitée, cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire sur l'appareil, donnant un contrôle total à l'attaquant. Tout appareil exploité doit être considéré comme compromis, ainsi que tout appareil ayant fait confiance à l'appareil compromis.

Les équipes e-Xpert ont investigué les produits développées par nos soins pour identifier l'impact de cette vulnérabilité pour nos clients. Les produits et composants suivants ne sont PAS concernés par cette vulnérabilité:

Toute l'équipe se tient à disposition pour toute demande d'information.

Update 16.12.2021 : Les produits développés par e-Xpert Solutions n'implémentent pas Java. Nos produits ne sont non plus pas impactés par les vulnérabilités CVE-2021-4104 et CVE-2021-45046

Microsoft a publié début novembre les patchs de sécurité pour ses environnements Windows Servers. Un dysfonctionnement majeur a été découvert sur ces patchs, dont voici les détails.

Impact :

Le mécanisme de délégation Kerberos (S4u2self) ne fonctionne plus. Si une application front-end effectue une authentification Kerberos sur un backend en utilisant un compte de délégation, cette authentification échoue, rendant l'application inacessible. Ce mécanisme de Single Sign On Kerberos est très fréquemment utilisé par des reverse proxies (F5, Rohde &Schwarz ...) ou passerelles applicatives (Vmware Workspace One, Citrix ...).

Environnements concernés :

- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2 SP1
- Windows Server 2008 SP2

Identifiants des patchs :

Afin de vous permettre d'identifier les patch à ne pas installer, ou à désinstaller si vous etes impactés, voici leurs identifiants :

- KB5007206 - Windows Server 2019
- KB5007192 - Windows Server 2016
- KB5007247 - Windows Server 2012 R2
- KB5007260 - Windows Server 2012
- KB5007236 - Windows Server 2008 R2 SP1
- KB5007263 - Windows Server 2008 SP2

Recommandations :

Microsoft n'as pas encore publié de correctif pour ce problème.

Le problème vient de la signature incorrecte des tickets Kerberos en délégation S4u2self générés par des controleurs de domaine après l'application des derniers patchs.

Toutefois nous vous recommandons d'étudier l'impact sur votre environnement avant de patcher les controleurs de domaine.

Si vous utilisez l'authentification par délégation Kerberos sur des applications, nous vous invitons à reporter le patching des controleurs de domaine.

e-Xpert Solutions vous recommande vivement de patcher vos autres environnement Windows Server.

https://esas.e-xpertsolutions.com/public/share/lw_71iNDo_11vK6E0MHHEwXxgWgPPyoTRekez7__HrvIEkGBIO5Gsa--rp2saLXviWDbw8WJiHwrQOuSbBFceYEhAf7HrxST8w5od_hMMwQCv__qelN-S4IPkHRBlm1fzpjU-M9yVSayaOJmfJj7R8WqRAtlCrvCvLMVGC84Tkk=

VMWare annonce une version Beta de Hub permettant la gestion des terminaux de réalité virtuelle. En période de Beta test, la liste des terminaux supportés est encore limitée, mais s'étendra progressivement. A ce jour, les terminaux supportés sont :

- HTC Vive Focus Plus™

- Pico Neo 2™

- Pico Neo 2 Eye™

Seront progressivement inclus pendant le phase de Beta test :

- Pico G2 4K™

- Oculus Quest 2™ (Oculus for Business, firmware version 28)

- Pico Neo 3™

- HTC VIVE Focus 3

- Terminaux VR compatibles Microsoft WindowsVR

VMWare a mis en ligne une courte vidéo et quelques images présentant brièvement le mode de fonctionnement sur le blog : https://techzone.vmware.com/blog/vmware-workspace-one-xr-hub-beta-announced . Les images valent mieux qu'un long discours...

La finalité étant, comme toujours pour Workpace One, de maintenir un niveau de contrôle, de sécurité et de gestion de parc homogène au sein de l'entreprise et ce, quelque soit le terminal.

Si la réalité virtuelle est un sujet pour vous, vous pouvez souscrire au programme Beta de VMWare, et / ou nous contacter pour plus d'information.

Comme tous les ans, Apple va publier les nouvelles versions des différents systèmes d'exploitation pour toutes ses plateformes. Certaines fonctionnalités changent, notamment pour l'enrôlement "utilisateur" avec le mécanisme Declarative Device Enrollment. Cette approche, adaptée aux contextes "BYOD", nécessite de reconfigurer le process d'enrôlement. Si le sujet vous intéresse, n'hésitez pas à nous contacter.

Le point le plus important pour tous les clients On Premise est de s'assurer que la version de Workspace One UEM actuellement déployée dans votre infrastructure est dans la liste des versions supportées. Notez également qu'un patch sera nécessaire pour certaines versions. Voici un extrait d'article de VMWare :

Pour plus d'informations et détails sur les changements apportés par Apple sur les releases 2021, veuillez consulter l'article https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/GettingReadyForAppleReleases/GUID-GettingReadyForAppleReleases.html

Pour toute assistance pour les mises à niveau, n'hésitez pas à nous solliciter.

Mcafee a communiqué sur la compatibilité de ses produits avec la mise à jour de windows10 21h1.

McAfee Agent : version 5.7.2 et 5.7.3 compatible Kb : https://kc.mcafee.com/corporate/index?page=content&id=KB51573

McAfee ENS plateforme 10.7.0.2421 le detail des modules est disponible dans cette Kb: https://kc.mcafee.com/corporate/index?page=content&id=KB51573

Nous vous invitons à prendre contact avec notre support afin de mettre à jour votre protection de poste de travail.

Totemo annonce la fin de vie et l'arrêt du support pour le fonctionnalité PushedPDF de la solution de sécurisation des échanges mails totemomail. La date de fin de support annoncée est le 31 Aout 2022.

L'upgrade des installation totemomail utilisant ce module ne sont plus possibles, il faut absolument migrer vers la solution RegisteredEnvelope en remplacement de PushedPDF. Si vous utilisez ce module, n'hésitez pas à vous rapprocher de nous pour en savoir plus sur la migration.

Le 22 avril dernier, la version 5.3 de device Control est sortie. Quelques points a détailler :

- Quelques mises à niveau sont toujours possibles depuis 5.x, directement dans cette version

- Concernant Mac OS, la mise à jour est importante et apporte un management centralisé beaucoup plus simple et permet d'avoir une GUI sur le poste client.

- Le serveur SQL 2008 n'est plus supporté

- Visual C++ 2017 mandatory

- Attention, si vous venez d'une version inférieure à la 5.14, il y a une nouvelle classe audio games ( disable les micros par default)

Version 5.3 :
https://forums.ivanti.com/s/article/Ivanti-Device-Application-Control-5-3-Download

Release note : https://help.ivanti.com/ht/help/en_US/IDAC/5.3/02_107_EndpointSecurity_ReleaseNotes.pdf

Procédure de mise à niveau: https://help.ivanti.com/ht/help/en_US/IDAC/5.3/02_102_EndpointSecurity_SetupGuide.pdf