16/12/2024

Security

Actu Cybersécurité

G-DATA découvre un nouveau rootkit nommé Uroburos

La firme antivirus G-DATA a trouvé récemment un nouveau rootkit sophistiqué nommé   « UroBuros » qui a pour fonction de voler des données personnelles. Le malware contient des fichiers drivers (tra3.sys, msw32.sys et vstor32.sys) et des fichiers virtuels (système de fichier FAT et NTFS). Le rootkit prend le contrôle de la machine infectée, cache son activités au système et se réserve le trafic réseau en exécutant des commandes arbitraires. Son nom «Uroburos » et un dérivé du dragon mythique qui mange sa propre queue. Comment Uroburos fonctionne ? La structure modulaire de ce malware fonctionne avec de nouvelles caractéristiques qui le rendent souple et sophistiqué. La façon dont fonctionne ce malware est en peer-to-peer, cela signifie qu’une machine infectée ayant une connexion internet avec une commande à distance pourrait infecter une autre machine sans connexion Internet au sein du réseau. Il l’aperçoit sur la machine infectée et envoie des informations exfiltré à l’attaquant. Le nom de ce rootkit peut

Lire cet article
ApacheAutresMicrosoft IIS

Qu’est ce que le Directory Browsing/Listing ?

I. Présentation Dans ce tutoriel, nous allons parler du Directory Browsing (navigation dans les répertoires) aussi appelé Directory Listing (Listage de répertoire). Nous allons voir comment il peut être utilisé, pourquoi il peut être un danger et comment l’activer et le désactiver sous les serveurs web Apache et IIS. II. Qu’est ce que c’est  ? Le Directory Browsing ou Listing est le fait de donner la possibilité aux visiteurs d’un site web de voir et d’afficher le contenu d’un répertoire en « brut ». Habituellement, les serveurs web affichent des pages web (HTML, PHP, etc.), il est plus rare de trouver un répertoire affiché tel quel lorsque l’on visite un site web. Cela peut toutefois être utile, prenons par exemple les espaces web mettant à disposition des utilisateurs des fichiers à télécharger : En quoi est-ce un danger ? Il n’est pas toujours souhaitable de voir tous les fichiers d’un dossier web s’afficher aux yeux des visiteurs, je pense notamment à des

Lire cet article
Autres

Contourner l’authentification Linux en éditant le GRUB

I. Présentation Dans ce tutoriel, nous allons voir en quoi la permission d’édition du GRUB est un réel danger pour les machines sous Linux. Pour rappel, par défaut, n’importe qui peut modifier le GRUB sans authentification préalable. Au premier abord, on peut se dire que l’édition du GRUB ne mène pas à grand chose si ce n’est la possibilité de faire rater le boot d’une machine en faussant les paramètres. Nous allons voir que l’édition du GRUB permet un accès total en système et cela sans avoir à saisir de mot de passe. Nous verrons ensuite comment se protéger de cette vulnérabilité. II. Édition du GRUB Nous partons ici du principe que nous sommes sous une Debian 7 avec un système authentification par défaut (PAM.D) avec un login/mot de passe. Rien d’extraordinaire. On va supposer que nous avons accès physiquement à une machine (volée par exemple) et que nous n’avons aucun couple login/mot de passe pour y accéder. On démarre

Lire cet article
AutresCybersécurité

Lamp Security 5 : Solution et explications

I. Présentation : Qu’est-ce que Lamp security Le projet LampSecurity est un ensemble de machines virtuelles destinées à l’entrainement, la compréhension et l’apprentissage de la sécurité de l’information et de ses systèmes. Il s’agit plus clairement de plusieurs VM volontairement construites avec des vulnérabilités. Le but du « jeu » étant de les faire démarrer puis de les attaquer. Dans un premier temps, on apprend comment attaquer pour savoir comment mieux se défendre. Le SourceForge du projet se trouve sur ce lien : http://sourceforge.net/projects/lampsecurity/files/CaptureTheFlag/ La sécurité est un élément important dans tout système d’information. Pour bien sécuriser un environnement, il faut connaitre son fonctionnement, sa configuration et ses failles. C’est dans ce but que l’ensemble des machines LampSecurity ont été créées. LampSecurity sont un ensemble de « Capture the flag » qui ont pour but d’initier ceux qui s’y attaquent aux bases de la sécurité. Il s’agit de machines contenant le service basique LAMP (Linux – Apache – MySQL – Php) volontairement

Lire cet article
LogicielsWindows Client

Effacer l’historique des connexions USB sous Windows

I. Présentation Dans un précédent tutoriel, nous avons vu qu’il était possible de lister tous les périphériques qui ont été connectés à un poste avec un outils comme « Usb History Viewer ». Nous allons ici voir qu’il est possible d’effacer cette liste pour qu’elle ne soit plus consultable du tout. II. Explication En effet, à chaque fois qu’on l’on connecte une périphérique à nos ports USB, Windows enregistre plusieurs informations sur cette connexion comme le type de périphérique, son nom, le port USB sur lequel il a été branché, la lettre qui lui a été affecté, etc. C’est, entre autre, ce qui permet à Windows de ne pas réinstaller le périphérique à chaque reconnexion de celui-ci. III. Procédure – USB Oblivion Il faut commencer par télécharger l’exécutable « USB Oblivion » sur ce lien : Téléchargement d’USB Oblivion Une fois téléchargé, il suffit d’exécuter le programme puis nous verrons cette fenêtre apparaitre :   Nous allons ensuite cocher la case « Nettoyer réellement » puis

Lire cet article
Windows Client

Historique des connexions USB

I. Présentation Dans ce tutoriel nous allons, à l’aide d’un petit utilitaire, voir comment afficher l’historique des périphériques USB qui ont été connectés à votre poste ou aux postes distant d’un même domaine. Il est à noter que cet utilitaire fonctionne pour les connections antérieures à son installation. Cela peut être une bonne façon de voir si vos postes sont utilisés sans que vous ne le sachiez. USB History Viewer permet en effet de lister tous les périphériques USB connus et qui ont été connectés à vos différents postes depuis leur initialisation . Il faut donc commencer par télécharger l’utilitaire qui a été développé par IntelliAdmin et qui se trouve sur son site officiel. Vous le trouverez sur ce lien : Téléchargement d’Usb History Viewer (Une création de compte est requise, rien de bien méchant). Note : Ce tutoriel fonctionne pour toutes les versions de Windows actuelles (XP, Vista/7 et 8)   II. Utilisation d’USB History Viewer Une fois téléchargé,

Lire cet article
pfSense

Réinitialiser le mot de passe admin dans PfSense

I. Présentation Dans ce tutoriel, nous allons apprendre à réinitialiser le mot de passe administrateur (utilisateur « admin ») de la distribution portable PfSense. Il se peut en effet que celui-ci soit oublié. Il faut savoir que pour réinitialiser le mot de passe admin sans connaitre celui-ci, il faut avoir un accès Shell à la machine en question. Pour information, ce tutoriel est effectué sur la version 2.0.3 RELEASE (i386) de PfSense et la machine est une machine virtuelle sous VirtualBox. II. Procédure Le seul moyen de réinitialiser le mot de passe administrateur est en effet d’accéder au shell de la machine, soit en terminal direct, soit en SSH. On arrivera donc directement sur ce menu : A partir de ce menu, il faut saisir « 3 » pour l’option « Reset webConfigurator password ». Néanmoins attention, le clavier est par défaut en « QWERTY ». PfSense nous préviens ensuite que le mot de passe et les privilèges de l’utilisateur « admin » vont être réinitialisés à leurs valeurs par

Lire cet article
Base de données

Désactiver l’historique MySQL

I. Présentation MySQL dispose d’un historique de commande par client. Cela permet, comme sous le bash Linux, de retrouver les commandes passées aux précédentes connexions et ainsi de les rejouer facilement. Cela peut donc être pratique mais aussi présenter un problème de sécurité majeur si l’accès au compte d’un client n’est pas sur. Dans ce tutoriel, nous allons donc voir les danger de l’historique MySQL et également voir une solution de protection contre ce problème. Pour information, le tutoriel est illustré avec une machine Debian 7 sous VirtualBox et avec un serveur MySQL 5.5 installé depuis les dépôts. II. Problématique de l’historique MySQL Nous allons ici supposer qu’un attaquant a réussi à obtenir l’accès SSH d’un utilisateur se connectant régulièrement au serveur MySQL. L’attaquant ayant les droits sur le répertoire « /home/user » de l’utilisateur, il pourra très facilement lire le fichier « .mysql_history » qui contient comme dit précédemment les commandes passées par l’utilisateur sur ses sessions MySQL. cat ~/.mysql_history  Note : Sous

Lire cet article