Archives de l’auteur : johanne

mimikatz

mimikatz_stickerDans cet épisode, nous recevons Benjamin Delpy qui est l’auteur de Mimikatz.

Nous parlons des différentes problématiques de sécurité mises en évidence avec mimkatz. Nous abordons également la problématique de la vulnérabilité ms14-068 qui permet à un attaquant de faire une escalade de privilège pour obtenir les droits de l’admin du domaine.

Afin de limiter les risques associés à ces sujets, il convient  de suivre les recommandations suivantes : https://technet.microsoft.com/en-us/security/dn920237

En synthèse :

– Ouvrir sa session et utiliser ses applications en tant qu’utilisateur standard

– Faire en sorte d’utiliser les droits d’administration les plus restreints possible

– Ne pas permettre les comptes locaux de se connecter via le réseau

– Quand vous travaillez avec un compte qui utilise les plus hauts niveaux de privilèges, ne travaillez pas à travers le réseau et configurez LSA pour limiter les risques https://technet.microsoft.com/en-us/library/dn408187.aspx

– Fermez complètement vos sessions plutôt que de simplement vous déconnecter.

– Deployer de l’authentification en mode « silos » et renforcer les silos sensibles en faisant en sorte que certains services ne soient accessibles qu’à partir de certaines machines https://technet.microsoft.com/library/dn486813.aspx

– Vos mots de passe sont comme vos sous-vêtements :  changez-les souvent, ne les prêtez à personne et ne les laissez pas trainer !

mot de passe - sous vetements

Liste des recommandations *techniques* Microsoft:
https://technet.microsoft.com/library/dn518179.aspx

http://blogs.technet.com/b/enterprisemobility/archive/2014/12/03/improve-security-with-identity-management-password-hashing-and-reports.aspx

En ce qui concerne ms14-068, voici le patch à appliquer ABSOLUMENT ! :

https://support.microsoft.com/kb/3011780

Si vous ne pouvez pas installer ce patch dès maintenant, je vous recommande de vous tourner vers des solutions qui permettent  de faire du virtual patching

 

Podcast: Play in new window | Download

Subscribe: Apple Podcasts | RSS

Super Fish

SuperFish

SuperFish est le nom de l’autorité de certification qui est installée par défaut sur les machines Lenovo. Cette autorité de certification associée à d’autres composants logiciels permet d’inspecter les flux HTTPS de l’utilisateur et d’ajouter des publicités sans que des alertes SSL ne soient levées.

Pourquoi est-ce vraiment problématique ?

Parce que la clé privée de l’autorité de certification est disponible dans le kit de développement et que le mot de passe protégeant cette clé a été craqué. Par conséquent, un attaquant peut :

– Générer un certificat pour un n’importe quel nom de serveur et ce certificat sera « trusté » par le navigateur de la cible . Cela rend les opérations de fishing plus faciles pour les attaquants

– Cela peut également permettre à un attaquant de réaliser une attaque de type « man in the midle » sans que des alertes ssl ne soient présentées à la cible.

Pour supprimer toutes traces de superfish sur votre machine :

http://support.lenovo.com/en/product_security/superfish_uninstall

 

Podcast: Play in new window | Download

Subscribe: Apple Podcasts | RSS

Botconf 2014

Botconf2014

 

 

Episode dédié à la Botconf 2014

 

Le mp3 de l’épisode est disponible plus bas.

Des détails sur toutes les confs :

Les vidéos des confs sont disponibles ici https://www.botconf.eu/botconf-2014/documents-and-videos/

Ici, une interview d’Eric Freyssinet : http://www.nextinpact.com/news/91376-interview-eric-freyssinet-nous-parle-botnets-et-sa-botconf.htm

Quelques outils intéressants évoqués pendant les lightning talks ou les confs

  • Malcom (Malware Communications Analyser) par @tomchop_
  • Macaroni Extension (A browser extension to add yara tags to VirusTotal Intelligence)
  • Opengraphiti (OpenDNS Data Visualization Framework)

Vos commentaires sur notre page facebook

Podcast: Play in new window | Download

Subscribe: Apple Podcasts | RSS

nftables

NFtablesnftables est le nouveau firewall sous Linux qui va remplacer (entre autre) la fameuse commande iptables.

Lors de cet épisode, Eric Leblond qui est  contributeur du projet netfilter réponds à nos questions.

 

 

 

Vos commentaires sur notre page facebook ou sur blogpost

Podcast: Play in new window | Download

Subscribe: Apple Podcasts | RSS