KeRanger : Le premier ransomware sur Mac OS X !

Les ransomwares sont décidément très en vogue en ce moment, c’est désormais Mac OS X qui est la cible de ce type d’attaque puisqu’un premier ransomware nommé “KeRanger” a été identifié. Il se dissimule dans le client BitTorrent “Transmission” et si vous l’attrapez sur votre machine, il chiffrera vos données et vous devrez payer en contre-partie de l’opération de déchiffrement.

Le centre de recherche de Palo Alto est à l’origine de cette trouvaille et ils affirment l’avoir détecté le 4 mars :

“Un ransomware qui se dissimule au sein du client BitTorrent Transmission. Le logiciel KeRanger attend trois jours avant de se connecter au serveur anonyme Tor, c’est alors qu’il commençe à crypter vos données avant de demander une rançon en Bitcoin de 400 dollars.”

KeRanger a réussi à obtenir un certificat Mac valide afin de bypasser la protection Gatekeeper d’Apple. Néanmoins, suite à cette annonce, Apple a révoqué ce certificat de sécurité que le ransomware utilisait, et quant à Transmission la version infectée est désormais remplacée.

Bien choisir ses CAL Windows Serveur 2012 !

Chaque utilisateur ou poste de travail nécessite une licence pour accéder aux programmes sur le serveur, il est important de se demander quels sont les besoins en termes de licences d’accès client (CAL) pour ses systèmes d’exploitation et serveurs. Aujourd’hui, nous allons expliquer ce que sont exactement les CAL et quels sont leurs différents types.

Tout d’abord, qu’est-ce qu’une CAL ?

Une CAL est une licence d’accès client, c’est-à-dire qu’elle accorde l’accès à certains logiciels serveur de Microsoft. En d’autres termes, les licences d’accès client permettent aux utilisateurs et aux appareils d’utiliser les services du logiciel serveur. Par exemple, si vous achètez un serveur HP ProLiant ou Dell PowerEdge  avec une licence Windows Server 2012 Standard* ou Datacenter*, Vous devrez acquérir également le nombre de droit d’accès (CAL) au serveur correspondant aux utilisateurs ou postes de travail. Ce sont les CAL qui vont accorder ces droits.

[minti_spacer]

Il existe différents types de licences d’accès client.

Cal_materiel

Le premier type sont les CAL périphérique. Elles sont nécessaires pour n’importe quel dispositif, utilisé pour accéder aux serveurs.

Les CAL périphérique sont une solution la plus économique et la plus facile à administrer pour une organisation où il y a plusieurs utilisateurs par un poste donné, comme, par exemple, des travailleurs postés.

Cal_Utilisateur

Deuxième type c’est les CAL utilisateur. Ces licences donnent les droits d’accès à chaque utilisateur nommé ayant accès aux serveurs à partir de n’importe quel appareil.

Cette solution est la plus économique et simple à gérer pour une organisation avec de nombreux employés itinérants qui ont besoin d’accéder au réseau d’entreprise à partir des périphériques inconnus ou des employés qui accèdent au réseau via plusieurs appareils. Alors, si le nombre d’utilisateurs est inférieur au nombre d’appareils, les CAL utilisateur sont un choix plus économique.

Cal_RDS_TSE

En plus des CAL périphérique et des CAL utilisateur, il existe un troisième type de CAL, CAL RDS signifiant Remote Desktop Services ou en français Services de Bureau à distance.

Les CAL RDS sont nécessaires si l’utilisateur ou le dispositif utilisent la fonctionnalité de Terminal Server de Windows Server 2012 R2.

[minti_headline]Pour vous aider à évaluer les besoins en licences d’accès client pour vos clients, profitez de cet outil fournit par Microsoft.[/minti_headline]
[minti_spacer]

Un accès au Bureau à distance nécessite à la fois une CAL Windows Server (utilisateur ou périphérique) et une CAL Remote Desktop Services. Les CAL Remote Desktop Services contiennent une clé de produit pour l’activation. Le mode de licence pour le Bureau à distance configuré sur un serveur hôte de session Bureau à distance doit correspondre au type de CAL Services Bureau à distance disponible sur le serveur de licences.

Attention : Deux utilisateurs ou dispositifs au maximum peuvent accéder au logiciel serveur uniquement à des fins d’administration du serveur sans nécessiter de CAL.

L’offre Windows Server 2012 et 2012 R2 Standard et Datacenter ne comprend pas de licences d’accès client pré-packagées avec la licence du système d’exploitation.

Les CAL user / utilisateur et les CAL device / matériel sont disponible à l’unité ou en lot que vous pouvez ajouter à tout moment. Vous pouvez acheter également des licences d’accès client de Services de Bureau à Distance.

Un accès au Bureau à distance nécessite à la fois une CAL Windows Server (utilisateur ou périphérique) et une CAL Remote Desktop Services. Les CAL Remote Desktop Services contiennent une clé de produit pour l’activation. Le mode de licence pour le Bureau à distance configuré sur un serveur hôte de session Bureau à distance doit correspondre au type de CAL Services Bureau à distance disponible sur le serveur de licences.

Attention : Deux utilisateurs ou dispositifs au maximum peuvent accéder au logiciel serveur uniquement à des fins d’administration du serveur sans nécessiter de CAL.

L’offre Windows Server 2012 et 2012 R2 Standard et Datacenter ne comprend pas de licences d’accès client pré-packagées avec la licence du système d’exploitation.

Les CAL user / utilisateur et les CAL device / matériel sont disponible à l’unité ou en lot que vous pouvez ajouter à tout moment. Vous pouvez acheter également des licences d’accès client de Services de Bureau à Distance.

Ce tableau compare les droits de licence Windows Server 2012 :

Windows_Serveur_2012_Comparatif

Des CAL sont-elles incluses avec Windows Server 2012 / 2012R2 ?

Non.Toutes les CAL de Windows Server 2012 sont vendues séparément.

Seul les versions Fondation et Essentials sont pré-packagées mais n’offre aucune possibilité d’évolution.

Quelle est la différence entre une licence serveur et une CAL ? Pourquoi ai-je besoin des deux ?

Une licence serveur autorise son titulaire à installer et à utiliser le logiciel serveur Microsoft. Une CAL autorise un périphérique ou un utilisateur à accéder au logiciel serveur Microsoft. Ceci rend les licences accessibles aux entreprises de toutes tailles.

Dans quelles circonstances dois-je acheter une CAL ?

Vous avez besoin d’une CAL lorsqu’un utilisateur ou un périphérique accède ou utilise le logiciel serveur Microsoft. Si l’accès se fait par Internet de manière non authentifiée (comme c’est le cas pour un site Web public), une CAL n’est pas nécessaire.

Puis-je utiliser une CAL périphérique et une CAL utilisateur pour accéder au même serveur ?

Oui. Les CAL périphérique et utilisateur, tout comme les CALS Remote Desktop Services périphérique et utilisateur, peuvent être utilisées pour accéder au même serveur.

Chaque CAL est-elle « liée » à un utilisateur ou à un périphérique spécifique ?

Oui. Les CAL doivent être attribuées à des utilisateurs ou à des périphériques spécifiques. Si un utilisateur quitte l’entreprise, ou si un périphérique n’est plus utilisé, la CAL correspondante peut être réattribuée.

Que se passe-t-il si j'ai perdu mes CAL ?

Les CAL de Windows Server n’ont pas de clés de produit, alors les certificats d’authenticité des Pack de CALs ou COAs sont considérés comme la preuve d’achat. La facture du client peut être utilisée dans le même but, alors il n’est pas nécessaire de remplacer le certificat d’authenticité du Pack de CAL.

Quelles CAL sont compatibles avec quelles versions de Windows Server ?

Les CAL doivent avoir la même version ou supérieure que logiciel serveur auquel elles accèdent. Les CAL de Windows Server 2012 sont compatibles avec Windows Server 2008 R2, 2008 et 2003 R2. Cependant les CAL RDS dépendent de la version, donc assurez-vous d’associer la version de CAL RDS avec la version de Windows Server de votre client.

CAL_Windows_Serveur_Compatibilite

VMware : Un virus crypte vos datastores !

Un virus ransomware de type “cryptolocker” s’attaque depuis plusieurs mois à deux produits VMware : ESXi et vCenter. Son wholesale nba jerseys objectif : Chiffrer les données de vos datastore et vous ransonner pour espérer retrouver l’accès à vos machines virtuelles…

vmware-datastore-cryptolocker

Plusieurs administrateurs système confirment avoir été victimes de ce ransomware, un fichier texte est placé sur les datastore en demandant 5 bitcoins pour la restitution des données par machine.

Si vous utilisez les produits VMware, sachez que les anciennes versions d’ESXi sont vulnérables c’est à dire de la version 5.0 à la version 5.5, mais également vCenter 5.0 à 6.0.

Quoi qu’il en soit, vous devez mettre à jour vos serveurs avec Update Manager ou manuellement, mais gardez en-tête que vos hyperviseurs ne doivent pas être accessible depuis internet, sinon voilà ce qu’il peut arriver…

Ce pirate semblerait être russe à en  croire : son pseudo “Russian guardians” mais rien ne l’affirme…

Les versions ESXi touchées sont :

VMware ESXi 5.5 sans le patch ESXi550-201509101-SG
VMware ESXi Craft 5.1 sans le patch ESXi510-201510101-SG
VMware ESXi 5.0 sans le patch ESXi500-201510101-SG

Et pour vCenter :

vCenter Server 6.0 inférieur à 6.0.0b
vCenter Server 5.5 inférieur à 5.5 update 3
vCenter Server 5.1 inférieur à 5.1 update u3b
vCenter Server 5.0 inférieur à 5.0 update u3e

Pour plus d’infos :

Détail des versions impactées
CVE-2015-2342, CVE-2015-5177, CVE-2015-1047
Dernières versions disponibles
Security Guidelines

Sur les origines de la faille on parle de reste de heartbleed / heartbeat, bref encore OpenSSL.

Ne tardez pas à mettre à jour, que ce soit avec Update Manager ou manuellement. Pour rappel vos hyperviseurs ne doivent jamais être accessibles depuis le web et de préférence sur un réseau dédié/VLAN différent de votre LAN. Mettez donc un bon pfSense en frontal avec les DMZ qui vont bien. Sans oublier des sauvegardes hors ligne (sur bande ou autre) pour se prémunir de toute contamination.

Apple les nouveaux iMac 2016

imac_retina_2016

Comme chaque année à la même époque, Apple lance ses nouveaux iMac. Et cette année, la marque américaine a fait le forcing sur la qualité des écrans.

En effet, cette année le nouvel iMac de 21,5 pouces abrite un écran Retina 4K (4 096 x 2 304 pixels) et le 27 pouces un écran Retina 5K (5 120 x 2 880 pixels) avec un gamut élargi basé sur la norme P3. Ce qui leur permet d’offrir un espace colorimétrique 25 % plus large et d’afficher davantage de nuances colorimétriques.

Si le modèle de 21,5 pouces embarque des processeurs Intel Core 5ème génération, le 27 pouces, lui, s’est armé de processeurs Intel Core 6ème génération, avec 8 Go de mémoire vive DDR3 et les dernières unités graphiques d’AMD.

Tous deux proposent également deux ports Thunderbolt 2, la connectivité Wi-Fi 802.11ac à triple flux, la technologie de stockage Fusion Drive jusqu’à 2 To, la caméra FaceTime, deux haut-parleurs, deux micros, un slot pour cartes SDXC, 4 ports USB 3.0, un port Ethernet Gigabit et une sortie casque.

Le tout avec les nouveaux Magic Keyboard, Magic Mouse 2 et Magic Trackpad 2 (en option à 149 euros) dont le design a été retravaillé et qui sont désormais équipés d’une batterie lithium-ion rechargeable.

Chaque iMac est évidemment livré avec OS X El Capitan (qui ne fait pas que des heureux !) et sa batterie d’applications habituelle.

Côté prix, l’iMac 21,5 pouces est disponible en trois versions à partir de 1 249 euros, tout comme l’iMac 27 pouces à partir de 2 099 euros.

Malware bancaire : nom de Dridex

Depuis quelques semaines, les entreprises françaises subissent une attaque visant à les infecter par un Malware bancaire connu sous le nom de Dridex. Nous relayons l’alerte de l’agence de sécurité française Anssi et l’analyse effectuée par l’éditeur G Data dans son laboratoire. Des centaines d’entreprises ont déjà été abusées et les versements bancaires frauduleux sont très importants, ils portent désormais sur plusieurs millions d’euros. Cette attaque de forte ampleur a fait l’objet d’une alerte de la part de l’ANSSI :

Le CERT-FR alerte sur des spams qui se diffusent depuis plusieurs semaines en dépit des filtres antispam : attention aux macros malveillantes qu’ils diffusent !

Ces spams sont d’autant plus dangereux qu’ils embarquent des documents Microsoft Office contenant des macros VBA* malveillantes. Ces macros ont pour but d’infecter la victime avec Dridex, malware de type bancaire.
Ces spams sont très souvent rédigés dans un français sans faute, la tournure n’attire dons pas spécifiquement l’attention. Le sujet et le contenu du pourriel mentionnent des problèmes de facturation, dans la plupart des cas pour inciter le destinataire à ouvrir la pièce jointe.

 

Afin de se protéger contre ce type de menace, les conseils habituels sont rappelés :

• ne pas ouvrir les documents ou les pièces jointes CryptoLocker non sollicités;
• désactiver l’exécution automatique des macros dans les suites bureautiques;
• maintenir le système d’exploitation et l’antivirus à jour. Le bulletin d’actualité du CERT-FR détaille les formats de documents et techniques utilisées ainsi que les parades à mettre en place.

Note :

*VBA : Visual Basic for Application est une implémentation de Microsoft Visual Basic intégrée dans l’ensemble des applications de Microsoft Office.

Le G DATA SecurityLabs a disséqué cette attaque et nous livre son analyse.

 

Infection en 4 étapes

• L’attaque commence par un spam en français. Le contenu de l’email évoque une facture ou une commande soi-disant effectuée. En pièce jointe se trouve le document en question : un document Microsoft Office. Dans certains emails analysés, la pièce jointe intègre l’adresse email du receveur du spam, ce qui peut laisser penser qu’il s’agit effectivement d’un vrai document. Dans les attaques en français étudiées, les documents attachés sont vides à l’ouverture, mais Word propose l’activation des macros.

• Si l’utilisateur active la macro, il déclenche la deuxième phase : le téléchargement d’un premier code. Le site pointé est Pastebin.com, un service gratuit dans lequel il est possible de stocker du texte et le partager grâce au lien vers la page. Il est utilisé généralement par des développeurs pour partager des codes sources. Les attaquants ont vraisemblablement choisi cette page pour son caractère légitime et il est peu probable que les solutions de sécurité l’inscrivent dans une liste noire. Il est très facile de stocker du code sur cette plateforme, ainsi l’usage de ce site s’avère très pratique.

• La troisième étape consiste donc à charger ce code malveillant (le Payload), un VBS (Visual Basic Script) qui va alors télécharger un exécutable, l’installer dans %APPDATA% et l’exécuter. Vient ensuite la quatrième étape : le téléchargement du downloader, lui-même dédié au téléchargement du code malveillant final. Dans les cas analysés durant les derniers jours, le code téléchargé est le trojan bancaire Dridex. Mais en fonction du bon vouloir de l’attaquant, le downloader peut être commandé afin de télécharger un autre programme malveillant. Ainsi, dans plusieurs autres emails en français détectés ces derniers jours, certains downloaders ne téléchargeaient aucun code, mais étaient en attente.

 

Conclusion

Les auteurs du malware sont dans la recherche constante d’innovations pour escroquer les utilisateurs, et tenter de contourner les solutions de sécurité. Dans ce cas, ils utilisent un site internet légitime dans le processus d’infection que les produits de sécurité n’inscriraient pas dans une liste noire. Ils utilisent des documents Microsoft Office spécifiques pour contourner les analyses de certains antivirus. Certains anti malware dont ceux de G DATA détectent ces documents.

CryptoLocker un ransomware destructif

Cryptolocker est considéré comme l’une des menaces les plus insidieuses pour les internautes, une campagne de spam récent ciblé 10M utilisateurs français, nous allons apprendre comment lutter contre elle.

Récemment l’Agence nationale de la criminalité a émis une alerte sur une grande campagne de spam basé sur cryptolocker ransomware qui cible plus de 10 millions d’utilisateurs de messagerie. Cryptolocker malware est considéré comme très insidieuse par les utilisateurs, il crypte les fichiers de la victime, puis exige une rançon pour rétablir l’accès. Cryptolocker a été détecté pour la première fois en septembre 2013, ce qui le rend si insidieux cryptolocker est la façon dont il crypte les données de la victime en utilisant une méthode de cryptage fort rendant impossible d’y accéder sans avoir payé le montant de la rançon. Si la victime ne paie pas le montant de la rançon en 72 heures, cryptolocker va supprimer la clé de décryptage pour décrypter tous les fichiers sur votre PC. L’Agence nationale de la criminalité a révélé que les e-mails de spam ciblés principalement des comptes appartenant à des professionnels, généralement les messages comprennent une pièce jointe malveillante qui apparaissent comme des fichiers : une facture, un avoir ou une commande, avec des détails d’une transaction suspecte, nous avons également vue de faux messages vocaux ou des fax.


Crypto


Le Laboratoires Bitdefender, firme de sécurité, à observé que, dans la semaine commençant le 27 octobre plus de 12.000 ordinateurs ont été infectés.

Lorsque les victimes tentent d’ouvrir les fichiers infectés par le malware cryptolocker, l’ordinateur affiche alors un compte à rebours qui exige le paiement d’une rançon en Bitcoins, d’une valeur d’environ 436 € pour obtenir la clé de déchiffrement. Entre 2013 et 2014, il y a eu une augmentation de 250% du nombre de nouvelles familles de crypto ransomware (étude Symantec). La rançon moyenne s’élève à 300 dollars (étude Symantec), même si elle peut facilement dépasser les dizaines de milliers d’euros quand des entreprises en sont victimes.

Les victimes sont avisées de ne pas payer la rançon, car évidemment après le paiement, il n’y a aucune assurance que les fichiers soient à nouveau exploitables pour l’utilisateur.
Au cours de ces dernières semaines, nous avons reçu de nombreuses demandes pour avoir une indication sur la façon de se protéger de cryptolocker ransomware. Les mauvaises nouvelles sont qu’il n’y a aucune possibilité de décrypter _Austauschbl?tter les fichiers sans la clé de déchiffrement, les attaques par wholesale jerseys force brute sont inutiles contre un cryptage de 2048 bits. La prévention est essentielle, en suivant quelques conseils précieux :

• Évitez d’ouvrir emails et pièces jointes provenant de sources inconnues, en particulier ZIP Inside ou archive RAR fichiers.
• Maintenir les systèmes à jour, la défense OS et des applications. Sauvegardez vos données. Les utilisateurs de Windows 7 devraient mettre en place le système are des points de restauration ou, si vous utilisez Windows 8, le configurer pour garder l’historique des fichiers.
• En cas d’infection, assurez-vous que vous avez reformaté votre disque dur pour supprimer complètement le cheval de Troie cryptolocker avant de tenter de réinstaller Windows et / ou restaurer vos fichiers à partir d’une sauvegarde.

Sur Internet, il est possible de récupérer de nombreux outils pour protéger votre système de cryptolocker, HitmanPro.Alert est l’un des meilleurs utilitaires gratuits qui peut nous défendre contre cryptolocker ransomware. L’application contient en fait une nouvelle fonctionnalité, appelée CryptoGuard, capable de détecter et de neutraliser les activités malveillantes. D’autres outils sont valides BitDefender Anti-CryptoBlocker, une application qui permet de détecter cheap jerseys le cryptage de bloc des données de l’utilisateur et CryptoPrevent applique un certain nombre de réglages à la machine Windows pour empêcher l’exécution de cryptolocker.

image001

CryptoLocker-la-solution

Le message d’alerte