Cybersécurité : les Français craignent pour leur identité en ligne

La pandémie intervient dans un contexte où les préoccupations relatives à la sécurité vont croissantes. En novembre dernier déjà, le Cigref avait adressé un courrier au Premier ministre pour lui faire part de la préoccupation des grandes entreprises et des administrations publiques françaises vis-à-vis de l’augmentation, en nombre et en intensité, des cyberattaques.

The post Cybersécurité : les Français craignent pour leur identité en ligne first appeared on UnderNews.
Source de l’article sur UNDERNEWS

Quiz: How Well Do You Know the Anatomy of a Typeface?

The constituent parts of a typeface design have some bizarre names. Any ideas what a beak might be? How about a crotch? Take our fun quiz and find out how well you know typeface anatomy.

Featured image via Unsplash.

Source

The post Quiz: How Well Do You Know the Anatomy of a Typeface? first appeared on Webdesigner Depot.


Source de l’article sur Webdesignerdepot

Qu’est-ce que l’ERP Cloud ?

Avant d’aborder le sujet de l’ERP Cloud, rappelons ce qu’est un ERP. Introduit dans les années 90, le progiciel de gestion intégré (ERP) est un logiciel qui automatise les processus, que ces derniers relèvent de la finance, distribution, production, etc. Initialement, les systèmes ERP étaient souvent implémentés chez les clients, dans leurs centres de données. Ils étaient alors axés sur l’automatisation et l’orchestration des activités et des ressources internes. Au fil du temps, ils ont évolué pour s’adapter aux nouveaux besoins.

Plus récemment, la technologie cloud computing est arrivée et les logiciels ont été davantage distribués sous forme de services, via internet. L’ERP, comme beaucoup d’autres applications, a migré dans le cloud. Logiciel en tant que service (SaaS), l’ERP Cloud est disponible par abonnement plutôt qu’à l’achat. Mais l’ERP Cloud ne se limite pas à un nouveau modèle de distribution et de tarification. S’il rencontre aujourd’hui un tel succès, c’est parce qu’il aide les entreprises à prospérer à l’ère du numérique.

Pourquoi l’ERP Cloud ?

Pendant plus de 25 ans, les systèmes ERP ont apporté de la valeur aux entreprises, en les aidant à augmenter leur productivité et à obtenir une visibilité accrue. Mais le monde (et la concurrence) a changé.

La façon dont les entreprises fonctionnent et créent de la valeur est différente aujourd’hui. Elles sont d’abord sous pression pour automatiser leurs opérations. Quand elles ont déjà une certaine maturité numérique, comme beaucoup de grandes entreprises, elles cherchent à optimiser et changer leurs processus. Ainsi que des opportunités pour continuer à croître et à s’étendre. Les entreprises travaillent également davantage en réseau. Elles s’appuient sur des partenaires pour la production, distribution, gestion des ventes, le service, le support… et même pour leurs activités principales.

Ce monde globalisé et connecté exige de nouvelles technologies et systèmes, capables de gérer les opérations internes et externes, ainsi que les réseaux d’entreprises dans le monde entier. Et l’ERP Cloud rend tout cela possible, permettant aux entreprises de tirer parti des changements et d’être plus agiles.

En parallèle, les clients, de plus en plus férus de numérique, sont plus exigeants. Ils veulent des livraisons plus rapides, des offres continuellement améliorées, une fiabilité accrue et des coûts réduits.

Les anciens ERP ne peuvent plus suivre le rythme. Pourquoi ? Parce qu’ils ne s’adaptent pas facilement au changement, reposent sur une technologie à la maintenance coûteuse. Et aussi parce qu’il est peu probable qu’ils aident les entreprises à se conformer aux nouvelles réglementations.

Résultat : la plupart des anciens systèmes ERP peinent à fournir la vitesse, la flexibilité et la business intelligence nécessaires à la transformation, croissance et compétitivité des entreprises.

Comment l’ERP SaaS a-t-il évolué ?

Au début des années 2000, les applications cloud étaient surtout des solutions autonomes. Des outils de gestion de la relation client (CRM), de marketing automation, de gestion des notes de frais et des déplacements, etc.

Au milieu des années 2000, les principaux éditeurs de logiciels ont lancé leurs solutions d’ERP Cloud. Beaucoup avaient des fonctionnalités limitées et n’avaient pas été fondamentalement conçues pour le « cloud ». Une grande partie de ces solutions ont été adoptées lentement. Parce qu’elles étaient trop rigides, ne pouvaient suivre la rapidité du changement ni apporter la profondeur de fonction requise. Elles ne pouvaient pas non plus s’intégrer ou se connecter à différents systèmes ou données, limitant de fait la portée du changement et la croissance des entreprises.

Les systèmes ERP d’aujourd’hui ont considérablement changé la donne. Tout comme la courbe d’acceptation et d’adoption de l’ERP Cloud. Pourtant, il reste important de distinguer les systèmes ERP conçus pour le cloud de ceux qui simplement opèrent sur le cloud.

Pourquoi l’ERP Cloud est-il aujourd’hui si important ?

Les entreprises à forte croissance se sont souvent imposées comme des spécialistes dans leurs secteurs, grâce à des relations étroites avec leurs clients et fournisseurs, davantage de processus automatisés, et un besoin constant d’optimiser l’efficacité de leurs ressources et de passer à l’étape suivante de leur croissance. Les nouveaux environnements ont également entraîné un besoin d’innovation plus rapide. Ce qui a souvent créé un créneau pour ces entreprises, qui deviennent des spécialistes travaillant dans un petit ensemble de marchés verticaux, tels que la production de métaux pour l’aérospatiale ou les services de distribution aux restaurants.

Pour croître plus rapidement, ces entreprises doivent se développer dans de nouveaux marchés, lancer de nouveaux produits et services, faire des acquisitions et réagir aux échecs de leurs concurrents. Répondre à ces changements et saisir les opportunités au moment opportun est crucial. Un ancien système ERP rigide et difficilement extensible limitera la croissance et les changements positifs.

De même, la coopération entre les services est essentielle. Mais les systèmes de reporting indépendants – souvent basés sur des fichiers Excel, extraits de données ou systèmes cloisonnés – compliquent l’échange d’informations. Ils entraînent aussi des retards et des erreurs dans les opérations. Or, le partage efficace d’informations est vital pour prendre rapidement de bonnes décisions.

Aussi, les dirigeants sont souvent très soucieux des coûts. Et la constitution de réserves au bilan pour développer l’entreprise exige un examen du fonds de roulement, des dépenses d’exploitation et des investissements. Pourtant, de nombreux systèmes comptables hérités peinent à gérer ces détails. Et peinent aussi à se connecter au système comptable élargi ou à l’ERP. Les anciens outils et systèmes ne répondent pas aux besoins actuels, ne contribuent pas à l’efficacité opérationnelle et ne sont pas structurés ou maintenus pour répondre aux nouvelles exigences.

Enfin, si les entreprises sont promptes à adopter des solutions technologiques qui améliorent leurs opérations, beaucoup ont investi dans des solutions déconnectées pour résoudre des problèmes spécifiques à un service ou à un secteur. Ils ont par exemple investi dans des systèmes de gestion de la production (MES), de gestion des services de terrain, ou des logiciels de centre d’appels. Cette approche peut conduire à des dépenses importantes. Mais aussi à une grande complexité, lorsque ces solutions se connectent difficilement au système ERP. L’ERP Cloud, avec ses nouvelles technologies et ses avantages, change tout cela et offre une intégration harmonieuse.


Les systèmes modernes d’ERP Cloud améliorent le flux de travail grâce à des processus rationalisés, ce qui aide les entreprises à fournir un meilleur service à la clientèle, à identifier les opportunités d’upselling et à améliorer le cycle « order to cash ».


Quels sont les 10 principaux avantages de l’ERP Cloud ?

Les entreprises qui sont passées à l’ERP Cloud l’ont fait pour les avantages suivants :

  1. Réduction des coûts: en tant que service par abonnement, il n’y a pas de frais initiaux pour l’achat et l’installation du matériel et des logiciels. De plus, vous réduisez les coûts informatiques et les frais de personnel. En effet, les mises à niveau et la maintenance sont prises en charge par le fournisseur. Selon le modèle de déploiement de l’ERP Cloud que vous choisissez – cloud privé ou public – les économies peuvent être significatives. Le cloud public, en particulier, permet d’importantes économies financières et de temps dans la gestion de la maintenance.
  2. Implémentation rapide et flexible : la mise en place d’un ERP Cloud est très rapide. Votre fournisseur SaaS s’occupe des installations de matériel et de logiciels et met à disposition un personnel spécialisé dans la gestion des centres de données. Tout comme les applications mobiles que nous connaissons tous, la même interface utilisateur intuitive et la même expérience sont disponibles dans les applications d’ERP Cloud. Cela vous permet de saisir les opportunités en gagnant rapidement en productivité. La maîtrise des applications est rapide, l’automatisation prévaut, et le lancement de nouveaux produits dans de nouveaux secteurs et environnements devient facile.
  3. Amélioration des opérations : les fournisseurs d’ERP en mode SaaS gèrent et fournissent des mises à jour continues du système. Ils améliorent les opérations, changent les processus obsolètes, introduisent des innovations, technologies et fonctionnalités qui soutiennent les meilleures pratiques. L’ERP Cloud améliore et accélère, non seulement les pratiques financières et comptables, mais les opérations dans toute l’entreprise. Et peut même s’étendre aux partenaires et aux réseaux.
  4. Simplicité et automatisation : les entreprises peuvent consolider d’anciennes applications autonomes, standardiser et intégrer toutes les applications existantes et nouvelles. Elles peuvent aussi éliminer l’utilisation de systèmes déconnectés et les solutions de contournement qui existent sur les feuilles de calcul Excel. Cette synchronisation aide à réduire la complexité.
  5. Nouvelles fonctionnalités : les fournisseurs de SaaS gèrent le logiciel qui est partagé par toutes les entreprises qui l’utilisent. Cela permet aux fournisseurs de développer rapidement de nouvelles fonctions, améliorations. Et de les fournir à toutes les entreprises par le biais de mises à jour continues, ainsi que plusieurs nouvelles versions plus importantes par an. Comme les mises à jour sont livrées à tout le monde en même temps, vous ne manquez jamais une opportunité comme par le passé. Lorsque vous attendiez que votre fournisseur mette à jour votre système ERP personnalisé.
  6. Visibilité accrue : obtenir des insights nécessite des données et des outils d’entreprise fiables pour extraire les informations pertinentes. Les ERP Cloud modernes ont été conçus pour déverrouiller le big data. Afin que vous puissiez accéder aux informations cachées dans des ensembles de données vastes et complexes. Les bons systèmes d’ERP Cloud sont construits sur des modèles de données plus récents qui permettent un traitement en mémoire à grande vitesse, avec une architecture de données simplifiée. Et si les anciens systèmes ERP fournissent des outils de reporting, les analyses approfondies et intégrées disponibles via le cloud améliorent la prise de décision et les bénéfices dans toute l’organisation. Voir les tendances, prévoir les changements et automatiser les processus améliorent l’utilisation des ressources et, finalement, le service à la clientèle.
  7. Prise en charge de l’ERP mobile : Les produits ERP en mode SaaS garantissent que l’accès aux informations pour les collaborateurs, les sous-traitants, les fournisseurs et les clients est disponible et sécurisé sur les appareils mobiles, partout et à tout moment. La mobilité ne peut pas être pensée après coup. Accéder à des interfaces modernes, conçues pour s’adapter aux écrans mobiles, est important pour les utilisateurs.
  8. Accès aux nouvelles technologies : Des technologies avancées et intelligentes sont intégrées dans les solutions ERP SaaS modernes pour améliorer la productivité. Ces technologies comprennent l’Intelligence Artificielle (IA), le Machine Learning, et l’Internet des Objets (IoT). Ce dernier permet notamment à des dispositifs (machines ou capteurs) d’envoyer des données à des applications via le cloud.
  9. Une sécurité renforcée : Avec les systèmes ERP Cloud, la sécurité et les sauvegardes de données sont assurées par des experts en sécurité à plein temps. Les fournisseurs de cloud computing disposent généralement de la meilleure sécurité de données qui existe. Les failles de sécurité dans les grandes et moyennes entreprises se produisent généralement avec des systèmes sur site. Cependant, une chaîne n’est pas plus solide que son maillon le plus faible. Pour éviter la vulnérabilité aux points d’intégration, les systèmes ERP Cloud doivent être complets, connectés et collaboratifs.
  10. Scalabilité : Comme la croissance peut être difficile à prévoir, la scalabilité est importante. Avec une solution SaaS, vous pouvez simplement ajouter une puissance de calcul ou une capacité de stockage de données supplémentaire. Ce qui vous évite d’engager des dépenses d’investissement importantes.

BONUS : avec l’ERP Cloud, si les entreprises utilisatrices identifient des problèmes communs ou des besoins non satisfaits, elles peuvent pousser le fournisseur à apporter des changements. La volonté de la foule prévaut souvent. En conséquence, l’innovation est plus réactive et plus rapide.

L’ERP Cloud est-il sûr ?

Avec toutes les actualités concernant les violations de données et les virus, on peut se demander si l’ERP Cloud est sécurisé. De fait, aucun système n’est inviolable. Mais le degré de sécurité de votre système dépend de la manière dont il a été déployé et de qui le gère.

Voici quelques points clés à prendre en compte :

  • Vol de données : C’est probablement l’un des sujets les plus brûlants de l’actualité. De grandes entreprises ont vu leurs données volées et les informations privées de leurs clients compromises. Toutefois, l’examen des cas de violations de données montre que ces dernières étaient, le plus souvent, stockées dans les locaux de l’entreprise, et non dans le cloud.
  • Perte de données : Perdre des fichiers est une chose terrible. Mais cela peut arriver lors d’une catastrophe naturelle, d’un effacement de données par erreur ou d’une panne informatique. L’unique solution pour s’en prémunir est de faire des sauvegardes régulières. Avec l’ERP Cloud, les fournisseurs d’infrastructures effectuent des sauvegardes hors site régulières et de manière redondante. En cas de perte de données, il est facile de les restaurer pour que le système soit rapidement remis en marche.
  • Sécurité : il est de la plus haute importance d’avoir le bon niveau de sécurité. Les ETI disposent généralement d’un personnel informatique limité. Ce personnel s’occupe généralement de l’infrastructure, des mises à jour du système et des problèmes des utilisateurs. Les PME, quant à elles, disposent très rarement d’un personnel de sécurité informatique à plein temps. Avec un fournisseur d’ERP Cloud réputé, les PME/ETI ont automatiquement des experts en sécurité à plein temps. Disponibles 24 /24 et 7/7, ils s’assurent que toutes les mises à jour et procédures de sécurité sont réalisées.

Compte tenu de ce qui précède, l’ERP Cloud constitue une option plus sûre qu’un déploiement sur site.

Ne remettez pas à demain ce que vous pouvez faire aujourd’hui

L’ERP Cloud est une solution éprouvée et mature. Aujourd’hui utilisée par des milliers d’entreprises dans le monde, et probablement par bon nombre de vos concurrents.

Pour la majorité des ETI et grandes entreprises, la migration vers le « cloud » est une étape inévitable pour passer au niveau supérieur. Les avantages de processus accélérés, d’une visibilité accrue et d’un retour sur investissement plus rapide peuvent être vérifiés par des rapports d’analystes (de Gartner, Aberdeen, Forrester, etc.) et par des exemples de réussite de clients de votre secteur.

Publié en anglais sur SAP Insights

The post Qu’est-ce que l’ERP Cloud ? appeared first on SAP France News.

Source de l’article sur sap.com

APT-Hunter – Threat Hunting Tool via Windows Event Log

APT-Hunter – Threat Hunting Tool via Windows Event Log

APT-Hunter is a threat hunting tool for windows event logs made from the perspective of the purple team mindset to provide detection for APT movements hidden in the sea of windows event logs.

This will help you to decrease the time to uncover suspicious activity and the tool will make good use of the windows event logs collected and make sure to not miss critical events configured to be detected.

The target audience for APT-Hunter is threat hunters, incident response professionals or forensic investigators.

Read the rest of APT-Hunter – Threat Hunting Tool via Windows Event Log now! Only available at Darknet.

Source de l’article sur Darknet

Google Will Use ‘FLoC’ for Ad Targeting Once 3rd-Party Cookies Are Dead

Signaling a major shift to its ads-driven business model, Google on Wednesday unequivocally stated it would not build alternate identifiers or tools to track users across multiple websites once it begins phasing out third-party tracking cookies from its Chrome browser by early 2022. « Instead, our web products will be powered by privacy-preserving APIs which prevent individual tracking while
Source de l’article sur The Hacker News

Le groupe APT Lazarus se tourne à présent vers l’industrie de la défense

Les chercheurs de Kaspersky ont identifié une nouvelle campagne, jusqu’alors inconnue, menée par Lazarus, un acteur APT très prolifique. Actif depuis au moins 2009, Lazarus est lié à un certain nombre de campagnes, notamment à l’encontre du marché des crypto-monnaies.

The post Le groupe APT Lazarus se tourne à présent vers l’industrie de la défense first appeared on UnderNews.
Source de l’article sur UNDERNEWS

Business optimisation architecture – Example planning optimisation

business optimisationIn my previous article from this series I shared the logical view of the business optimisation use case for retail stores.

The process was laid out how I’ve approached the use case and how portfolio solutions are the base for researching a generic architectural blueprint.

Source de l’article sur DZONE

Google’s FLoC Promises a Radically Different Web

Advertising knows you better than your friends, better than your family, perhaps even better than your partner.

Look up pizza recipes, and advertising will show you promotions for pizza ovens. Download a marathon training plan, and advertising will show you the latest running shoes. Buy a car, and advertising will show you adverts for other cars because no system’s perfect.

Advertising does this with a simple trick: it watches you constantly. It’s watching you right now. The web is one giant machine for making money, and you’re the fuel.

On the one hand, advertising’s insidious invasion of our privacy is enough to make you paranoid; on the other hand, I really love my pizza oven.

The largest facilitator of advertising on the web is Google Ads — reportedly worth $134.8 billion per annum; it’s Alphabet Inc’s primary source of revenue.

Last year, Google Ads announced that it would be ending its reliance on third-party cookies for delivering targeted advertising as part of a wider industry trend towards greater privacy protection for individuals. This week, we received more details confirming that Google Ads will not replace third-party cookies with comparable tracking technology.

Google Ads intends to maintain relevant advertising, without user tracking, by anonymizing your identity within a crowd. The technical term is a Federated Learning of Cohorts (FLoC), essentially Asimov’s Psychohistory, in capitalist form, some 45,000 years before Hari Seldon is due to be born.

In simplistic terms, someone who buys a pair of running shoes can reasonably be expected to be interested in GPS watches. The complexity arises when grouping becomes more complex: people who watch Netflix on a Tuesday evening purchase a particular soup brand and read the Washington Post, for example. The system requires billions of groupings that are too complex to express in English. And yet Google claims to already be making some progress.

As with any fledgling technology, the implications of its widespread adoption are unclear. FLoC is Chrome-based, so there’s the looming specter of a monopoly. Then there’s the issue of how groups are built; does Google need individual tracking to generate crowds of individuals? It’s unclear, but what is clear is that if Google succeeds — and it’s likely that it will — other networks will have no choice but to follow suit. It seems inevitable that there will be a wide-ranging impact across not just advertising but analytics and marketing as a whole.

The back door that’s being held open is one-to-one relationships. If you visit a site, that site can attempt to entice you back with targeted advertising. This means the next few years will see a growth in the number of companies developing ongoing relationships in the form of newsletters and memberships.

How ever it plays out, a fundamental change to the system that funds most of the web is certain to have a long-term impact on day-to-day user experience.

 

Featured image via Pexels.

Source

The post Google’s FLoC Promises a Radically Different Web first appeared on Webdesigner Depot.


Source de l’article sur Webdesignerdepot

AA21-062A: Mitigate Microsoft Exchange Server Vulnerabilities

Original release date: March 3, 2021 | Last revised: March 4, 2021

Summary

Cybersecurity and Infrastructure Security (CISA) partners have observed active exploitation of vulnerabilities in Microsoft Exchange Server products. Successful exploitation of these vulnerabilities allows an unauthenticated attacker to execute arbitrary code on vulnerable Exchange Servers, enabling the attacker to gain persistent system access, as well as access to files and mailboxes on the server and to credentials stored on that system. Successful exploitation may additionally enable the attacker to compromise trust and identity in a vulnerable network. Microsoft released out-of-band patches to address vulnerabilities in Microsoft Exchange Server. The vulnerabilities impact on-premises Microsoft Exchange Servers and are not known to impact Exchange Online or Microsoft 365 (formerly O365) cloud email services.

This Alert includes both tactics, techniques and procedures (TTPs) and the indicators of compromise (IOCs) associated with this malicious activity. To secure against this threat, CISA recommends organizations examine their systems for the TTPs and use the IOCs to detect any malicious activity. If an organization discovers exploitation activity, they should assume network identity compromise and follow incident response procedures. If an organization finds no activity, they should apply available patches immediately and implement the mitigations in this Alert.

Click here for IOCs in STIX format.

Technical Details

Microsoft has released out-of-band security updates to address four vulnerabilities in Exchange Server:

  • CVE-2021-26855 allows an unauthenticated attacker to send arbitrary HTTP requests and authenticate as the Exchange Server. The vulnerability exploits the Exchange Control Panel (ECP) via a Server-Side Request Forgery (SSRF). This would also allow the attacker to gain access to mailboxes and read sensitive information.
  • CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065 allow for remote code execution.  
    • CVE-2021-26858 and CVE-2021-27065 are similar post-authentication arbitrary write file vulnerabilities in Exchange. An attacker, authenticated either by using CVE-2021-26855 or via stolen admin credentials, could write a file to any path on the server.

    • CVE-2021-26857 is an insecure deserialization vulnerability in the Unified Messaging service. An attacker, authenticated either by using CVE-2021-26855 or via stolen admin credentials, could execute arbitrary code as SYSTEM on the Exchange Server.

  • To locate a possible compromise of these CVEs, we encourage you to read the Microsoft Advisory.

It is possible for an attacker, once authenticated to the Exchange server, to gain access to the Active Directory environment and download the Active Directory Database.

Tactics, Techniques and Procedures

The majority of the TTPs in this section are sourced from a blog post from Volexity, a third party cybersecurity firm. Note: the United States Government does not endorse any commercial product or service, including any subjects of analysis. Any reference to specific commercial products, processes, or services by service mark, trademark, manufacturer, or otherwise, does not constitute or imply their endorsement, recommendation, or favoring by the United States Government.

Volexity has observed the following files as targets of HTTP POST requests:

  • /owa/auth/Current/themes/resources/logon.css
  • /owa/auth/Current/themes/resources/owafont_ja.css
  • /owa/auth/Current/themes/resources/lgnbotl.gif
  • /owa/auth/Current/themes/resources/owafont_ko.css
  • /owa/auth/Current/themes/resources/SegoeUI-SemiBold.eot
  • /owa/auth/Current/themes/resources/SegoeUI-SemiLight.ttf
  • /owa/auth/Current/themes/resources/lgnbotl.gif

Administrators should search the ECP server logs for the following string (or something similar):

S:CMD=Set-OabVirtualDirectory.ExternalUrl='

The logs can be found at <exchange install path>LoggingECPServer.

To determine possible webshell activity, administrators should search for aspx files in the following paths:

  • inetpubwwwrootaspnet_client (any .aspx file under this folder or sub folders)
  • <exchange install path>FrontEndHttpProxyecpauth (any file besides TimeoutLogoff.aspx)
  • <exchange install path>FrontEndHttpProxyowaauth (any file or modified file that is not part of a standard install)
  • <exchange install path>FrontEndHttpProxyowaauthCurrent (any aspx file in this folder or subfolders)
  • <exchange install path>FrontEndHttpProxyowaauth<folder with version number> (any aspx file in this folder or subfolders)

Administrators should search in the /owa/auth/Current directory for the following non-standard web log user-agents. These agents may be useful for incident responders to look at to determine if further investigation is necessary.

These should not be taken as definitive IOCs:

  • DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)
  • facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)
  • Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)
  • Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)
  • Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html
  • Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)
  • Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)
  • Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)
  • Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36

Volexity observed these user-agents in conjunction with exploitation to /ecp/ URLs:

  • ExchangeServicesClient/0.0.0.0
  • python-requests/2.19.1
  • python-requests/2.25.1

These user-agents were also observed having connections to post-exploitation web-shell access:

  • antSword/v2.1
  • Googlebot/2.1+(+http://www.googlebot.com/bot.html)
  • Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)

As with the non-standard user-agents, responders can examine internet information services (IIS) logs from Exchange Servers to identify possible historical activity. Also, as with the non-standard user agents, these should not be taken as definitive IOCs:

  • POST /owa/auth/Current/
  • POST /ecp/default.flt
  • POST /ecp/main.css
  • POST /ecp/<single char>.js

Volexity has seen attackers leverage the following IP addresses. Although these are tied to virtual private servers (VPSs) servers and virtual private networks (VPNs), responders should investigate these IP addresses on their networks and act accordingly:

  • 103.77.192[.]219
  • 104.140.114[.]110
  • 104.250.191[.]110
  • 108.61.246[.]56
  • 149.28.14[.]163
  • 157.230.221[.]198
  • 167.99.168[.]251
  • 185.250.151[.]72
  • 192.81.208[.]169
  • 203.160.69[.]66
  • 211.56.98[.]146
  • 5.254.43[.]18
  • 5.2.69[.]14
  • 80.92.205[.]81
  • 91.192.103[.]43

Volexity has also provided the following YARA signatures that can be run within your network to assist in finding signs of a compromise.

1.
rule webshell_aspx_simpleseesharp : Webshell Unclassified
{
    meta:
        author = “threatintel@volexity.com”
        date = “2021-03-01”
        description = “A simple ASPX Webshell that allows an attacker to write further files to disk.”
        hash = “893cd3583b49cb706b3e55ecb2ed0757b977a21f5c72e041392d1256f31166e2”
 
    strings:
        $header = “<%@ Page Language=”C#” %>”
        $body = “<% HttpPostedFile thisFile = Request.Files[0];thisFile.SaveAs(Path.Combine”
 
    condition:
        $header at 0 and
        $body and
        filesize < 1KB
}
 
2.
rule webshell_aspx_reGeorgTunnel : Webshell Commodity
{
    meta:
        author = “threatintel@volexity.com”
        date = “2021-03-01”
        description = “A variation on the reGeorg tunnel webshell”
        hash = “406b680edc9a1bb0e2c7c451c56904857848b5f15570401450b73b232ff38928”
        reference = “https://github.com/sensepost/reGeorg/blob/master/tunnel.aspx”
 
    strings:
        $s1 = “System.Net.Sockets”
        $s2 = “System.Text.Encoding.Default.GetString(Convert.FromBase64String(StrTr(Request.Headers.Get”
        // a bit more experimental
        $t1 = “.Split(‘|’)”
        $t2 = “Request.Headers.Get”
        $t3 = “.Substring(“
        $t4 = “new Socket(“
        $t5 = “IPAddress ip;”
 
    condition:
        all of ($s*) or
        all of ($t*)
}
 
3
rule webshell_aspx_sportsball : Webshell Unclassified
{
    meta:
        author = “threatintel@volexity.com”
        date = “2021-03-01”
        description = “The SPORTSBALL webshell allows attackers to upload files or execute commands on the system.”
        hash = “2fa06333188795110bba14a482020699a96f76fb1ceb80cbfa2df9d3008b5b0a”
 
    strings:
        $uniq1 = “HttpCookie newcook = new HttpCookie(”fqrspt”, HttpContext.Current.Request.Form”
        $uniq2 = “ZN2aDAB4rXsszEvCLrzgcvQ4oi5J1TuiRULlQbYwldE=”
 
        $var1 = “Result.InnerText = string.Empty;”
        $var2 = “newcook.Expires = DateTime.Now.AddDays(”
        $var3 = “System.Diagnostics.Process process = new System.Diagnostics.Process();”
        $var4 = “process.StandardInput.WriteLine(HttpContext.Current.Request.Form[””
        $var5 = “else if (!string.IsNullOrEmpty(HttpContext.Current.Request.Form[””
        $var6 = “<input type=”submit” value=”Upload” />”
 
    condition:
        any of ($uniq*) or
        all of ($var*)
}

A list of webshell hashes have also been provided by Microsoft:

  • b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
  • 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
  • 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
  • 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
  • 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
  • 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
  • 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
  • 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

Note: this is not an all-inclusive list of indicators of compromise and threat actors have been known to use short-term leased IP addresses that change very frequently. Organizations that do not locate any of the IOCs in this Alert within your network traffic, may nevertheless have been compromised. CISA recommendations following the guidance located in the Microsoft Advisory to check your servers for any signs of a compromise.  

Conduct Forensic Analysis

Should your organization see evidence of compromise, your incident response should begin with conducting forensic analysis to collect artifacts and perform triage. Please see the following list of recommendations on how to conduct forensic analysis using various tools.

Although the following free tools are not endorsed by the Federal Government, incident responders commonly use them to perform forensics.

While collecting artifacts to perform triage, use processes and tools that minimize the alteration of the data being collected and that minimize impact to the operating system itself.

Ideally, during data collection, store the data on removable/external media and, when possible, run the artifact collection tools from the same media.

Key artifacts for triage that should be collected:

  • Memory
  • All registry hives
  • All windows event logs
  • All web logs

Memory can be collected with a variety of open source tools (e.g., FTK Imager by AccessData, Ram Capture by Belkasoft).

Registry and Windows Event logs can be collected with a variety of open source tools as well (e.g., FTK_Imager, Kroll Artifact Parser And Extractor [KAPE]).

Web logs can also be collected with a variety of open source tools (e.g., FTK Imager).

Windows Artifact Collection Guide

Execute the following steps in order.

1) Download the latest FTK Imager from https://accessdata.com/product-download/.

  • Note: Ensure your review of and compliance with the applicable license associated with the product referenced, which can be found in the product’s User Guide. The United States Government does not endorse any commercial product or service, including any subjects of analysis. Any reference to specific commercial products, processes, or services by service mark, trademark, manufacturer, or otherwise, does not constitute or imply their endorsement, recommendation, or favoring by the United States Government.

2) Collect memory from live system using FTK Imager. See Memory Capture with FTK Imager.pdf for instructions. Note: Download and copy “FTK Imager” folder to an external drive. Run FTK Imager.exe from the FTK Imager folder from external drive. Wait until memory collect is complete before proceeding to step 2.

3) Collect important system artifacts using KAPE. See KAPE Collection Procedure. Note: Download KAPE from a separate system; do not download KAPE to the target system. Run KAPE from external drive.

4) Collect disk image using FTK Imager. See Live Image with FTK Imager.pdf for instructions. Note: Run FTK Imager.exe from the “FTK Imager” folder from external drive.

Memory Capture with FTK Imager

1) Open FTK Imager. Log into the system with Administrator privileges and launch “FTK Imager.”

  • Note: Ensure your review of and compliance with the applicable license associated with the product referenced. The United States Government does not endorse any commercial product or service, including any subjects of analysis. Any reference to specific commercial products, processes, or services by service mark, trademark, manufacturer, or otherwise, does not constitute or imply their endorsement, recommendation, or favoring by the United States Government.

2) Open “Capture Memory. » Select “Capture Memory…” from the File menu.

Figure 1: FTK Imager – Capture Memory Command

3) Select Path and Filenames. On the window that appears, use the “Browse” button to identify the destination of the memory capture. Save the memory capture to an external device and not the main hard drive of the system. Doing so will prevent the saved file from overwriting any dataspace on the system.

  • Name the destination file with a descriptive name (i.e., hostname of the system).
  • Select the box “Include pagefile” and provide a name of the pagefile that is descriptive of the system.
  • Do not select “Create AD1 file.”

Figure 2: FTK Imager – Memory Capture

4) Capture Memory. Click on “Capture Memory” to begin the capture process. The process will take several minutes depending on the size of the pagefile and the amount of memory on the system.

Figure 3: FTK Imager – Capture Process

KAPE Collection Procedure [1]

1) Download KAPE from https://www.kroll.com/en/services/cyber-risk/investigate-and-respond/kroll-artifact-parser-extractor-kape.

2) Disable any antivirus or host protection mechanisms that prevent execution from removable media, or data loss prevention (DLP) mechanisms that restrict utilization of removable media.

  • Enable antivirus and host protection once this process is completed.

3) Unzip Kape.zip and run gkape.exe as admin from your removable media

4) Target source should be the drive on which the OS resides, typically C:.

5) Target destination should be an external drive folder, not the same drive as the Target source. If available, use an external hard drive or flash drive.

  • A KAPE execution with these parameters will typically produce output artifacts with a total size of 1-25 GB.
  • If you are going to be running KAPE on different machines and want to save to the same drive, ensure the Target destination folder is unique for each execution of KAPE.

6) Uncheck Flush checkbox (it is checked natively).

7) Check Add %d and Add %m checkboxes.

8) Select ALL checkboxes to ensure KAPE will target all available data that it is capable of targeting. This takes some time; use the down arrow and space bar to move through the list quickly.

9) Check Process VSCs checkbox.

10) Select Zip radio button and add Base name TargetOutput.

11) Ensure Deduplicate checkbox is checked (it is checked natively).

  • At the bottom you should now see a large Current command line, similar to:
.kape.exe –tsource C: –tdest E:%d%m –tflush –target !BasicCollection,!SANS_Triage,Avast,AviraAVLogs,Bitdefender,ComboFix,ESET,FSecure,HitmanPro,Malwarebytes, McAfee,McAfee_ePO,RogueKiller,SentinelOne,Sophos,SUPERAntiSpyware,Symantec_AV_Logs,TrendMicro,VIPRE, Webroot,WindowsDefender,Ammyy,AsperaConnect,BoxDrive,CiscoJabber,CloudStorage,ConfluenceLogs,Discord, Dropbox, Exchange,ExchangeClientAccess,ExchangeTransport,FileZilla,GoogleDrive,iTunesBackup,JavaWebCache,Kaseya,LogMeIn,Notepad++, OneDrive,OutlookPSTOST,ScreenConnect,Skype,TeamViewerLogs,TeraCopy,VNCLogs, Chrome,ChromeExtensions,Edge,Firefox,InternetExplorer,WebBrowsers,ApacheAccessLog,IISLogFiles,ManageEngineLogs, MSSQLErrorLog,NGINXLogs,PowerShellConsole,KapeTriage,MiniTimelineCollection,RemoteAdmin, VirtualDisks, Gigatribe,TorrentClients,Torrents,$Boot,$J,$LogFile,$MFT,$SDS,$T,Amcache,ApplicationEvents,BCD,CombinedLogs, EncapsulationLogging,EventLogs,EventLogs-RDP,EventTraceLogs, EvidenceOfExecution,FileSystem,GroupPolicy,LinuxOnWindowsProfileFiles,LnkFilesAndJumpLists,LogFiles,MemoryFiles, MOF,OfficeAutosave,OfficeDocumentCache,Prefetch,RDPCache,RDPLogs,RecentFileCache,Recycle, RecycleBin, RecycleBinContent,RecycleBinMetadata,RegistryHives,RegistryHivesSystem,RegistryHivesUser,ScheduledTasks,SDB, SignatureCatalog,SRUM,StartupInfo,Syscache,ThumbCache,USBDevicesLogs,WBEM,WER,WindowsFirewall,  WindowsIndexSearch,WindowsNotifcationsDB,WindowsTimeline,XPRestorePoints –vss –zip TargetOutput –gui
  • In the bottom right corner hit the Execute! Button.
  • Screenshot below shows gkape.exe during execution, you will also see a command window execute. Note: KAPE usually takes less than 20 minutes to complete on a workstation; if it is taking significantly longer there may be an issue.

Figure 4: gkape.exe screenshot

Mitigations

CISA strongly recommends organizations read Microsoft’s advisory and security blog post for more information on how to look for this malicious activity and apply critical patches as soon as possible.

If patching is not an immediate option, there are other mitigation options available. However, these options should only be used as a temporary solution, not a replacement for patching.  CISA recommends limiting or blocking external access to internet-facing Exchange Servers via the following:

  • Restrict untrusted connections to port 443, or set up a VPN to separate the Exchange Server from external access; note that this will not prevent an adversary from exploiting the vulnerability if the attacker is already in your network.
  • Block external access to on-premise Exchange:
    • Restrict external access to OWA URL: /owa/
    • Restrict external access to Exchange Admin Center (EAC) aka Exchange Control Panel (ECP) URL: /ecp/.

CISA would like to thank Microsoft and Volexity for their contributions to this Alert.

Resources

References

Revisions

  • March 3, 2021: Initial Version

This product is provided subject to this Notification and this Privacy & Use policy.

Source de l’article sur us-cert.gov

CERTFR-2021-ALE-004 : Multiples vulnérabilités dans Microsoft Exchange Server (03 mars 2021)

Le 2 mars 2021, Microsoft a publié des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero day) affectant les serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019.

Ces vulnérabilités permettent à un attaquant de réaliser une exécution de code …
Source de l’article sur CERT-FR