Tiens, Microsoft nous prépare un nouveau bébé baptisé Zero Trust DNS, ou ZTDNS pour les intimes. Alors c’est quoi encore ce truc ? Eh bien c’est tout simplement un système permettant de sécuriser le DNS sur nos chers Windows.

Pour ceux qui auraient loupé un épisode, le DNS c’est un peu comme l’annuaire téléphonique d’Internet. Il permet de traduire les noms de domaine tout mignons comme korben.info en adresses IP bien moins sexy. Le problème, c’est que jusqu’à présent, le DNS c’était un peu le maillon faible de la sécurité. Les communications n’étaient pas chiffrées, ce qui ouvrait la porte à plein de menaces comme l’espionnage, le détournement de trafic ou même les attaques de type « DNS spoofing« . D’ailleurs, selon une étude de Cisco, plus de 70% des attaques de phishing utilisent des techniques de DNS spoofing pour tromper leurs victimes.

Mais ça, c’était avant ! Avec ZTDNS, Microsoft promet de changer la donne. Déjà, toutes les communications entre les clients Windows et les serveurs DNS seront chiffrées et authentifiées grâce aux protocoles DNS over HTTPS (DoH) ou DNS over TLS (DoT), ce qui devrait rendre la vie plus difficile aux vilains cyber criminels qui voudraient mettre leur nez dans nos petites affaires.

Ensuite, et c’est là que ça devient vraiment intéressant, ZTDNS va permettre aux admins réseau de contrôler finement quels domaines peuvent être résolus par les serveurs DNS. En gros, si un domaine n’est pas sur la liste blanche, et bien le client Windows ne pourra tout simplement pas s’y connecter !

Mais attention, mettre en place un truc pareil, ça ne va pas être une partie de plaisir. Il va falloir bien planifier son coup pour éviter de tout casser, du genre bloquer sans faire exprès l’accès à des services importants ! Mais bon, c’est le prix à payer pour renforcer la sécurité et se rapprocher doucement d’un modèle « Zero Trust » où on ne fait confiance à personne par défaut.

Alors concrètement, comment ça va marcher ?

Eh bien déjà, il faudra que les serveurs DNS supportent les protocoles de chiffrement comme DoH ou DoT. Ça tombe bien, ZTDNS est conçu pour être compatible avec tout ça. Pas besoin de réinventer la roue.

Ensuite, lorsqu’un client Windows aura besoin de résoudre un nom de domaine, il va discuter avec un des fameux serveurs DNS « protecteurs » et si le domaine est autorisé, le serveur lui filera l’adresse IP correspondante. Et hop, le pare-feu Windows sera dynamiquement mis à jour pour autoriser la connexion vers cette IP. Par contre, pour le reste, c’est niet ! Le trafic sera bloqué direct !

Bon après, faut quand même avouer qu’il y aura des trucs qui vont morfler à cause de ZTDNS. Tous les protocoles réseaux un peu exotiques qui n’utilisent pas le DNS, comme le multicast DNS (mDNS) par exemple, ça va être coupé. Pareil pour les partages de fichiers sur le réseau local ou les imprimantes qui utilisent des protocoles de découverte archaïques. Ça risque donc de râler dans les chaumières !

Mais heureusement, les ingénieurs de Microsoft ne sont pas nés de la dernière pluie et ont prévu pas mal de mécanismes pour « mitiger » ces problèmes. Par exemple, on va pouvoir définir des exceptions pour autoriser certaines plages d’adresses IP sans passer par le DNS. Ou encore favoriser des solutions plus modernes et sécurisées, comme l’impression via Universal Print qui passe, lui, gentiment par le DNS.

Un autre truc à prendre en compte, c’est que certaines applications un peu spéciales risquent de ne plus fonctionner du tout avec ZTDNS. Celles qui utilisent des adresses IP codées en dur ou des mécanismes de résolution maison, c’est mort. Mais bon, ce sera l’occasion de faire le ménage et de moderniser tout ça.

Microsoft a d’ailleurs prévu un mode « Audit » qui permet dans un premier temps de voir ce qui serait bloqué par ZTDNS, sans pour autant péter la prod. Comme ça, on peut analyser tranquillement les flux réseau et identifier les applications ou les flux problématiques. C’est un bon moyen d’anticiper les éventuels soucis avant de passer en mode bloquant !

Bon après, faut pas non plus se voiler la face. Même avec ZTDNS, il restera toujours des failles de sécurité potentielles. Les connexions VPN ou SASE/SSE par exemple, qui encapsulent le trafic dans un tunnel chiffré, pourront toujours passer entre les mailles du filet si on n’y prend pas garde. Sans parler des technologies de virtualisation qui court-circuitent carrément la pile réseau de Windows !

Mais bon, rien n’est parfait et il faut bien commencer quelque part… ZTDNS représente déjà une sacrée avancée pour renforcer la sécurité réseau des parcs Windows et avec un peu de rigueur et de persévérance, les admins sys pourront en tirer le meilleur parti.

Pour l’instant, ZTDNS est en preview privée chez Microsoft. On ne sait pas encore exactement quand il débarquera dans nos Home Sweet Home. En attendant, je vous invite à aller jeter un œil à l’article sur le blog Techcommunity qui rentre dans les détails techniques de la bête. C’est dense mais ça vaut le coup de s’y plonger si vous voulez être informé.

Source

Vous n’allez pas en croire vos yeux ! Je viens de tomber sur un truc de malade qui s’appelle SharpCovertTube et qui permet de contrôler des systèmes Windows à distance en uploadant des vidéos sur Youtube. Si si, je vous jure, c’est pas une blague !

En gros, le programme surveille en permanence une chaîne Youtube jusqu’à ce qu’une nouvelle vidéo soit uploadée. Et là, attention les yeux, il décode un QR code planqué dans la miniature de la vidéo et exécute la commande cachée dedans. Franchement, les mecs qui ont pondu ça sont des génies du mal ! Ce projet c’est en fait un portage d’un autre projet vachement cool réalisé en Python en 2021 qui s’appelle covert-tube.

Le plus dingue, c’est que les QR codes dans les vidéos peuvent contenir du texte en clair ou même des valeurs chiffrées en AES. Autant vous dire que ça rigole pas niveau sécurité. Et en plus, y a même deux versions du programme : un binaire classique et un binaire qui s’installe comme un service. Ils ont vraiment pensé à tout ces petits malins.

Ah oui, j’oubliais de vous dire, y a même un script Python fourni avec pour générer les vidéos piégées. En gros, ce truc est une méthode de persistance qui utilise juste des requêtes web vers l’API Google. C’est quand même super vicieux comme technique !

Bon, je vous explique un peu comment ça marche. Déjà, faut lancer le listener sur votre système Windows. Ensuite, il va checker la chaîne Youtube toutes les 10 minutes par défaut, jusqu’à ce qu’une nouvelle vidéo soit uploadée.

Et devinez quoi ? Dès qu’il a détecté la nouvelle vidéo sur la chaîne, il décode directement le QR code planqué dans la miniature, exécute la commande et tadaaaa : la réponse a été encodée en base64 puis exfiltrée par une requête DNS. Sérieux, c’est super smart comme méthode d’exfiltration !

Ça fonctionne aussi avec des QR codes qui contiennent des payloads.

Bon après, c’est sûr, y a quelques petits trucs à configurer pour que ça marche nickel. Déjà faut renseigner son ID de chaîne Youtube et sa clé API dans un fichier de configuration. Là c’est obligatoire sinon vous pouvez aller vous brosser. Après si vous voulez utiliser le chiffrement AES pour vos QR codes, faudra aussi mettre une clé et un IV (Initialization Vector), mais c’est optionnel, on n’est pas non plus obligés d’être parano.

Autre détail qui peut être pratique : on peut choisir le délai en secondes entre chaque check de nouvelle vidéo sur la chaîne. Par défaut c’est 10 minutes, mais faut pas trop abuser non plus, sinon on va vite se prendre un gros râteau par l’API à cause du nombre de requêtes.

Plein d’autres petits paramètres sont configurable comme la journalisation dans un fichier, l’exfiltration par DNS, le nom d’hôte pour l’exfiltration, etc. Bref, c’est du solide, bien pensé. Et même si on a les droits admin, on peut installer une version « service » pour plus de discrétion. Bien vu les artistes !

Le seul petit hic, c’est qu’il faut que le binaire soit en 64 bits à cause du code utilisé pour décoder les QR codes. Mais bon, on va pas chipoter, ça reste quand même mega impressionnant comme outil.

Bref, j’espère que cet article vous aura donné envie de tester ! Perso je trouve ça fascinant ce genre de projets un peu border-line. Évidemment, n’allez pas utiliser ce genre de trucs à des fins malveillantes hein ? Mais bon, avouez que d’un point de vue techno et créativité, c’est quand même hyper cool !

Allez, la bonne journée, et la prochaine fois, essayez de mater d’un peu plus près les miniatures des vidéos Youtube, on sait jamais sur quoi vous allez tomber !