Nombreuses sont les entreprises mettant en œuvre des restrictions logicielles sur les socles système de ressources jugées critiques, de par leur degré d’exposition ou du point de vue de la continuité de leur activité. Cet article vise, en détaillant plusieurs méthodes, à démontrer comment ces restrictions peuvent être contournées.
Appliquer et maintenir dans le temps une politique de mise à jour des composants systèmes et applicatifs constitue à la fois une mesure technique de base pour la sécurité d’un Système d’Information et dans le même temps un véritable défi organisationnel. Nombreux sont les cas où une mise à jour est impossible, par exemple pour des environnements s’appuyant sur des logiciels garantis zéro défaut pour lesquels toute mise à jour signifie repasser par un long et coûteux processus de vérification ; ou dans certains types de SI, par exemple les SI industriels, où la plupart des outils requièrent un système anté-Windows Server 2003.
Pour toutes ces situations où le maintien à jour est impossible et afin de pallier aux risques de compromission de tels systèmes, des actions de durcissement sont souvent déclinées sous la forme de restrictions logicielles dans l’optique de limiter les actions possibles par un utilisateur. L’objectif est simple :...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[IKATKALI] https://github.com/maaaaz/ikat-on-kali-v2
[PC1] https://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-craig.pdf
[PWNWIKI] http://pwnwiki.io/#!presence/windows/blind.md
[PSTOOLS] https://github.com/PowerShellEmpire/PowerTools
[PSPLOIT] https://github.com/PowerShellMafia/PowerSploit
[PSEMPIRE] https://github.com/PowerShellEmpire/Empire
[NPS] https://github.com/Ben0xA/nps
[NETSPI2] https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/
[GPOELEVATED] https://technet.microsoft.com/en-us/library/cc940899.aspx
[EXPELEVATED] https://blogs.technet.microsoft.com/fdcc/2011/01/24/alwaysinstallelevated-is-equivalent-to-granting-administrative-rights/
[SC2VBS] http://blog.didierstevens.com/2009/05/06/shellcode-2-vbscript/
[APPLOCKER] https://technet.microsoft.com/en-us/library/dd723678(v=ws.10).aspx
[APPBC] http://www.onevinn.se/articles/imported-articles/applocker-bypass-checker/
[JSRAT] https://github.com/3gstudent/Javascript-Backdoor
[INSTALLUTIL1] http://subt0x10.blogspot.fr/2015/08/application-whitelisting-bypasses-101.html
[INSTALLUTIL2] https://www.rapid7.com/db/modules/exploit/windows/local/applocker_bypass
[RESANALYZER] https://github.com/maaaaz/reswmsecanalyzer
[MAC] https://bsidesvienna.at/slides/2015/a_case_study_on_the_security_of_application_whitelisting.pdf
[WIN1] https://msdn.microsoft.com/en-us/library/dn449278(v=winembedded.82).aspx
[WIN2] http://www.carlstalhood.com/group-policy-objects-vda-user-settings/
[CITRIX] http://support.citrix.com/article/CTX140219
[WIN3] https://msdn.microsoft.com/en-us/library/bb521407(v=winembedded.51).aspx
[ANSSI] http://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Applocker_NoteTech-v1.pdf
[NSA] https://www.nsa.gov/ia/_files/app/Application_Whitelisting_Using_Microsoft_AppLocker_FINAL.pdf
[NCSC] http://www.ncsc.govt.nz/assets/NCSC-Documents/NCSC-Applocker-public-v1.0.5.pdf
[CERTFR1] http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-041/CERTFR-2015-ACT-041.html
[CERTFR2] http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ACT-002/CERTFR-2016-ACT-002.html
[ADSEC] https://adsecurity.org/?tag=powershell-logging-group-policy
