Respect: la sécurité de Windows 10 impressionne les pirates

Tant que Windows restera une cible d'attaque populaire, les chercheurs et les pirates continueront de marteler la plate-forme pour découvrir des stratégies avancées pour subvertir les défenses de Microsoft.

La barre de sécurité est beaucoup plus élevée qu'avant, car Microsoft a ajouté plusieurs atténuations avancées dans Windows 10 qui éliminent des classes entières d'attaques. Alors que les pirates de la conférence Black Hat de cette année étaient armés de techniques d'exploitation sophistiquées, il y avait une reconnaissance tacite que le développement d'une technique réussie est maintenant beaucoup plus difficile avec Windows 10. Pénétrer dans Windows via une vulnérabilité de système d'exploitation est plus difficile qu'il y a encore quelques années.

Utiliser des outils antimalware intégrés

Microsoft a développé des outils AMSI (antimalware scan interface) qui peuvent intercepter les scripts malveillants en mémoire. N'importe quelle application peut l'appeler, et tout moteur antimalware enregistré peut traiter le contenu soumis à AMSI, a déclaré Nikhal Mittal, testeur de pénétration et consultant associé chez NoSoSecure, aux participants à sa session Black Hat. Windows Defender et AVG utilisent actuellement AMSI, et il devrait être plus largement adopté.

«AMSI est un grand pas en avant vers le blocage des attaques basées sur des scripts dans Windows», a déclaré Mittal.

Les cybercriminels s'appuient de plus en plus sur les attaques basées sur des scripts, en particulier celles qui s'exécutent sur PowerShell, dans le cadre de leurs campagnes. Il est difficile pour les organisations de découvrir les attaques à l'aide de PowerShell, car elles sont difficiles à différencier d'un comportement légitime. Il est également difficile à récupérer car les scripts PowerShell peuvent être utilisés pour toucher n'importe quel aspect du système ou du réseau. Avec pratiquement tous les systèmes Windows désormais préchargés avec PowerShell, les attaques basées sur des scripts sont de plus en plus courantes.

Les criminels ont commencé à utiliser PowerShell et à charger des scripts en mémoire, mais il a fallu un certain temps aux défenseurs pour comprendre. «Personne ne se souciait de PowerShell jusqu'à il y a quelques années», a déclaré Mittal. «Nos scripts ne sont pas du tout détectés. Les fournisseurs d'antivirus ne l'ont adopté qu'au cours des trois dernières années. »

Bien qu'il soit facile de détecter les scripts enregistrés sur le disque, il n'est pas si facile d'empêcher l'exécution des scripts enregistrés en mémoire. AMSI essaie d'attraper les scripts au niveau de l'hôte, ce qui signifie que la méthode d'entrée - qu'elle soit enregistrée sur disque, stockée en mémoire ou lancée de manière interactive - n'a pas d'importance, ce qui en fait un «changeur de jeu», comme l'a dit Mittal.

Cependant, AMSI ne peut pas être autonome, car l'utilité repose sur d'autres méthodes de sécurité. Il est très difficile pour les attaques basées sur des scripts de s'exécuter sans générer de journaux, il est donc important que les administrateurs Windows surveillent régulièrement leurs journaux PowerShell.

AMSI n'est pas parfait - il est moins utile de détecter les scripts obscurcis ou les scripts chargés à partir d'endroits inhabituels tels que l'espace de noms WMI, les clés de registre et les journaux d'événements. Les scripts PowerShell exécutés sans utiliser powershell.exe (outils tels que le serveur de stratégie réseau) peuvent également déclencher AMSI. Il existe des moyens de contourner AMSI, tels que la modification de la signature des scripts, l'utilisation de PowerShell version 2 ou la désactivation d'AMSI. Quoi qu'il en soit, Mittal considère toujours AMSI comme «l'avenir de l'administration Windows».

Protégez cet Active Directory

Active Directory est la pierre angulaire de l'administration Windows et devient un composant encore plus critique à mesure que les entreprises continuent de déplacer leurs charges de travail vers le cloud. N'étant plus utilisé pour gérer l'authentification et la gestion des réseaux d'entreprise internes locaux, AD peut désormais vous aider avec l'identité et l'authentification dans Microsoft Azure.

Les administrateurs Windows, les professionnels de la sécurité et les attaquants ont tous des perspectives différentes sur Active Directory, a déclaré Sean Metcalf, un maître certifié Microsoft pour Active Directory et fondateur de la société de sécurité Trimarc, aux participants de Black Hat. Pour l'administrateur, l'accent est mis sur la disponibilité et l'assurance qu'AD répond aux requêtes dans une fenêtre raisonnable. Les professionnels de la sécurité surveillent l'appartenance au groupe d'administrateurs de domaine et se tiennent au courant des mises à jour logicielles. L'attaquant examine la posture de sécurité de l'entreprise pour trouver la faiblesse. Aucun des groupes n'a une image complète, a déclaré Metcalf.

Tous les utilisateurs authentifiés ont un accès en lecture à la plupart, sinon à tous, des objets et des attributs dans Active Directory, a déclaré Metcalf lors de la conférence. Un compte d'utilisateur standard peut compromettre un domaine Active Directory entier en raison de droits de modification accordés de manière incorrecte sur les objets de stratégie de groupe et l'unité d'organisation liés au domaine. Via des autorisations UO personnalisées, une personne peut modifier des utilisateurs et des groupes sans droits élevés, ou elle peut passer par l'historique SID, un attribut d'objet de compte utilisateur AD, pour obtenir des droits élevés, a déclaré Metcalf.

Si Active Directory n'est pas sécurisé, le compromis AD devient encore plus probable.

Metcalf a décrit des stratégies pour aider les entreprises à éviter les erreurs courantes, et cela se résume à protéger les informations d'identification de l'administrateur et à isoler les ressources critiques. Restez au courant des mises à jour logicielles, en particulier des correctifs qui traitent des vulnérabilités liées à l'élévation des privilèges, et segmentez le réseau pour qu'il soit plus difficile aux attaquants de se déplacer latéralement.

Les professionnels de la sécurité doivent identifier qui a des droits d'administrateur pour AD et aux environnements virtuels hébergeant des contrôleurs de domaine virtuels, ainsi que qui peut se connecter aux contrôleurs de domaine. Ils doivent analyser les domaines Active Directory, l'objet AdminSDHolder et les objets de stratégie de groupe (GPO) pour rechercher des autorisations personnalisées inappropriées, et s'assurer que les administrateurs de domaine (administrateurs AD) ne se connectent jamais à des systèmes non approuvés tels que les stations de travail avec leurs informations d'identification sensibles. Les droits du compte de service doivent également être limités.

Obtenez une sécurité AD correcte et de nombreuses attaques courantes sont atténuées ou deviennent moins efficaces, a déclaré Metcalf.

Virtualisation pour contenir les attaques

Microsoft a introduit la sécurité basée sur la virtualisation (VBS), un ensemble de fonctionnalités de sécurité intégrées à l'hyperviseur, dans Windows 10. La surface d'attaque pour VBS est différente de celle des autres implémentations de virtualisation, a déclaré Rafal Wojtczuk, architecte en chef de la sécurité chez Bromium.

«Malgré sa portée limitée, VBS est utile - il empêche certaines attaques qui sont simples sans lui», a déclaré Wojtczuk.

Hyper-V contrôle la partition racine et peut implémenter des restrictions supplémentaires et fournir des services sécurisés. Lorsque VBS est activé, Hyper-V crée une machine virtuelle spécialisée avec un niveau de confiance élevé pour exécuter les commandes de sécurité. Contrairement aux autres VM, cette machine spécialisée est protégée de la partition racine. Windows 10 peut appliquer l'intégrité du code des binaires et des scripts en mode utilisateur, et VBS gère le code en mode noyau. VBS est conçu pour ne permettre à aucun code non signé de s'exécuter dans le contexte du noyau, même si le noyau a été compromis. Essentiellement, le code de confiance exécuté dans la VM spéciale accorde des droits d'exécution dans les tables de pages étendues (EPT) de la partition racine aux pages stockant du code signé. Étant donné que la page ne peut pas être à la fois inscriptible et exécutable en même temps, les logiciels malveillants ne peuvent pas entrer en mode noyau de cette façon.

Étant donné que tout le concept repose sur la capacité de continuer même si la partition racine a été compromise, Wojtczuk a examiné VPS du point de vue d'un attaquant qui a déjà pénétré dans la partition racine - par exemple, si un attaquant contourne Secure Boot pour charger un hyperviseur Trojan.

«La posture de sécurité de VBS semble bonne, et elle améliore la sécurité d'un système - il faut certainement des efforts supplémentaires très non triviaux pour trouver une vulnérabilité appropriée permettant le contournement», a écrit Wojtczuk dans le livre blanc ci-joint.

La documentation existante suggère que Secure Boot est requis, et que VTd et Trusted Platform Module (TPM) sont facultatifs pour activer VBS, mais ce n'est pas le cas. Les administrateurs doivent disposer à la fois de VTd et de TPM pour protéger l'hyperviseur contre une partition racine compromise. Il ne suffit pas d'activer Credential Guard pour VBS. Une configuration supplémentaire pour garantir que les informations d'identification n'apparaissent pas en clair dans la partition racine est nécessaire.

Microsoft a déployé beaucoup d'efforts pour rendre VBS aussi sécurisé que possible, mais la surface d'attaque inhabituelle est toujours préoccupante, a déclaré Wojtczuk.

La barre de sécurité est plus élevée

Les briseurs, qui comprennent des criminels, des chercheurs et des pirates informatiques intéressés à voir ce qu'ils peuvent faire, sont engagés dans une danse élaborée avec Microsoft. Dès que les disjoncteurs trouvent un moyen de contourner les défenses Windows, Microsoft comble le trou de sécurité. En mettant en œuvre une technologie de sécurité innovante pour rendre les attaques plus difficiles, Microsoft oblige les disjoncteurs à creuser plus profondément pour les contourner. Windows 10 est le Windows le plus sécurisé jamais créé, grâce à ces nouvelles fonctionnalités.

L'élément criminel est occupé au travail et le fléau des logiciels malveillants ne montre pas de signes de ralentissement prochain, mais il convient de noter que la plupart des attaques de nos jours sont le résultat de logiciels non corrigés, d'ingénierie sociale ou de mauvaises configurations. Aucune application logicielle ne peut être parfaitement exempte de bogues, mais lorsque les défenses intégrées rendent plus difficile l'exploitation des faiblesses existantes, c'est une victoire pour les défenseurs. Microsoft a beaucoup fait ces dernières années pour bloquer les attaques sur le système d'exploitation, et Windows 10 est le bénéficiaire direct de ces changements.

Étant donné que Microsoft a renforcé ses technologies d'isolation dans la mise à jour anniversaire de Windows 10, la route vers une exploitation réussie pour un système Windows moderne semble encore plus difficile.