Les cybercriminels exploitent les faiblesses de l’utilitaire de script Windows PowerShell depuis des décennies. Mais les agences de cyber-renseignement aux États-Unis, au Royaume-Uni et en Nouvelle-Zélande affirment que la désactivation n’est pas la solution.
Image : Getty
Au lieu de cela, ils disent dans un rapport récemment publié qu’une configuration et une surveillance appropriées réduiront la probabilité que des acteurs malveillants l’utilisent sans être détectés une fois qu’ils auront accès au réseau d’une victime.
“Le blocage de PowerShell entrave les capacités de sécurité que les versions actuelles de PowerShell peuvent fournir”, indique l’avertissement, “et empêche les composants du système d’exploitation Windows de fonctionner correctement. Les dernières versions de PowerShell avec des capacités et des options améliorées peuvent aider les défenseurs à contrer les abus de PowerShell. »
Les administrateurs Windows doivent d’abord installer PowerShell 7.2 s’ils ne l’ont pas déjà fait. Sur Windows 10+, avec une configuration appropriée, la version 7.2 peut pleinement intégrer et accéder à tous les composants conçus pour la version 5.1 (fournis dans les versions antérieures de Windows 10 et 11), permettant une utilisation continue des scripts, des modules et des commandes existantes.
Le rapport exhorte les administrateurs à tirer parti de ces fonctionnalités PowerShell :
- Si l’accès à distance est activé, utilisez la gestion à distance de Windows (WinRM). Il utilise Kerberos ou New Technology LAN Manager (NTLM) comme protocoles d’authentification par défaut. Ces protocoles d’authentification n’envoient pas d’informations d’identification réelles aux hôtes distants, évitant ainsi l’exposition directe des informations d’identification et le risque de vol par le biais d’informations d’identification divulguées.
PowerShell 7 permet des connexions à distance via Secure Shell (SSH) en plus de prendre en charge les connexions WinRM. Cela permet l’authentification par clé publique et rend la gestion des machines à distance via PowerShell pratique et sécurisée, ajoute le rapport. Les nouvelles fonctionnalités de communication à distance SSH de PowerShell peuvent établir des connexions à distance sans nécessiter l’utilisation du protocole de transfert hypertexte sécurisé (HTTPS) avec des certificats Secure Sockets Layer/Transport Layer Security (SSL/TLS).
Les règles du pare-feu Windows pour les points de terminaison doivent être configurées de manière appropriée pour contrôler les connexions autorisées. L’activation de la communication à distance PowerShell sur les réseaux privés introduira une règle de pare-feu Windows pour accepter toutes les connexions. Les exigences d’autorisation et les règles du pare-feu Windows peuvent être personnalisées pour limiter les connexions aux seuls terminaux et réseaux de confiance afin de réduire les opportunités de trafic latéral.
- Activez l’interface d’analyse anti-malware (AMSI), qui permet d’analyser le contenu en mémoire et les fichiers dynamiques à l’aide d’un produit antivirus approuvé tel que Windows Defender, McAfee (maintenant Trellix) ou Symantec.
- Configurez AppLocker ou Windows Defender Application Control (WDAC) pour bloquer les actions sur un hôte Windows. Cela entraînera l’exécution de PowerShell en mode de langage restreint (CLM), limitant les opérations de PowerShell, sauf si elles sont autorisées par des règles définies par l’administrateur ;
Le rapport note également que la journalisation des activités PowerShell peut enregistrer lorsque les cybermenaces exploitent PowerShell, et la surveillance continue des journaux PowerShell peut détecter et avertir des abus potentiels. Malheureusement, les fonctionnalités “Deep Script Block Logging”, “Module Logging” et “Over-the-Shoulder transcription” sont désactivées par défaut. Le rapport recommande de les activer dans la mesure du possible.
Il existe de nombreuses autres sources d’informations sur la sécurité PowerShell, y compris les conseils du Centre de sécurité Internet et de Microsoft.
L’article original est disponible sur Monde informatique Canadaune filiale de Direction des informations.
Lire aussi :
Faible maturité en cybersécurité des entreprises canadiennes
Porte dérobée dans le serveur Web IIS de Microsoft, avertissent les chercheurs de Kaspersky
Le ver se propage via des clés USB infectées, avertit Microsoft
Adaptation et traduction française par Renaud Larue-Langlois
Étiquettes : configuration, powershell, sécurité
À propos de Howard Salomon
Howard Solomon est l’éditeur de ITworldcanada.com.
Add Comment