Mai / Juin 2024

Misc 133

Déployer aisément AppLocker en liste de blocage    

  • Utilisation classique en liste d’autorisation
  • Application d’une stratégie de restriction logicielle en liste de blocage
  • Génération et test des règles en production 
En savoir plus

12,90 € TTC

Anciens Numéros

LIVRAISON OFFERTE en France Métropolitaine à partir de 50€
Misc 136

Misc 136

Novembre / Décembre 2024
14,90 €
Misc HS 30

Misc HS 30

Octobre / Novembre 2024
14,90 €
Misc 135

Misc 135

Septembre / Octobre 2024
12,90 €
Misc 134

Misc 134

Juillet / Août 2024
12,90 €
Misc HS 29

Misc HS 29

Juin / Juillet 2024
14,90 €
Misc 133

Misc 133

Mai / Juin 2024
12,90 €
Misc 132

Misc 132

Mars / Avril 2024
12,90 €
Misc HS 28

Misc HS 28

Février / Mars 2024
14,90 €
SOMMAIRE :

Pentest Corner

p. 06   Automatiser la création d’un laboratoire d’entraînement Active Directory
p. 18   JS Hoisting : exploiter des XSS « inexploitables »
p. 30   Exploitation d’un système industriel via le protocole OPC UA

Système

p. 46   DenyLocker : utilisation d’AppLocker en liste de blocage, construction et validation automatique des règles
p. 60   Protégez vos ressources AWS en identifiant les accès IMDS

Code

p. 70   Il y a comme un I(a)C

Réseau

p. 78   Scapy a 21 ans !

EDITO :


Réduire l’intervention humaine directe en exécutant des actions de manière automatique est une composante fondamentale des systèmes informatiques. À mesure que les environnements évoluent et se complexifient, l’automatisation devient omniprésente. De façon générale, elle vise à limiter les erreurs humaines, normer les opérations récurrentes, et passer à l’échelle afin de nous permettre de nous focaliser sur des tâches à forte valeur ajoutée.

En fonction des disciplines et de leurs besoins respectifs, cette automatisation prend des formes différentes. Dans le monde du réseau, il s’agit par exemple de provisionner et d’orchestrer la configuration d’équipements, ou de désactiver automatiquement des interfaces en cas d’anomalies ou de dysfonctionnements. Pour les développeurs, les environnements modernes leur permettent d’appliquer des tests unitaires sur leur code, d’y détecter des problèmes, et de le packager. Le DevOps, qui vise à unifier le développement (Dev) et l’administration système (Ops), pousse l’automatisation du développement encore plus loin en déployant régulièrement les applications. Il raccourcit ainsi les délais de mise en production et fiabilise l’exploitation.

Naturellement, la sécurité s’est également automatisée afin de détecter des vulnérabilités ou des attaques dans le but de les corriger ou de les bloquer. Au fil des années, le périmètre des mécanismes de défense a évolué passant de détections antivirales purement locales, à des solutions distribuées plus complexes qui promettent de réagir rapidement aux attaques ciblant l’ensemble du système d’information.

Les enjeux sont désormais tout aussi importants sur les aspects offensifs, et les attaquants ne se privent pas pour automatiser leurs attaques que ce soit via de simples botnets ou des exploits kits complexes. En 2016, le DARPA avait organisé le Cyber Grand Challenge dont l’enjeu était la création de systèmes automatiques capables de trouver des vulnérabilités dans des binaires, et de proposer les exploits et les patchs correspondants. Cette année aura lieu le AI Cyber Challenge également organisé par le DARPA. Il s’agit cette fois-ci d’une compétition visant à utiliser des techniques d’intelligence artificielle pour protéger des logiciels critiques. Avec 30 millions de dollars attribués aux meilleures équipes, il y a fort à parier que les retombées soient toutes aussi importantes qu’en 2016.

Dans ce numéro, l’automatisation se retrouve à travers différents articles traitant de la création d’un environnement de tests Active Directory, de règles de blocage pour AppLocker, ou des risques associés à l’utilisation de l’outil Terraform.


Guillaume VALADON 
 @guedou – guillaume@miscmag.com – Pour le comité de rédaction

La publication technique des experts de la sécurité offensive & défensive

Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

DenyLocker : utilisation d’AppLocker en liste de blocage, construction et validation automatique des règles
MISC n°133

AppLocker est un outil Microsoft de contrôle d’application présent sur tous les systèmes Windows récents. Il est un incontournable des fonctionnalités de sécurité de défense en profondeur. Son déploiement en liste d’autorisation dans un environnement d’entreprise est largement documenté, tout autant que les différentes techniques pour contourner les restrictions déployées. Cependant, après plus de dix ans d’existence, il reste épineux à utiliser sur un vaste parc informatique. Voyons comment le déployer plus aisément en liste de blocage pour profiter de ses atouts.

JS Hoisting : exploiter des XSS « inexploitables »
MISC n°133

Les Cross-Site Scripting (XSS) restent l'une des vulnérabilités web les plus communes et les plus souvent découvertes en audit, pentest ou Bug Bounty. Certaines peuvent sembler être des faux-positifs, où la réflexion est bien présente dans le DOM, mais hélas l'injection ne se déclenche pas en raison d'erreurs préalables dans le code source... Avant de déclarer forfait en tant qu’auditeur ou hunter, n’est-il pas possible de corriger/réparer le code légitime pour tout de même réussir l’injection ?

Protégez vos ressources AWS en identifiant les accès IMDS
MISC n°133

Les fournisseurs de cloud comme Amazon Web Services (AWS) proposent une très bonne visibilité sur les appels d’API effectués par les différents utilisateurs d’un compte grâce à des services comme CloudTrail [1]. Malheureusement, cette introspection s’arrête généralement à l’adresse IP de la machine qui a effectué l’appel, ne permettant pas de différencier un appel légitime des conséquences d’une attaque SSRF (Server-Side Request Forgery) [13] ou autre compromission.

Ce magazine est intégralement disponible sur Linux Magazine Connect
© 2024 - LES EDITIONS DIAMOND