Les cybercriminels ont exploité les faiblesses de l’utilitaire de script PowerShell de Windows pendant des décennies. Mais les agences de cyberrenseignement des États-Unis, du Royaume-Uni et de la Nouvelle-Zélande affirment que le désactiver n’est pas la solution.
Au lieu de cela, disent-ils dans un rapport publié récemment, une configuration et une surveillance appropriées permettront de réduire la probabilité que des acteurs malveillants l’utilisent sans être détectés après avoir eu accès au réseau d’une victime.
« Le blocage de PowerShell entrave les capacités défensives que les versions actuelles de PowerShell peuvent fournir », indique l’avis « et empêche les composants du système d’exploitation Windows de fonctionner correctement. Les versions récentes de PowerShell avec des capacités et des options améliorées peuvent aider les défenseurs à contrer les abus de PowerShell. »
Les administrateurs Windows doivent d’abord installer PowerShell 7.2 s’ils ce n’est pas déjà fait. Dans Windows 10+, avec une configuration appropriée, la version 7.2 peut s’intégrer pleinement et accéder à tous les composants créés pour la version 5.1 (livrée dans les versions antérieures de Windows 10 et 11), permettant une utilisation continue des scripts, modules et commandes existants.
Le rapport exhorte les administrateurs à tirer parti de ces fonctionnalités PowerShell :
- Si l’accès à distance est autorisé, utilisez la gestion à distance de Windows (WinRM). Elle utilise Kerberos ou New Technology LAN Manager (NTLM) comme protocoles d’authentification par défaut. Ces protocoles d’authentification n’envoient pas les informations d’identification réelles aux hôtes distants, évitant ainsi l’exposition directe des informations d’identification et le risque de vol par le biais d’informations d’identification révélées.
PowerShell 7 autorise les connexions à distance via Secure Shell (SSH) en plus de prendre en charge les connexions WinRM. Cela permet l’authentification par clé publique et rend la gestion à distance des machines via PowerShell pratique et sécurisée, ajoute le rapport. Les nouvelles fonctionnalités de communication à distance SSH dans PowerShell peuvent établir des connexions à distance sans nécessiter l’utilisation du protocole de transfert hypertexte sécurisé (HTTPS) avec des certificats Secure Sockets Layer/Transport Layer Security (SSL/TLS).
Les règles du pare-feu Windows sur les points de terminaison doivent être configurées de manière appropriée pour contrôler les connexions autorisées. L’activation de la communication à distance PowerShell sur les réseaux privés introduira une règle de pare-feu Windows pour accepter toutes les connexions. L’exigence d’autorisation et les règles du pare-feu Windows sont personnalisables pour limiter les connexions aux seuls points de terminaison et réseaux de confiance afin de réduire les opportunités de mouvement latéral.
- Activer l’interface d’analyse antimalware (AMSI), qui permet d’analyser le contenu des fichiers en mémoire et dynamiques à l’aide d’un produit antivirus approuvé tel que Windows Defender, McAfee (maintenant Trellix) ou Symantec.
- Configurer AppLocker ou Windows Defender Application Control (WDAC) pour bloquer les actions sur un hôte Windows. Cela entraînera le fonctionnement de PowerShell en mode de langage contraint (CLM), limitant les opérations PowerShell sauf si elles sont autorisées par les politiques définies par l’administrateur ;
Le rapport note également que la journalisation des activités PowerShell peut enregistrer le moment où les cybermenaces exploitent PowerShell, et la surveillance continue des journaux PowerShell peut détecter et alerter sur les abus potentiels. Malheureusement, les fonctionnalités « Deep Script Block Logging », « Module Logging » et « Over-the-Shoulder transcription » sont désactivées par défaut. Le rapport recommande de les activer lorsque cela est possible.
Il existe de nombreuses autres sources d’informations sur la sécurisation de PowerShell, notamment les conseils du Center for Internet Security et de Microsoft.
Lire aussi :
Faible maturité des entreprises canadiennes en matière de cybersécurité
Une porte dérobée dans le serveur Web IIS de Microsoft, préviennent les chercheurs de Kaspersky
Un ver se propage via des clés USB infectées, prévient Microsoft
Adaptation et traduction française par Renaud Larue-Langlois
