Informations dissimulées dans le registre Windows


10 juillet 2020, par Guus Beckers, spécialiste de la sécurité chez Bureau Veritas Cybersecurity.
Xpbliss

Nos enquêteurs sont confrontés à toutes sortes d'informations sensibles au cours de leurs missions de Red Teaming. Bien que ces informations soient généralement réservées à la collecte de données médico-légales par les services de police, elles sont également d'une grande valeur pour les attaquants qui cherchent à infiltrer les réseaux informatiques.


La collecte d'informations en vue d'élever les privilèges sur les systèmes clés d'une organisation fait partie intégrante de la chaîne d'exécution du red teaming, en particulier des phases de "découverte" et d'"escalade des privilèges". Les informations collectées sont utilisées pour passer d'un système à l'autre au sein de l'infrastructure du réseau.

Dans ce blog, Guus Beckers décrira comment le registre de Windows dissimule des informations qui sont d'une grande valeur pour les attaquants potentiels.


1. Introduction

"Chaque contact laisse une trace", tel est le principe énoncé par le Dr Edmond Locard au vingtième siècle. Depuis lors, il est devenu une pierre angulaire des sciences médico-légales. Le Dr Locard faisait référence aux traces dans le monde physique, aux traces de sang, aux fibres de tissu et aux mèches de cheveux, entre autres. Mais c'est tout aussi vrai dans le domaine des appareils et des réseaux informatiques, avec des noms de documents, des emplacements de réseau et des commandes de système, pour ne citer que quelques exemples équivalents. Toutes ces informations sont saisies sans réfléchir et conservées par le système d'exploitation pour des raisons de commodité. Lorsque les systèmes informatiques des employés sont compromis, ces traces d'information peuvent être utilisées par les attaquants pour mieux comprendre l'employé, le système informatique ou le réseau informatique concernés. L'une des sources les plus importantes du système d'exploitation Windows est le registre, une base de données qui conserve la plupart des paramètres du système.

Il stocke un large éventail d'informations telles que

  • Informations relatives aux réseaux connectés ;
  • Le nom et les informations détaillées sur le réseau de tout réseau sans fil (précédemment connecté) ;
  • Le contenu des boîtes de dialogue Ouvrir/Enregistrer (pour avoir une vue d'ensemble des fichiers existants) ;
  • Le nombre de fois qu'un programme a été lancé, l'emplacement du programme, même s'il a été supprimé ou désinstallé ;
  • Logiciel lancé au démarrage de l'ordinateur ;
  • le fuseau horaire ;
  • Périphériques connectés ;
  • les périphériques de stockage USB connectés.

Avec une expertise appropriée, ces connaissances peuvent être trouvées et réutilisées.

Adobestock 69955791

2. Collecte d'informations sensibles

Imaginez le scénario suivant : un cadre utilise son ordinateur portable et un pirate informatique a réussi à s'y introduire. L'une des sources d'information les plus précieuses est le registre Windows, qui est au cœur du système d'exploitation Windows. Il fonctionne comme une base de données de configuration et garde la trace des fichiers système essentiels, des applications installées, des paramètres utilisateur et de nombreux autres types de données. En tant que tel, il contient une mine d'informations. Bien qu'il soit bien protégé, chaque compte d'utilisateur doit avoir accès au registre pour pouvoir charger des éléments essentiels du système d'exploitation. Ainsi, chaque compte d'utilisateur a accès au registre et est en mesure d'en lire les données. Les données disponibles dans le registre peuvent être utilisées à des fins très diverses.

En utilisant quelques commandes système, l'attaquant est en mesure de consulter la liste des points d'accès sans fil précédemment connectés. Pour des raisons pratiques, Windows enregistre l'emplacement des réseaux précédemment connectés afin de s'assurer qu'ils fonctionneront également lors de visites ultérieures. Le pirate peut voir que le dirigeant a visité quelques hôtels ainsi que plusieurs bureaux de sa propre entreprise situés aux États-Unis. Les informations relatives au fuseau horaire obtenues à partir du registre correspondent à l'un des bureaux, ce qui laisse supposer que le dirigeant est basé à cet endroit précis. En creusant davantage dans le registre, on découvre les applications informatiques les plus couramment utilisées par cet utilisateur, notamment une ancienne version de Microsoft Office présentant quelques vulnérabilités prometteuses. Il est probable que de nombreux appareils de l'entreprise utilisent la même version. L'attaquant a maintenant une bonne idée de ce qu'il doit faire et peut utiliser les mêmes techniques (et d'autres emplacements dans le registre) pour recueillir des informations précieuses sur d'autres appareils.

L'étape suivante consiste à parcourir le système à la recherche d'informations sur l'individu lui-même. Une source idéale d'informations est l'historique du navigateur web, qui renseignera l'attaquant sur les activités les plus récentes de l'utilisateur, y compris les sites web visités ainsi que le nombre de visites spécifiques. Ces informations, mises en corrélation avec d'autres informations d'horodatage, peuvent renseigner un pirate sur les loisirs, le travail, la famille et bien d'autres centres d'intérêt de sa cible. Les navigateurs web contiennent des données sensibles sur les individus. En utilisant les données collectées ainsi que l'historique partagé (qui comprend les fichiers téléchargés et les informations sur les moteurs de recherche), un pirate n'ayant aucun scrupule éthique pourra se faire une idée des désirs et des doutes de l'individu. Les informations acquises peuvent, à leur tour, être utilisées lors de campagnes de (spear) phishing. Il est évident que d'autres fichiers présents sur l'appareil constituent également une cible attrayante pour les pirates, et qu'ils peuvent révéler des informations encore plus intéressantes.

Person behind computer

3. La prévention

Le scénario décrit ci-dessus est fictif, mais il est possible de l'exécuter lors d'une rencontre réelle. Toutes les données décrites dans le scénario peuvent être obtenues assez facilement une fois que le compte d'un employé est compromis et que l'attaquant est connecté avec des privilèges d'utilisateur. Les informations obtenues peuvent servir de tremplin pour poursuivre l'infiltration de l'organisation. Les règles de prévention s'appliquent toujours, protégez les comptes d'utilisateurs avec un mot de passe fort, maintenez la sensibilisation à la sécurité et utilisez les meilleures pratiques liées à la sécurité de l'information pour protéger votre organisation.

Si vous avez des questions concernant votre sécurité de l'information, veuillez nous Contactez-nous à cybersecurity@bureauveritas.com.