Nul besoin de délaisser PowerShell mais il faut le configurer correctement

Les cybercriminels ont exploité les faiblesses de l’utilitaire de script PowerShell de Windows pendant des décennies. Mais les agences de cyberrenseignement des États-Unis, du Royaume-Uni et de la Nouvelle-Zélande affirment que le désactiver n’est pas la solution.

Image : Getty

Au lieu de cela, disent-ils dans un rapport publié récemment, une configuration et une surveillance appropriées permettront de réduire la probabilité que des acteurs malveillants l’utilisent sans être détectés après avoir eu accès au réseau d’une victime.

« Le blocage de PowerShell entrave les capacités défensives que les versions actuelles de PowerShell peuvent fournir », indique l’avis « et empêche les composants du système d’exploitation Windows de fonctionner correctement. Les versions récentes de PowerShell avec des capacités et des options améliorées peuvent aider les défenseurs à contrer les abus de PowerShell. »

Les administrateurs Windows doivent d’abord installer PowerShell 7.2 s’ils ce n’est pas déjà fait. Dans Windows 10+, avec une configuration appropriée, la version 7.2 peut s’intégrer pleinement et accéder à tous les composants créés pour la version 5.1 (livrée dans les versions antérieures de Windows 10 et 11), permettant une utilisation continue des scripts, modules et commandes existants.

Le rapport exhorte les administrateurs à tirer parti de ces fonctionnalités PowerShell :

  • Si l’accès à distance est autorisé, utilisez la gestion à distance de Windows (WinRM). Elle utilise Kerberos ou New Technology LAN Manager (NTLM) comme protocoles d’authentification par défaut. Ces protocoles d’authentification n’envoient pas les informations d’identification réelles aux hôtes distants, évitant ainsi l’exposition directe des informations d’identification et le risque de vol par le biais d’informations d’identification révélées.

PowerShell 7 autorise les connexions à distance via Secure Shell (SSH) en plus de prendre en charge les connexions WinRM. Cela permet l’authentification par clé publique et rend la gestion à distance des machines via PowerShell pratique et sécurisée, ajoute le rapport. Les nouvelles fonctionnalités de communication à distance SSH dans PowerShell peuvent établir des connexions à distance sans nécessiter l’utilisation du protocole de transfert hypertexte sécurisé (HTTPS) avec des certificats Secure Sockets Layer/Transport Layer Security (SSL/TLS).

Les règles du pare-feu Windows sur les points de terminaison doivent être configurées de manière appropriée pour contrôler les connexions autorisées. L’activation de la communication à distance PowerShell sur les réseaux privés introduira une règle de pare-feu Windows pour accepter toutes les connexions. L’exigence d’autorisation et les règles du pare-feu Windows sont personnalisables pour limiter les connexions aux seuls points de terminaison et réseaux de confiance afin de réduire les opportunités de mouvement latéral.

  • Activer l’interface d’analyse antimalware (AMSI), qui permet d’analyser le contenu des fichiers en mémoire et dynamiques à l’aide d’un produit antivirus approuvé tel que Windows Defender, McAfee (maintenant Trellix) ou Symantec.
  • Configurer AppLocker ou Windows Defender Application Control (WDAC) pour bloquer les actions sur un hôte Windows. Cela entraînera le fonctionnement de PowerShell en mode de langage contraint (CLM), limitant les opérations PowerShell sauf si elles sont autorisées par les politiques définies par l’administrateur ;

Le rapport note également que la journalisation des activités PowerShell peut enregistrer le moment où les cybermenaces exploitent PowerShell, et la surveillance continue des journaux PowerShell peut détecter et alerter sur les abus potentiels. Malheureusement, les fonctionnalités « Deep Script Block Logging », « Module Logging » et « Over-the-Shoulder transcription » sont désactivées par défaut. Le rapport recommande de les activer lorsque cela est possible.

Il existe de nombreuses autres sources d’informations sur la sécurisation de PowerShell, notamment les conseils du Center for Internet Security et de Microsoft.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Faible maturité des entreprises canadiennes en matière de cybersécurité

Une porte dérobée dans le serveur Web IIS de Microsoft, préviennent les chercheurs de Kaspersky

Un ver se propage via des clés USB infectées, prévient Microsoft

Adaptation et traduction française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Okta gèrera désormais les appareils des tiers accédant à ses outils

Le fournisseur de gestion d’identité et d’accès Okta affirme qu'un cybercriminel a accédé aux données de seulement deux clients, et non 366 comme on le craignait à l'origine, après le piratage d'un ordinateur chez un fournisseur de support tiers par le gang d'extorsion Lapsus$.

Des CV infectés envoyés à des recruteurs, prévient eSentire

Des chercheurs de eSentire indiquent dans un rapport que des entreprises canadiennes sont parmi les cibles récentes de logiciels malveillants propagés dans des Curriculum-Vitae envoyés avec des demandes d’emploi.

L’avis d’un expert pour le jour de gestion de l’identité

Il y a deux semaines, la maison-mère de l’application de transfert de fond nommée CashApp a commencé à aviser ses plus de 8 millions de client et employés que leur noms et leurs informations de courtage avaient été volés par un ancien employé.

Restrictions technologiques contre la Russie

Le Conseil de l'Union européenne impose depuis vendredi des restrictions sur les exportations en Russie de produits qui « pourraient contribuer à l’amélioration technologique de son secteur de la sécurité et de la Défense ».

Les connexions Wi-Fi WEP et TKIP seront bloquées dans Windows 11

Les connexions Wi-Fi à des réseaux qui fonctionnent avec d’anciens protocoles de sécurité WEP et TKIP seront bientôt bloquées dans Windows 11, selon un billet de blogue publié par Microsoft le 16 février.