Sergey Nivens - Fotolia

La dernière avancée de Mimikatz rappelle la criticité des journaux d’activité

Rendre aveugle l’observateur d’événements de Windows. C’est la capacité dont vient d’être doté cet outil qui met au défi la sécurité du système d’exploitation de Microsoft depuis de longues années. Une piqure de rappel sur l’importance des logs.

Benjamin Delpy continue de faire progresser Mimikatz. Son dernier ajout ? De quoi empêcher le service d’observation d’événements de Windows d’enregistrer les opérations d’effacement de journaux. 

Développé depuis de longues années, Mimikatz sert à récupérer les identifiants de comptes utilisateurs stockés sur un système Windows. Il est utilisé à la fois dans une logique défensive, pour éprouver la sécurité de son infrastructure, que dans une logique offensive par des cyber-délinquants qui ont toute latitude pour le personnaliser et l’adapter à leurs besoins spécifiques.

La détection de son utilisation dans le cadre d’enquêtes sur incidents fait régulièrement l’objet de travaux de recherche et d’étude, voire de démonstrations d’éditeurs de solutions de sécurité, notamment dans le cadre d’attaques en mémoire, sans dépôt de fichier sur le disque dur. Ces attaques dites fileless se multiplient et ne manquent pas de gagner en sophistication. Et selon Ayoub Elaassal, consultant sécurité chez Wavestone, il n’y pas là de remède miracle : « sur le terrain, bien qu’ils prétendent surpasser l’antivirus, la majorité écrasante des produits EDR succombe aux mêmes attaques permettant de contourner un antivirus classique ». D’où un rôle complémentaire permettant de gagner en visibilité.

Et justement, comme le relève Jake Williams, de Rendition Security, le tout dernier ajout de Benjamin Delpy à Mimikatz sonne comme une sévère piqure de rappel : « les journaux d’événements ne sont pas une vérité absolue. Il est plus important que jamais de chercher des indices de leur altération via des artefacts secondaires ».

De quoi souligner au passage leur criticité et l’importance, aussi, de leur stockage hors de portée d’attaquants potentiels. Car comme le rappelle David Mercer, de MercerWeiss Consulting : « le système de journalisation est la première cible de n’importe quel attaquant sérieux ». 

Approfondir

Soyez le premier à commenter

M'envoyer une notification dès qu'un autre membre commente.

Merci de créer un identifiant pour pouvoir poster votre commentaire.

- ANNONCES GOOGLE

Close