Bonjour à tous,
je suis face à un probleme actuellement, nous avons eu un audit sécurité de nos postes de travail et il est remonté une vulnérabilité au niveau du service windows permettant une élévation de privilege en utilisant le framework powersploit avec la fonction invokeserviceabuse sur le service "browser". si vous ne connaissez pas cette cochonnerie de framework, je vous invite à aller lire et essayer ... bref ;-)
du coup nous avons cherché comment corriger ce probleme mais nous n'y arrivons pas ... le script est un script powershell et apres avoir épluché le code il fait :
il ouvre un pointer/handler sur le service,
stop le service
change le binaire vers lequel le handler point dans la config du service via: $Advapi32::ChangeServiceConfig
puis relance le service qui du coup execute le binaire ciblé avec les droits d'origine du service ... et BOUM dans ma face...
du coup j'ai cherché comment restreindre le service en lui meme... une GPO qui disable le service ne semble pas l'empecher de le start/stop alors que ça marche sur les autres services...
on a donc cherché comment restreindre le powershell et globalement les differentes policy de powershell sont trop général et ne bloque globalement rien ou littéralement tout ce qui n'est pas possible car nous avons besoin de powershell de façon "standard".
avez vous déjà eu à faire à ce genre de problème . avez vous trouvé une solution ? est ce qu'on a raté qq chose au niveau GPO ? ci joint une capture d'écran ... le type de démarrage est à désactivé mais il n'est pas bloqué (du coup le script le passe en manuel et c'est réglé )... j'avoue ne pas comprendre pourquoi ...
nos postes sont en win7.
ps: je re post car j'avais mis une PJ et je pense que ça ne passe pas sur la ML,si vous avez déjà reçu ce message excusez moi (je ne pense pas).
--
Jocelyn Lagarenne