Faille Zeroday dans Windows - Comment réduire le risque?

Publié initialement à : https://korben.info/faille-zeroday-dans-windows-comment-reduire-le-risque.html

Si vous me suivez sur Twitter ou Facebook, vous n’ignorez pas qu’une faille zero day (0day), c’est-à-dire non corrigée (et apparemment exploitée ??) a été découverte dans Windows 10 et antérieure (7 et 8 ainsi que les versions Server). Référencée sous le code ADV200006, la faille se situe dans une bibliothèque Adobe (Adobe Type Manager…

1 J'aime

Et il faudra tout redéfaire quand la vulnérabilité sera corrigée… Autant serrer les fesses un moment le temps que le correctif arrive ! :smile:

1 J'aime

Merci Korben,

  1. Je suis maniaco de la LDC (Ligne De Commande), pas du clic-clic-clic-clic-… bref de l’interface graphique (GUI) pour ce qui concerne l’administration, notamment parce que la LDC est réutilisable à volonté, sur plusieurs machines.

Par exemple : (Avec des droits d’admin, ça va sans dire :nerd_face: )

; afficher l’état d’un service (facultatif mais précaution prévaut :slight_smile: )
sc query webclient

; stopper un service (si nécessaire, donc si le service est démarré)
sc stop webclient

; désactiver un service ( :warning: il faut bien une espace entre « start= » et « disabled » . C’est pas ma faute, c’est du MicroMou & oui espace est du genre féminin en typographie)
sc config webclient start= disabled

; vérifier la désactivation d’un service
sc query qc webclient

  1. heureusement je l’avais fait depuis quelque temps, l’info date au moins du 24-03-2020

( https://www.01net.com/actualites/des-pirates-exploitent-activement-deux-failles-zero-day-dans-windows-1881174.html )

Ce que je veux dire, sans :scream: critiquer Korben qui fait acte positif type voiture-balai qui récupère les attardés (j’ai pas dit les retardés), si vous avez vraiment appris l’information ici, c’est qu’il faut revoir votre politique d’information sur les failles. C’est bien tardif de l’apprendre 4 jours après, si j’osais une image parlante, je dirais que c’est un peu comme attendre une pandémie pour commander des moyens médicaux. Nous critiquons facilement les gouvernements, et nous sommes peu auto-critiques. Village gaulois, Paille, oeil, poutre, voisin, toussa, toussa :innocent: Jdisajdirien. :wink:

1 J'aime

Pour les disciples de Powershell :

  1. Pour désactiver le service Webclient, vous pouvez exécuter avec les droits admin:

Stop-Service -Name webclient -PassThru|Set-Service -StartupType disabled

  1. Pour voir l’état du service :

Get-Service -Name webclient

  1. Pour voir s’il est désactivé :

Get-Service -Name webclient|Format-List -Property startType

#ze end

Pour info j’ai créé un blog post pour l’application de ces contournements en attendant le patch de MS dans un environnement entreprise par GPO: https://bit.ly/2wJ0EML
Sylvain.

Et pour les fanas de reg edit , vous avez l’option de faire en LDC avec les droits admins :

; pour désactiver le service webclient
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient /v Start /t REG_DWORD /d 0x00000004 /f

; pour forcer l’affichage des icones plutôt que les miniatures
; plusieurs paramètres sont concernés

  1. Par utilisateur
    ; il faut modifier le registre pour le current user / file explorer et tuer explorer.exe, et le relancer (sinon vous le réglage ne s’appliquera qu’à la prochaine session
    ; ça donne :
    reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v IconsOnly /t REG_DWORD /d 0x00000001 /f
    taskkill /f /im explorer.exe
    start explorer.exe

  2. Pour tous les utilisateurs (HKLM)
    reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v DisableThumbnails /t REG_DWORD /d 0x00000001 /f

La logique de sécurité veut qu’on l’applique à tous les users, donc la méthode 2 a ma préférence.