Protection 🛡️ Neutraliser les détournements par services COM vulnérables

[Sylvain*]

Neutraliser les détournements par services COM vulnérables

Introduction

Les objets COM peuvent être manipulés pour exécuter du code malveillant avec élévation de privilèges, particulièrement via des CLSID mal protégés

---

Prérequis

• Connaissances avancées de Windows

• Maîtrise des outils système Windows

• Droits administrateur requis

---

Procédure

• Étape #1 : Identifier les CLSID vulnérables dans le registre

• Étape #2 : Bloquer leur exécution via GPO AppLocker

• Étape #3 : Modifier les autorisations sur les clés COM

• Étape #4 : Surveiller les appels COM suspects

• Étape #5 : Mettre en quarantaine les objets COM exposés

---

Niveau de difficulté

• Étape #1 : Moyen

• Étape #2 : Difficile

• Étape #3 : Moyen

• Étape #4 : Moyen

• Étape #5 : Moyen

---

Les Avantages

• Étape #1 : Détecte les points d’attaque COM potentiels

• Étape #2 : Bloque l’invocation automatique d’objets vulnérables

• Étape #3 : Renforce la sécurité du registre

• Étape #4 : Permet un audit proactif

• Étape #5 : Réduit la surface d’exploitation

---

Les Inconvénients

• Étape #1 : Identification manuelle chronophage

• Étape #2 : Mauvaise règle GPO peut bloquer des fonctions critiques

• Étape #3 : Risque d’erreur lors de modification ACL

• Étape #4 : Requiert des outils spécialisés

• Étape #5 : Potentiel de faux positifs

---

Étape #1 Identifier les CLSID vulnérables dans le registre

Rechercher les objets COM exposés à l’exécution distante

Explorer les CLSID manuellement

reg query HKCR\CLSID /s

Vérifier les chemins de lancement dans InprocServer32

Croiser avec les rapports d’abus connus (MITRE, GitHub)

---

Étape #2 Bloquer leur exécution via GPO AppLocker

Empêcher le chargement des DLL COM suspectes

Ouvrir la console GPO

gpedit.msc

Ajouter des règles AppLocker dans

Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > AppLocker > Règles DLL

Définir les CLSID ciblés ou chemins des DLL

---

Étape #3 Modifier les autorisations sur les clés COM

Restreindre l'accès en écriture aux clés CLSID vulnérables

Lancer Regedit

regedit

Clic droit sur CLSID > Autorisations

Supprimer l'accès Full Control des groupes standards

---

Étape #4 Surveiller les appels COM suspects

Utiliser Process Monitor pour identifier les appels COM

Filtrer sur

RegOpenKey HKCR\CLSID

Exporter les résultats pour analyse

Repérer les objets invoqués hors session utilisateur

---

Étape #5 Mettre en quarantaine les objets COM exposés

Renommer ou déplacer temporairement les DLL vulnérables

Localiser les fichiers associés

where /R C:\ nom_du_module.dll

Déplacer les fichiers vers un répertoire isolé

Vérifier qu’aucune fonction critique n’est altérée

---

Astuce

Utiliser Autoruns de Sysinternals pour détecter les objets COM persistants

autoruns.exe /accepteula

---

Mise en garde

Modifier le registre COM sans backup peut entraîner des comportements instables]

Créer un point de restauration système avant toute modification

---

Conseil

Documenter les CLSID] bloqués et les raisons associées pour assurer le suivi

notepad CLSID_bloc.txt

---

Solutions alternatives

• windows com object hijacking mitigation

• disable vulnerable clsid registry

• applocker clsid protection

---

Liens utiles

• Support Microsoft

• Microsoft Learn

• GitHub Recherche

---

Conclusion
La neutralisation des services COM vulnérables est une mesure cruciale dans la prévention des attaques par élévation de privilèges. Elle requiert une analyse ciblée mais offre un excellent retour en matière de réduction de surface d’attaque.