Protection 🚫 Bloquer le DLL sideloading dans les logiciels métiers sur Windows

[Sylvain*]

Bloquer le DLL sideloading dans les logiciels métiers sur Windows

Introduction

Le DLL sideloading permet à un attaquant de détourner des exécutables métiers en chargeant des bibliothèques malicieuses situées dans les mêmes répertoires. Ce guide cible la neutralisation de cette technique sur Windows 11 en verrouillant les comportements vulnérables.

---

Prérequis

• Connaissances avancées de Windows

• Maîtrise des droits NTFS et outils GPO

• Droits administrateur requis

---

Procédure

• Étape #1 : Identifier les exécutables vulnérables dans le logiciel

• Étape #2 : Appliquer une restriction NTFS stricte sur les dossiers

• Étape #3 : Créer une règle AppLocker ou WDAC ciblée

• Étape #4 : Interdire le chargement de DLL hors du dossier système

• Étape #5 : Surveiller le chargement de DLL en temps réel

---

Niveau de difficulté

• Étape #1 : Moyen

• Étape #2 : Moyen

• Étape #3 : Difficile

• Étape #4 : Moyen

• Étape #5 : Facile

---

Les Avantages

• Étape #1 : Évite l’exploitation ciblée des .exe

• Étape #2 : Supprime le point d’entrée malveillant

• Étape #3 : Bloque l’exécution non approuvée

• Étape #4 : Restreint les DLL à des chemins sûrs

• Étape #5 : Détecte les tentatives d’injection en direct

---

Les Inconvénients

• Étape #1 : Nécessite une cartographie complète

• Étape #2 : Risque d’interruption fonctionnelle si mal appliquée

• Étape #3 : Déploiement complexe en environnement non homogène

• Étape #4 : Risque de faux positifs sur DLL légitimes

• Étape #5 : Surveille mais ne bloque pas nativement

---

Étape #1 Identifier les exécutables vulnérables

Scanner les chemins des logiciels métiers avec un outil comme Process Monitor ou Sigcheck

Repérer les .exe qui chargent des DLL en local

sigcheck -q -e -c "C:\Program Files\LogicielMetier"

---

Étape #2 Appliquer des restrictions NTFS ciblées

Empêcher l’écriture dans le dossier applicatif

Retirer les droits "Users" en écriture sur le répertoire

icacls "C:\Program Files\LogicielMetier" /inheritance:r /remove:g "Users" /grant:r "Administrators:(OI)(CI)F" "SYSTEM:(OI)(CI)F"

---

Étape #3 Créer une règle AppLocker ou WDAC

Bloquer les DLL non signées ou hors du répertoire système

Appliquer une stratégie AppLocker ciblée

mmc.exe secpol.msc

Ajouter une règle "Bibliothèque autorisée" sur

%SystemRoot%\System32

uniquement

---

Étape #4 Restreindre le chargement des DLL par clé de registre

Activer SafeDllSearchMode dans le registre

Force le système à charger les DLL uniquement dans des répertoires sécurisés

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

SafeDllSearchMode = 1 (DWORD)

---

Étape #5 Surveiller les chargements suspects de DLL

Utiliser Sysmon pour journaliser le chargement de DLL

Filtrer avec Event Viewer ou un SIEM

eventvwr.msc

---

Astuce

Créez une règle AppLocker uniquement pour les .dll dans les répertoires critiques des logiciels métiers

Utiliser %ProgramFiles%\LogicielMetier*.dll comme chemin contrôlé

---

Mise en garde

Une mauvaise règle AppLocker peut empêcher l'exécution normale de composants légitimes

Toujours tester dans un environnement de préproduction avant déploiement

---

Conseil

Documentez chaque exécutable légitime de vos logiciels métiers avec son chemin et sa signature numérique

sigcheck -h -c "C:\Program Files\LogicielMetier" > logiciels_legitimes.csv

---

Solutions alternatives

• DLL sideloading protection AppLocker

• block unauthorized DLL windows WDAC

• safe DLL search order windows registry

---

Liens utiles

• Support Microsoft

• Microsoft Learn

• GitHub Recherche

---

Conclusion
Le DLL sideloading est une technique d’attaque furtive mais évitable. En combinant restriction NTFS, contrôle d’exécution (AppLocker/WDAC) et surveillance active, vous limitez considérablement les vecteurs de compromission dans les logiciels métiers.