La plate-forme d’automatisation des tâches PowerShell, qui est souvent utilisée de manière abusive par les pirates distribuant des logiciels malveillants (s’ouvre dans un nouvel onglet), peut également être utilisé pour la détection et la prévention des attaques. C’est le conseil que la National Security Agency (NSA) des États-Unis a récemment donné aux administrateurs système du monde entier.
Parallèlement aux centres de cybersécurité au Royaume-Uni et en Nouvelle-Zélande, la NSA a publié un avis de sécurité dans lequel elle affirme que le blocage de PowerShell, une pratique de sécurité courante, réduit en fait les capacités défensives des organisations contre les ransomwares. (s’ouvre dans un nouvel onglet) et d’autres formes de cyberattaques.
Au lieu de cela, les administrateurs système devraient l’utiliser pour renforcer leur analyse médico-légale et leur réponse aux incidents, ainsi que pour automatiser autant de tâches répétitives que possible.
De nombreuses recommandations
« Le blocage de PowerShell entrave les capacités défensives que les versions actuelles de PowerShell peuvent fournir et empêche les composants du système d’exploitation Windows de fonctionner correctement. Les versions récentes de PowerShell avec des capacités et des options améliorées peuvent aider les défenseurs à contrer les abus de PowerShell », a déclaré la NSA.
L’avis contient un certain nombre de recommandations, notamment l’utilisation de la communication à distance PowerShell ou l’utilisation du protocole Secure Shell (SSH) pour améliorer la sécurité de l’authentification par clé publique.
« Une configuration appropriée de WDAC ou d’AppLocker sur Windows 10+ permet d’empêcher un acteur malveillant de prendre le contrôle total d’une session PowerShell et de l’hôte », explique le document.
Les administrateurs système peuvent également rechercher des signes d’abus sur leurs terminaux (s’ouvre dans un nouvel onglet) en enregistrant l’activité PowerShell et en surveillant les journaux.
L’avis recommande également aux administrateurs d’activer des fonctionnalités telles que Deep Script Block Logging, Module Logging ou Over-The-Shoulder Transcription, car les premières créent une base de données de journaux, pratique pour repérer les activités PowerShell agressives.
Ce dernier permet aux administrateurs d’enregistrer chaque entrée et sortie PowerShell, obtenant ainsi une meilleure compréhension des objectifs des attaquants.
« PowerShell est essentiel pour sécuriser le système d’exploitation Windows », a conclu la NSA, ajoutant qu’avec une configuration et une gestion appropriées, il peut être un excellent outil pour la maintenance et la sécurité du système.
Via BleepingComputer (s’ouvre dans un nouvel onglet)