Pourquoi bloquer Powershell dans le parefeu de Windows

Wizdo Messages postés 131 Date d'inscription   Statut Membre Dernière intervention   -  
flo88 Messages postés 28335 Date d'inscription   Statut Contributeur Dernière intervention   -

​Bonjour,

________________________________________________

D'abord.  Si la modération pourrait ne pas fermer ce topic, important pour la sécurité.
_________________________________________________

.

Le site de malekaI avec l'article "Les bons réglages", propose de bloquer des fichiers de Windows (Powershell, ..) dans le parefeu de Windows.

Explications.

Depuis quelques années les pirates ont innové avec les attaques "dites" sans fichiers (fileless).  Des fichiers "légitimes" de Windows (Powershell, Wscript, ..) sont utilisés par les pirates, ce qui complique davantage la tâche des antivirus. 

Aussi.  Pourquoi bloquer l'accès à Powershell à internet, que, dans le parefeu de Windows.  Parce que le parefeu de Windows (qui est majoritairement) utilisé dans sa config usine, autorise(par défaut) tout ce qu'il y a d'installé sur l'ordinateur (== les applications et les infections qui réussissent à s'installer) à communiquer librement sur internet.       ↓ Image ↓  


Ce qui se vérifie par le fait que les navigateurs n'ont aucune règles de créés, dans la fenêtre du trafic Sortant du Parefeu de Windows avec fonctions avancées ..  Pourquoi les installateurs des navigateurs, les antivirus et beaucoup d'autres logiciels créeraient des règles dans la fenêtre du trafic Sortant pour les autoriser, puisque tout est déjà autorisé (par défaut).  

À propos.

L'année dernière sur ce forum, il y a eu une vague de trojan-stealer de mots de passe et de trojan-downloader de ransomware.  Lesquels trojans étaient activés par Powershell.
Réf. 1 - https://threats.kaspersky.com/en/threat/Trojan-Downloader.PowerShell.Agent.gen/
Réf. 2 - https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan%3APowerShell%2FStealer.SA&ThreatID=2147896176

.

Donc. 

Parce que le parefeu de Windows, comporte (par défaut) une super faille de sécurité.   

À défaut d'utiliser un autre parefeu complet.

Pour réduire les risques, de peut-être 30à50%, avec les attaques sans fichiers.

            ~~~~~~~~~~ La manip ~~~~~~~~~~

On peut créer soi-même les règles pour bloquer Powershell.exe et Wscript.exe, dans la fenêtre du trafic sortant du parefeu de Windows.  Ce qui n'est pas très compliqué.  Ces fichiers de windows sont dans C:\Windows\System32\..

Sinon.

"Les bons réglages" sont proposés avec un fichier .WFW à importer dans le parefeu.
Le problème.
En important ce .WFW, les réglages des parefeu des usagers sont réinitialisés.

Au lieu.
On utilise la commande Netsh, qui ajoute les règles sans altérer les réglages en place.

Ex.

• Ouvrir l'invite de commande (CMD) en tant qu'Administrateur.

• Copier / coller (par un clic-droit) la Citation dans CMD et valider.

netsh advfirewall firewall add rule name= ", Powershell.exe" dir=out program="C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" action=block
netsh advfirewall firewall add rule name= ", Wscript.exe" dir=out program="C:\Windows\System32\Wscript.exe" action=block

La citation peut être mise dans un fichier .BAT → à lancer en Administrateur.

La virgule en avant de Powershell et Wscript a pour effet de regrouper les règles créés, tout en haut de la fenêtre du trafic sortant.

​.

P.S.

Dans le fichier .WFW des bons réglages, les fichiers Mshta.exe et Rundll32.exe sont aussi bloqués dans le parefeu. 

A voir également:

3 réponses

Réponse 1 / 3
Castoramoi Messages postés 399 Date d'inscription   Statut Membre Dernière intervention   21
 

Salut

J'utilise Windows Firewall Control bien pratique pour bloquer ou autoriser des applications dans le parefeu Windows.
0
Réponse 2 / 3
brucine Messages postés 21598 Date d'inscription   Statut Membre Dernière intervention   3 394
 

Bonjour,

Il n'y a de toute façon aucune raison de bloquer globalement des requêtes internet PowerShell entrantes ou sortantes qui peuvent être légitimes et la même chose vaut pour tout autre type de script.

Un bon logiciel de sécurité permettra de donner une autorisation à telle application, tel sens, tel port, ou tout au moins de demander à chaque requête l'autorisation en précisant d'où émane cette requête, sans quoi on en change.
1
brucine Messages postés 21598 Date d'inscription   Statut Membre Dernière intervention   3 394
 

Et puis, Fileless ou pas, il faut bien qu'il y ait une faille dans le système pour qu'une commande malveillante soit injectée, et donc qu'elle ait franchi la protection des failles du système d'exploitation et celle du logiciel de défense, le mien n'autorisera par exemple pas que quelque chose soit écrit dans le registre sans m'en demander la permission.

Ce type de phénomène non ciblé vers un quidam est de toute façon relativement rare, les PC des particuliers n'intéressent personne, sauf si bien sûr le quidam en question a délibérément outrepassé ces sécurités en cliquant sur n'importe quoi ou en téléchargeant n'importe où: la quasi-totalité des malwares sur un PC résulte de l'action de l'utilisateur et là, on ne peut plus grand-chose.

0
Réponse 3 / 3
flo88 Messages postés 28335 Date d'inscription   Statut Contributeur Dernière intervention   Ambassadeur 4 973
 

Bjr

Et ? 

Rien de nouveau,  les VUNs de powershell sont répertoriés sur des sites spécialisés,  c'est connus et comme le dit brucine,  n'est que rarement à destination des particuliers,  sauf si ton voisin a décidé de te pourrir....

De toute façon les règles pour bloquer powershell dans le pare-feu Windows vont ralentir 30 secondes quelqu'un ayant les compétences pour tuer le processus....
0