help/content/exercices/Attaque protocolaire.md

---
date: 2023-03-24T13:34:21+01:00
title: Protocoles
---

{{% tag %}}Attaque protocolaire{{% /tag %}}
{{% tag %}}Protocole{{% /tag %}}

Contexte du défi
----------------

Vos machines en production ne fonctionnent plus, elles n’arrêtent pas de crash. Vous investiguez.

Infrastructure à mettre en place
--------------------------------

Minimum 2 Windows Serveur ou Client dans la version permettant la CVE de fonctionner.
1 machine dans le réseau infecté (pour une raison quelconque) par le binaire malveillant, origine de l’attaque.

Pas-à-pas
---------

Vous mettez en place un programme permettant de prendre le contrôle ou faire tomber une machine sous Windows, en utilisant la vulnérabilité CVE-2022-34718.

Choisir une des machines, c’est la machine infectée. Il n’est pas obligé de justifier pourquoi ni par quoi cette machine a été infecté.

La machine infectée sert de base pour l’attaquant.

L’attaquant utilise la CVE-2022-34718 pour empêcher le fonctionnement des autres machines du réseau. 


Risques
-------

Comprendre un minimum IPv6.  
Implémenter une vulnérabilité en vrai.  
Trouver la bonne version de Windows.

Traces à enregistrer
--------------------

Fichiers à fournir :
- Logs windows (tout type)
- PCAP ou logs réseaux
- Dump de RAM des machines, l’un d’entre eux doit contenir le binaire malveillant

Questions à poser :
- Que fait le binaire malveillant en détail 
- Questions sur les impacts réseaux (PCAP)
- Questions sur les impacts logs systèmes

Liens
-----

[Article Forbes](https://www.forbes.com/sites/daveywinder/2022/09/14/new-microsoft-windows-zero-day-attack-confirmed-update-now/?sh=120cee4b7ba3)

[PoC CVE-2022-34718 (windows IPv6)](https://github.com/SecLabResearchBV/CVE-2022-34718-PoC)

[Analyse de la vulnérabilité](https://medium.com/numen-cyber-labs/analysis-and-summary-of-tcp-ip-protocol-remote-code-execution-vulnerability-cve-2022-34718-8fcc28538acf)
-												Add exercices samples

											
										
										
											2023-04-12 10:49:33 +00:00
+								---
 								date: 2023-03-24T13:34:21+01:00
 								title: Protocoles
 								---
 								{{% tag %}}Attaque protocolaire{{% /tag %}}
 								{{% tag %}}Protocole{{% /tag %}}
 								Contexte du défi
 								----------------
-												Orthograf & fixes

											
										
										
											2023-04-12 11:44:36 +00:00
+								Vos machines en production ne fonctionnent plus, elles n’arrêtent pas de crash. Vous investiguez.
-												Add exercices samples

											
										
										
											2023-04-12 10:49:33 +00:00
 								Infrastructure à mettre en place
 								--------------------------------
-												Orthograf & fixes

											
										
										
											2023-04-12 11:44:36 +00:00
+								Minimum 2 Windows Serveur ou Client dans la version permettant la CVE de fonctionner.
-												Add exercices samples

											
										
										
											2023-04-12 10:49:33 +00:00
+machine dans le réseau infecté (pour une raison quelconque) par le binaire malveillant, origine de l’attaque.
 								Pas-à-pas
 								---------
 								Vous mettez en place un programme permettant de prendre le contrôle ou faire tomber une machine sous Windows, en utilisant la vulnérabilité CVE-2022-34718.
 								Choisir une des machines, c’est la machine infectée. Il n’est pas obligé de justifier pourquoi ni par quoi cette machine a été infecté.
-												Orthograf & fixes

											
										
										
											2023-04-12 11:44:36 +00:00
+								La machine infectée sert de base pour l’attaquant.
-												Add exercices samples

											
										
										
											2023-04-12 10:49:33 +00:00
 								L’attaquant utilise la CVE-2022-34718 pour empêcher le fonctionnement des autres machines du réseau.
 								Risques
 								-------
 								Comprendre un minimum IPv6.
 								Implémenter une vulnérabilité en vrai.
 								Trouver la bonne version de Windows.
 								Traces à enregistrer
 								--------------------
 								Fichiers à fournir :
 								- Logs windows (tout type)
-												Orthograf & fixes

											
										
										
											2023-04-12 11:44:36 +00:00
+								- PCAP ou logs réseaux
-												Add exercices samples

											
										
										
											2023-04-12 10:49:33 +00:00
+								- Dump de RAM des machines, l’un d’entre eux doit contenir le binaire malveillant
 								Questions à poser :
 								- Que fait le binaire malveillant en détail
 								- Questions sur les impacts réseaux (PCAP)
 								- Questions sur les impacts logs systèmes
 								Liens
 								-----
 								[Article Forbes](https://www.forbes.com/sites/daveywinder/2022/09/14/new-microsoft-windows-zero-day-attack-confirmed-update-now/?sh=120cee4b7ba3)
 								[PoC CVE-2022-34718 (windows IPv6)](https://github.com/SecLabResearchBV/CVE-2022-34718-PoC)
 								[Analyse de la vulnérabilité](https://medium.com/numen-cyber-labs/analysis-and-summary-of-tcp-ip-protocol-remote-code-execution-vulnerability-cve-2022-34718-8fcc28538acf)