60 lines
1.9 KiB
Markdown
60 lines
1.9 KiB
Markdown
|
---
|
|||
|
date: 2023-03-24T13:34:21+01:00
|
|||
|
title: Protocoles
|
|||
|
---
|
|||
|
|
|||
|
{{% tag %}}Attaque protocolaire{{% /tag %}}
|
|||
|
{{% tag %}}Protocole{{% /tag %}}
|
|||
|
|
|||
|
Contexte du défi
|
|||
|
----------------
|
|||
|
|
|||
|
Vos machines en production ne fonctionnement plus, elles n’arrêtent pas de crash. Vous investiguez.
|
|||
|
|
|||
|
Infrastructure à mettre en place
|
|||
|
--------------------------------
|
|||
|
|
|||
|
Minium 2 Windows Serveur ou Client dans la version permettant la CVE de fonctionner.
|
|||
|
1 machine dans le réseau infecté (pour une raison quelconque) par le binaire malveillant, origine de l’attaque.
|
|||
|
|
|||
|
Pas-à-pas
|
|||
|
---------
|
|||
|
|
|||
|
Vous mettez en place un programme permettant de prendre le contrôle ou faire tomber une machine sous Windows, en utilisant la vulnérabilité CVE-2022-34718.
|
|||
|
|
|||
|
Choisir une des machines, c’est la machine infectée. Il n’est pas obligé de justifier pourquoi ni par quoi cette machine a été infecté.
|
|||
|
|
|||
|
La machine infecté sert de base pour l’attaquant.
|
|||
|
|
|||
|
L’attaquant utilise la CVE-2022-34718 pour empêcher le fonctionnement des autres machines du réseau.
|
|||
|
|
|||
|
|
|||
|
Risques
|
|||
|
-------
|
|||
|
|
|||
|
Comprendre un minimum IPv6.
|
|||
|
Implémenter une vulnérabilité en vrai.
|
|||
|
Trouver la bonne version de Windows.
|
|||
|
|
|||
|
Traces à enregistrer
|
|||
|
--------------------
|
|||
|
|
|||
|
Fichiers à fournir :
|
|||
|
- Logs windows (tout type)
|
|||
|
- PCAP ou log réseaux
|
|||
|
- Dump de RAM des machines, l’un d’entre eux doit contenir le binaire malveillant
|
|||
|
|
|||
|
Questions à poser :
|
|||
|
- Que fait le binaire malveillant en détail
|
|||
|
- Questions sur les impacts réseaux (PCAP)
|
|||
|
- Questions sur les impacts logs systèmes
|
|||
|
|
|||
|
Liens
|
|||
|
-----
|
|||
|
|
|||
|
[Article Forbes](https://www.forbes.com/sites/daveywinder/2022/09/14/new-microsoft-windows-zero-day-attack-confirmed-update-now/?sh=120cee4b7ba3)
|
|||
|
|
|||
|
[PoC CVE-2022-34718 (windows IPv6)](https://github.com/SecLabResearchBV/CVE-2022-34718-PoC)
|
|||
|
|
|||
|
[Analyse de la vulnérabilité](https://medium.com/numen-cyber-labs/analysis-and-summary-of-tcp-ip-protocol-remote-code-execution-vulnerability-cve-2022-34718-8fcc28538acf)
|