---
date: 2023-03-24T13:34:21+01:00
title: Protocoles
---

{{% tag %}}Attaque protocolaire{{% /tag %}}
{{% tag %}}Protocole{{% /tag %}}

Contexte du défi
----------------

Vos machines en production ne fonctionnent plus, elles n’arrêtent pas de crash. Vous investiguez.

Infrastructure à mettre en place
--------------------------------

Minimum 2 Windows Serveur ou Client dans la version permettant la CVE de fonctionner.
1 machine dans le réseau infecté (pour une raison quelconque) par le binaire malveillant, origine de l’attaque.

Pas-à-pas
---------

Vous mettez en place un programme permettant de prendre le contrôle ou faire tomber une machine sous Windows, en utilisant la vulnérabilité CVE-2022-34718.

Choisir une des machines, c’est la machine infectée. Il n’est pas obligé de justifier pourquoi ni par quoi cette machine a été infecté.

La machine infectée sert de base pour l’attaquant.

L’attaquant utilise la CVE-2022-34718 pour empêcher le fonctionnement des autres machines du réseau. 


Risques
-------

Comprendre un minimum IPv6.  
Implémenter une vulnérabilité en vrai.  
Trouver la bonne version de Windows.

Traces à enregistrer
--------------------

Fichiers à fournir :
- Logs windows (tout type)
- PCAP ou logs réseaux
- Dump de RAM des machines, l’un d’entre eux doit contenir le binaire malveillant

Questions à poser :
- Que fait le binaire malveillant en détail 
- Questions sur les impacts réseaux (PCAP)
- Questions sur les impacts logs systèmes

Liens
-----

[Article Forbes](https://www.forbes.com/sites/daveywinder/2022/09/14/new-microsoft-windows-zero-day-attack-confirmed-update-now/?sh=120cee4b7ba3)

[PoC CVE-2022-34718 (windows IPv6)](https://github.com/SecLabResearchBV/CVE-2022-34718-PoC)

[Analyse de la vulnérabilité](https://medium.com/numen-cyber-labs/analysis-and-summary-of-tcp-ip-protocol-remote-code-execution-vulnerability-cve-2022-34718-8fcc28538acf)