Pierre-Olivier Mercier
778e9b79ec
All checks were successful
continuous-integration/drone/push Build is passing
60 lines
1.9 KiB
Markdown
60 lines
1.9 KiB
Markdown
---
|
||
date: 2023-03-24T13:34:21+01:00
|
||
title: Protocoles
|
||
---
|
||
|
||
{{% tag %}}Attaque protocolaire{{% /tag %}}
|
||
{{% tag %}}Protocole{{% /tag %}}
|
||
|
||
Contexte du défi
|
||
----------------
|
||
|
||
Vos machines en production ne fonctionnent plus, elles n’arrêtent pas de crash. Vous investiguez.
|
||
|
||
Infrastructure à mettre en place
|
||
--------------------------------
|
||
|
||
Minimum 2 Windows Serveur ou Client dans la version permettant la CVE de fonctionner.
|
||
1 machine dans le réseau infecté (pour une raison quelconque) par le binaire malveillant, origine de l’attaque.
|
||
|
||
Pas-à-pas
|
||
---------
|
||
|
||
Vous mettez en place un programme permettant de prendre le contrôle ou faire tomber une machine sous Windows, en utilisant la vulnérabilité CVE-2022-34718.
|
||
|
||
Choisir une des machines, c’est la machine infectée. Il n’est pas obligé de justifier pourquoi ni par quoi cette machine a été infecté.
|
||
|
||
La machine infectée sert de base pour l’attaquant.
|
||
|
||
L’attaquant utilise la CVE-2022-34718 pour empêcher le fonctionnement des autres machines du réseau.
|
||
|
||
|
||
Risques
|
||
-------
|
||
|
||
Comprendre un minimum IPv6.
|
||
Implémenter une vulnérabilité en vrai.
|
||
Trouver la bonne version de Windows.
|
||
|
||
Traces à enregistrer
|
||
--------------------
|
||
|
||
Fichiers à fournir :
|
||
- Logs windows (tout type)
|
||
- PCAP ou logs réseaux
|
||
- Dump de RAM des machines, l’un d’entre eux doit contenir le binaire malveillant
|
||
|
||
Questions à poser :
|
||
- Que fait le binaire malveillant en détail
|
||
- Questions sur les impacts réseaux (PCAP)
|
||
- Questions sur les impacts logs systèmes
|
||
|
||
Liens
|
||
-----
|
||
|
||
[Article Forbes](https://www.forbes.com/sites/daveywinder/2022/09/14/new-microsoft-windows-zero-day-attack-confirmed-update-now/?sh=120cee4b7ba3)
|
||
|
||
[PoC CVE-2022-34718 (windows IPv6)](https://github.com/SecLabResearchBV/CVE-2022-34718-PoC)
|
||
|
||
[Analyse de la vulnérabilité](https://medium.com/numen-cyber-labs/analysis-and-summary-of-tcp-ip-protocol-remote-code-execution-vulnerability-cve-2022-34718-8fcc28538acf)
|