Microsoft Attack Surface Analyzer

L’outil gratuit Attack Surface Analyzer de Microsoft vise à identifier les éventuelles failles de sécurité introduites par l’installation d’ une nouvelle application sur un PC Windows.

Il fonctionne en 3 temps.

Analyse avant installation

Une fois installée, Microsoft Attack Surface Analyzer vous demande de procéder à une première analyse de votre PC avant l’installation de la nouvelle application, afin de capturer votre configuration actuelle.

L’analyse est faite par défaut avec l’option Run new scan.

Elle permet de servir de base de référence pour la suite. Elle produit un fichier Baseline Cab qui contient des fichiers XML.

Ces fichiers XML énumèrent:

  • les assemblies du GAC,
  • les fichiers du PC,
  • les clefs de registre,
  • la configuration du parefeu Windows,
  • les partages réseaux,
  • les sessions d’ouverure,
  • les ports réseaux,
  • les canaux nommés (« named pipes »),
  • les tâches en auto-exécution (« autorun »),
  • les terminaisons RPC (« endpoints »),
  • les services,
  • les processus en cours d’exécution,
  • les threads,
  • les handles,
  • la configuration de IIS.

ils récupèrent aussi:

  • les SID des services,
  • les journaux d’événements de sécurité,
  • les pages mémoires exécutables,
  • le vidage du démarrage système.

Installation de la nouvelle application

Lorsque l’analyse initiale est terminée, vous installez votre nouvelle application. Si l’installation de la nouvelle application nécessite un redémarrage, vous devez redémarrer avant de lancer la nouvelle analyse.

Une fois la nouvelle application installée et, éventuellement le PC redémarré, une nouvelle analyse doit être lancée avec l’option Run new scan.

Elle produit un fichier Product Cab qui contient aussi les fichiers XML.

Génération du rapport

Lorsque les deux analyses précédentes sont terminées, le rapport doit être généré grâce à l’option Generate standard attack surface report.

Microsoft Attack Surface Analyzer compare la Baseline Cab avec le Product Cab et il génère un rapport sous forme d’un fichier au format HTML.

Ce rapport est en 3 parties:

  • Résumé du rapport,
  • Problèmes de sécurité,
  • Surface d’attaque.

Résumé du rapport

Le résumé du rapport présente le détail des fichiers manipulés, ainsi que des informations générales sur l’ordinateur analysé.

Problèmes de sécurité

Jusqu’à maintenant, j’ai rencontré essentiellement des problèmes de sécurité liés aux ACL, ou à la désactivation du paramétrage NX (lire aussi nx-support-requirement-guide-windows-8), mais il existe bien sûr d’autres cas liés à l’architecture: Services, COM, DCOM, etc.

Le bouton Explain renvoie vers l’aide qui est explicite.

Bien que ce produit s’adresse à des informaticiens, Microsoft a fait un excellent travail pédagogique en explicitant les notions rencontrées. Pour ceux qui en veulent « plus », l’aide contient de nombreux liens vers des ressources complémentaires.

Surface d’attaques

Cette partie est un peu plus « touchy ».

En situation réelle, elle nécessite un travail personnel d’investigation non négligeable car il faut vérifier des dizaines, voire des centaines de lignes.

Certaines vérifications sont rapides (paramétrage d’IE, par exemple), d’autres nécessitent des vérifications approfondies (Kernel, processes, ACL, etc.).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *