Sécurité Windows 10 : Virtualisation Basée sur la Sécurité (VBS)

Article étudiant du mastère – La Virtualisation Basée sur la Sécurité contre les élévations de privilèges : un atout pour la Blue Team ?

Le renforcement de la sécurité de chaque poste de travail est essentiel. Souvent, une élévation de privilèges se produit en exploitant les traces laissées sur un poste client, telles que les empreintes NTLM et les tickets Kerberos. Malheureusement, de nombreux antivirus se révèlent inefficaces aujourd’hui, à l’exception de quelques-uns qui utilisent une approche comportementale. De nombreuses entreprises n’ont pas les ressources nécessaires pour mettre en place une sécurité robuste. Heureusement, Microsoft a introduit il y a quelques années la Virtualisation Basée sur la Sécurité (VBS), qui change la donne pour les défenseurs.

En activant des fonctionnalités comme Secure Boot, Device Guard et Credential Guard sur un poste Windows 10 Entreprise, la surface d’attaque est considérablement réduite, et ce pour le simple coût d’une licence Microsoft. Le fonctionnement de Device Guard est particulièrement intéressant : il transforme notre machine en hyperviseur et crée une seconde machine virtuelle (Virtual Secure Mode) qui isole le Local Security Authority (LSA). Ainsi, même si un attaquant parvient à obtenir des privilèges NT Authority System, il ne pourra pas accéder aux informations sensibles stockées dans le LSASS (hash NTLM, tickets Kerberos, etc.).

Trois fonctionnalités clés contribuent à cette sécurité :

Secure Boot vérifie l’intégrité et l’authenticité des composants logiciels avant leur exécution.
Device Guard empêche l’exécution de code malveillant en ne permettant l’exécution que de code validé.
Credential Guard isole et protège les informations d’identification sensibles, réduisant ainsi l’impact d’attaques comme “Pass the Hash”.

Ces fonctionnalités sont différentes mais complémentaires, offrant une protection variée contre divers types de menaces. Elles s’appuient sur le Virtual Secure Mode (VSM), un environnement virtualisé qui isole les processus critiques pour la sécurité. En somme, la VBS est un ensemble de technologies qui améliorent considérablement la sécurité du système en utilisant la virtualisation matérielle et logicielle.

Le VSM fonctionne en transformant la machine physique en un hyperviseur qui héberge deux machines virtuelles (VM) distinctes et isolées. Cette isolation est facilitée par la technique du Second Level Address Translation (SLAT), qui repose sur le support matériel de la virtualisation. Le VSM comprend donc deux VM :

La VM utilisateur, qui contient le système d’exploitation et toutes les données et fonctionnalités de l’utilisateur.
La VM sécurisée, qui comprend :
- Le Isolated User Mode (IUM), un environnement d’exécution de processus isolé.
- Le Secure Kernel Mode (SKM), un micro-noyau léger qui intègre l’IUM.

Les processus qui s’exécutent dans l’IUM, appelés “Trustlets”, sont uniquement édités par Microsoft et font partie intégrante de l’OS. Ils sont protégés par une signature numérique, utilisant des certificats comme l’Extended Key Usage (EKU).

VBS vs MITRE ATT&CK

En examinant le framework MITRE ATT&CK, on constate que de nombreuses attaques deviennent difficiles, voire impossibles, lorsque la VBS est activée. Device Guard peut être contraignant pour un utilisateur mais est particulièrement utile pour les contrôleurs de domaine (DC). Credential Guard, quant à lui, est très utile pour les postes de travail, offrant une protection efficace du Local Security Authority (LSA) tout en étant transparent pour l’utilisateur.

Conclusion

En résumé, la Virtualisation Basée sur la Sécurité (VBS) est un ensemble de technologies de Microsoft qui renforce considérablement la sécurité du système. Les deux piliers de la VBS sont Device Guard et Credential Guard, qui, combinés aux autres mécanismes de sécurité de Windows 10, offrent une protection robuste contre les menaces et les attaques d’élévation de privilèges.

Bibliographie

Microsoft. (2021). Virtualization-based security (VBS)
Microsoft. (2021). Device Guard
Microsoft. (2021). Secure Boot
MITRE. (2021). MITRE ATT&CK®: An Adversary Behavior Model for the Enterprise
Mimikatz. (2021). Mimikatz: A little tool to play with Windows security

Étiqueté blog

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Article étudiant du mastère – La Virtualisation Basée sur la Sécurité contre les élévations de privilèges : un atout pour la Blue Team ?

VBS vs MITRE ATT&CK

Conclusion

Bibliographie

Suivez-nous

Newsletter

Contact

Chartes

Informations légales

Contenu du site

Hébergement

Politique de protection des données

Mesures de confidentialité et de sécurité

Destinataires des données

Partage des réseaux sociaux auprès desquels vous avez un compte

Nous contacter

Qui est responsable du traitement des données personnelles ?