Microsoft Attack Surface Analyzer

L’outil gratuit Attack Surface Analyzer de Microsoft vise à identifier les éventuelles failles de sécurité introduites par l’installation d’une nouvelle application sur un ordinateur Windows.

Les équipes internes de Microsoft utilisent Attack Surface Analyzer pour identifier les modifications faites à Windows lors de l’installation de nouveaux logiciels.

Il prend cliché de l’état du système Windows avant et après l’installation des produits. Ensuite, il affiche les modifications qui ont été faites sur Windows.

Vous pouvez le télécharger.

Attack Surface Analyzer
Attack Surface Analyzer

Attack Surface Analyzer procède à une analyse avant installation

Une fois installée, Microsoft Attack Surface Analyzer vous demande de procéder à une première analyse de votre PC avant l’installation de la nouvelle application, afin de capturer votre configuration actuelle.

L’analyse est faite par défaut avec l’option Run new scan.

Elle permet notamment de servir de base de référence pour la suite. Elle produit un fichier Baseline Cab qui contient des fichiers XML.

Ces fichiers XML énumèrent:

    • les assemblies du GAC,
    • les fichiers du PC,
    • les clefs de registre,
    • la configuration du parefeu Windows,
    • les partages réseaux,
    • les sessions d’ouverture,
    • les ports réseaux,
    • les canaux nommés (« named pipes »),
    • les tâches en auto-exécution (« autorun »),
    • les terminaisons RPC (« endpoints »),
    • les services,
    • les processus en cours d’exécution,
    • les threads,
    • les handles,
    • la configuration de IIS.

Les fichiers XML récupèrent aussi:

    • les SID des services,
    • les journaux d’événements de sécurité,
    • les pages mémoires exécutables,
    • le vidage du démarrage système.

Installation de la nouvelle application

Lorsque l’analyse initiale est terminée, vous installez votre nouvelle application. Par ailleurs, si l’installation de la nouvelle application nécessite un redémarrage, vous devrez redémarrer avant de lancer la nouvelle analyse.

Aussi, une fois la nouvelle application installée et, éventuellement le PC redémarré, une nouvelle analyse doit être lancée avec l’option Run new scan.

Elle produit un fichier Product Cab qui contient aussi les fichiers XML.

Génération du rapport de Attack Surface Analyzer

Lorsque les deux analyses précédentes sont terminées, le rapport doit être généré grâce à l’option Generate standard attack surface report.

Enfin, Microsoft Attack Surface Analyzer compare la Baseline Cab avec le Product Cab et il génère un rapport sous forme d’un fichier au format HTML.

Ce rapport est en 3 parties:

    • Résumé du rapport,
    • Problèmes de sécurité,
    • Surface d’attaque.

Résumé du rapport

Le résumé du rapport présente le détail des fichiers manipulés, ainsi que des informations générales sur l’ordinateur analysé.

Problèmes de sécurité

Jusqu’à maintenant, j’ai rencontré essentiellement des problèmes de sécurité liés aux ACL, ou à la désactivation du paramétrage NX (lire aussi nx-support-requirement-guide-windows-8), mais il existe bien sûr d’autres cas liés à l’architecture: Services, COM, DCOM, etc.

Par ailleurs, le bouton Explain renvoie vers l’aide qui est explicite.

Bien que ce produit s’adresse à des informaticiens, Microsoft a fait un excellent travail pédagogique en explicitant les notions rencontrées.

Notamment, pour ceux qui en veulent « plus », l’aide contient de nombreux liens vers des ressources complémentaires.

Surface d’attaques

Dans la pratique, cette partie est un peu plus « touchy ».

En situation réelle, elle nécessite un travail personnel d’investigation non négligeable car il faut vérifier des dizaines, voire des centaines de lignes.

Certaines vérifications sont rapides (paramètres Internet Explorer, par exemple), d’autres nécessitent des vérifications approfondies (Kernel, processes, ACL, etc.).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *