Microsoft a créé Windows Management Instrumentation (WMI) pour gérer la manière dont les ordinateurs Windows allouent les ressources dans l'environnement d'exploitation. WMI fait également autre chose d'important : il facilite l'accès local et distant aux réseaux informatiques.
Malheureusement, les pirates informatiques peuvent détourner cette fonctionnalité à des fins malveillantes via une attaque persistante. Voici donc comment supprimer le malware WMI Persistence de Windows et assurer votre sécurité.
Qu’est-ce que la persistance WMI et pourquoi est-elle dangereuse ?
La persistance WMI fait référence à un attaquant installant un script, en particulier un gestionnaire d'événements, qui est toujours déclenché lorsqu'un événement WMI se produit. Par exemple, cela se produira lorsque le système démarre ou que l'administrateur système fait quelque chose sur le PC, comme ouvrir un dossier ou utiliser un programme.
Les attaques sont dangereuses car elles se déroulent furtivement. Comme expliqué sur Microsoft Scripting, un attaquant crée un abonnement permanent aux événements WMI pour exécuter une charge utile qui agit comme un processus système et nettoie son journal d'exécution. Avec ce vecteur d’attaque, un attaquant peut éviter d’être détecté grâce à une inspection en ligne de commande.
Comment empêcher et supprimer la persistance WMI
Les abonnements aux événements WMI sont intelligemment conçus pour éviter toute détection. La meilleure façon d'éviter ces attaques est de désactiver le service WMI. Cela n’affectera pas votre expérience utilisateur globale, sauf si vous êtes un utilisateur avancé.
La meilleure option suivante consiste à bloquer les ports du protocole WMI en configurant DCOM pour utiliser un seul port statique et bloquer ce port. Vous pouvez consulter le guide de Quantrimang.com sur la façon de fermer les ports vulnérables pour plus d'instructions sur la façon de procéder.
Cette mesure permet au service WMI de s'exécuter localement tout en bloquant l'accès à distance. C'est une bonne idée, d'autant plus que l'accès à un ordinateur à distance comporte ses propres risques.
Enfin, vous pouvez configurer WMI pour analyser et vous avertir des menaces, comme le démontre Chad Tilbury dans cette présentation :
Le pouvoir ne doit pas être entre de mauvaises mains
WMI est un gestionnaire système puissant et peut potentiellement devenir un outil dangereux entre de mauvaises mains. Pire encore, pour mener à bien cette attaque, peu de connaissances techniques avancées sont nécessaires. Les instructions sur la façon de créer et de lancer des attaques de persistance WMI sont disponibles gratuitement sur Internet.
Ainsi, n’importe quel méchant peut vous espionner à distance ou voler des données sans laisser de trace. Toutefois, la bonne nouvelle est qu’il n’existe pas d’absolu en matière de technologie et de cybersécurité. Il est toujours possible de prévenir et d’éliminer l’existence de WMI avant que l’attaquant ne cause des dégâts majeurs.
