Microsoft a créé Windows Management Instrumentation (WMI) pour gérer la manière dont les ordinateurs Windows allouent les ressources dans l'environnement d'exploitation. WMI fait également autre chose d'important : il facilite l'accès local et distant aux réseaux informatiques.
Malheureusement, les pirates informatiques peuvent détourner cette fonctionnalité à des fins malveillantes via une attaque persistante. Voici donc comment supprimer le malware WMI Persistence de Windows et assurer votre sécurité.
Qu’est-ce que la persistance WMI et pourquoi est-elle dangereuse ?
La persistance WMI fait référence à un attaquant installant un script, en particulier un gestionnaire d'événements, qui est toujours déclenché lorsqu'un événement WMI se produit. Par exemple, cela se produira lorsque le système démarre ou que l'administrateur système fait quelque chose sur le PC, comme ouvrir un dossier ou utiliser un programme.
Les attaques sont dangereuses car elles se déroulent furtivement. Comme expliqué sur Microsoft Scripting, un attaquant crée un abonnement permanent aux événements WMI pour exécuter une charge utile qui agit comme un processus système et nettoie son journal d'exécution. Avec ce vecteur d’attaque, un attaquant peut éviter d’être détecté grâce à une inspection en ligne de commande.
Comment empêcher et supprimer la persistance WMI
Les abonnements aux événements WMI sont intelligemment conçus pour éviter toute détection. La meilleure façon d'éviter ces attaques est de désactiver le service WMI. Cela n’affectera pas votre expérience utilisateur globale, sauf si vous êtes un utilisateur avancé.
La meilleure option suivante consiste à bloquer les ports du protocole WMI en configurant DCOM pour utiliser un seul port statique et bloquer ce port. Vous pouvez consulter le guide de Quantrimang.com sur la façon de fermer les ports vulnérables pour plus d'instructions sur la façon de procéder.
Cette mesure permet au service WMI de s'exécuter localement tout en bloquant l'accès à distance. C'est une bonne idée, d'autant plus que l'accès à un ordinateur à distance comporte ses propres risques.
Enfin, vous pouvez configurer WMI pour analyser et vous avertir des menaces, comme le démontre Chad Tilbury dans cette présentation :
Le pouvoir ne doit pas être entre de mauvaises mains
WMI est un gestionnaire système puissant et peut potentiellement devenir un outil dangereux entre de mauvaises mains. Pire encore, pour mener à bien cette attaque, peu de connaissances techniques avancées sont nécessaires. Les instructions sur la façon de créer et de lancer des attaques de persistance WMI sont disponibles gratuitement sur Internet.
Ainsi, n’importe quel méchant peut vous espionner à distance ou voler des données sans laisser de trace. Toutefois, la bonne nouvelle est qu’il n’existe pas d’absolu en matière de technologie et de cybersécurité. Il est toujours possible de prévenir et d’éliminer l’existence de WMI avant que l’attaquant ne cause des dégâts majeurs.
Voyez-vous une notification d’activation de Windows 10 dans le coin droit de l’écran ? Cet article vous expliquera comment supprimer l'avis de demande de droit d'auteur sous Windows 10.
Récemment, Microsoft a publié la dernière mise à jour cumulative pour les utilisateurs de PC Windows 10, appelée Build 14393.222. Cette mise à jour publiée pour Windows 10 corrige principalement des bugs basés sur les commentaires des utilisateurs et améliore l'expérience de performances du système d'exploitation.
Avez-vous des ordinateurs sur votre réseau local qui nécessitent un accès externe ? Utiliser un hôte bastion comme gardien de votre réseau peut être une bonne solution.
Si vous préférez utiliser un vieux clavier classique, comme l'IBM Model M, qui n'inclut pas de touche Windows physique, il existe une méthode simple pour en ajouter davantage, en empruntant une touche que vous n'utilisez pas souvent.
Parfois, vous devrez peut-être supprimer d’un seul coup les anciens journaux d’événements. Dans ce guide, Quantrimang.com vous montrera 3 façons de supprimer rapidement tous les journaux d'événements dans l'Observateur d'événements Windows 10.
Dans de nombreux articles précédents, nous avons mentionné qu’il est extrêmement important de rester anonyme en ligne. Des informations privées sont divulguées chaque année, ce qui rend la sécurité en ligne de plus en plus nécessaire. C'est aussi la raison pour laquelle nous devrions utiliser des adresses IP virtuelles. Ci-dessous, nous découvrirons les méthodes pour créer de fausses IP !
WindowTop est un outil qui a la capacité d'atténuer toutes les fenêtres d'application et tous les programmes exécutés sur les ordinateurs Windows 10. Vous pouvez également utiliser une interface à fond sombre sur Windows.
La barre de langue sous Windows 8 est une barre d'outils de langue miniature conçue pour s'afficher automatiquement sur l'écran du bureau. Cependant, de nombreuses personnes souhaitent masquer cette barre de langue dans la barre des tâches.
La connectivité sans fil est aujourd’hui une nécessité et pour cette raison, la sécurité sans fil est essentielle pour garantir la sécurité de votre réseau interne.
Maximiser la vitesse d’Internet est essentiel pour optimiser votre connexion réseau. Vous pouvez vivre une expérience de divertissement et de travail optimale en utilisant des ordinateurs, des téléviseurs connectés à Internet, des consoles de jeux, etc.
