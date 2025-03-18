Windows Defender Application Control (WDAC) est une solution de sécurité qui limite l’exécution à des logiciels de confiance. Dans la mesure où elle est classée comme limite de sécurité, Microsoft offre des paiements de bug bounty pour les contournements éligibles, ce qui en fait un domaine de recherche actif et concurrentiel.

Résultats typiques d’une soumission à un bug bounty pour contourner le WDAC :

Le contournement est corrigé ; une prime est peut-être attribuée

Le contournement n'est pas corrigé, mais « atténué » en étant ajouté à la liste de blocage recommandée du WDAC. Il est probable qu'aucune prime ne soit accordée, mais une mention honorable est généralement attribuée.

Le contournement n’est pas corrigé, aucune prime n’est décernée, aucune mention honorifique

En regardant la liste de blocage recommandée de Microsoft pour WDAC, on voit que des légendes comme Jimmy Bayne (@bohops) et Casey Smith (@subTee) ont découvert des contournements WDAC qui restent non corrigés mais ont reçu des mentions honorifiques. Au-delà de cette liste, le projet LOLBAS contient d'autres contournements non corrigés qui n'ont pas été reconnus dans la liste de blocage de Microsoft. Un exemple est l'application Microsoft Teams, qui reste un contournement viable de la WDAC bien qu'elle soit documentée dans LOLBAS.

Lorsque nous avons rencontré le WDAC pendant les opérations Red Team, nous l’avons contourné avec succès et avons exécuté notre charge utile de commandement et de contrôle (C2) de niveau 2 en utilisant les techniques suivantes :

1. Utilisez un LOLBIN connu tel que MSBuild.exe

Fonctionne si le client n’a pas mis en œuvre les règles de la liste de blocage recommandée.

De nombreuses solutions EDR avec « couverture MITRE à 100 % » détectent ces LOLBIN bien connus.

2. Effectuer un chargement latéral de DLL (side-load) sur une application de confiance avec une DLL non fiable

Efficace si WDAC est activé mais sans imposer la signature DLL.

3. Exploitez la règle d’exclusion personnalisée de la politique WDAC du client

CRTO2 par Daniel Duggan (@_RastaMouse) traite très bien de ce sujet.

Viable si l’opération débute par une compromission présumée (assumed breach) avec accès VDI/RDP

4. Trouver une nouvelle chaîne d’exécution dans une application de confiance qui permet le déploiement C2