Microsoft offre nativement tout un tas de technologies autour de la protection du kernel car c’est par lui que passe nécessairement bon nombre d’attaques de type ransomware.
En effet afin de briser les défenses les attaquants ont besoin de désactiver (ou de rendre aveugle) les solutions de sécurité de type antivirus et EDR, et l’unique moyen d’y arriver est de se placer à un niveau d’exécution plus élevé, dans l’espace kernel.
Ci-joint un petit support de présentation que j’ai compilé (en anglais), il recense des technologies internes à Windows pour lutter contre ces attaques kernel de type BYOVD (Bring Your Own Vunerable Driver), on y retrouve bon nombre d’acronymes comme SMEP, HVCI, KASRL, KCFG, KCET, etc
A noter que certaines de ces fonctionnalités de protection kernel ne sont pas activées par défaut…
J’essaierai d’accompagner ces slides d’une vidéo commentée (voir de labs) car ce sujet est complexe et quasi inabordable pour ceux n’ayant jamais touché aux Windows Internals, aux drivers, à l’assembleur et aux techniques de bypass comme les ROP.