Description
Le Device que vous avez retrouvé nous confirme que l’attaquant s’est injecté assez tôt dans la séquence de démarrage.
Le démarrage UEFIet le SecureBoot étaient pourtant bien activés sur le poste.
Pour s’en assurer, nous avons récupéré les métadonnées de la partition EFI du démarrage Windows (partition FAT32) grâce à l’outil DFIR-Orc.
Voir le fichier analyse-memoire-efi-fatinfo.csv.
Retrouvez la vulnérabilité qui a été exploitée par l’attaquant et le fichier contenant la charge malveillante initiale à l’attaque.
Le flag est au format FCSC{<CVE_number>:<file_name>} où :
<CVE_number>est l’identifiant de la CVE exploitée et<file_name>est le nom du fichier contenant la charge malveillante initiale.
Par exemple : FCSC{CVE-2022-4225:payload.bin}.
Cette épreuve fait partie d’une série à faire dans l’ordre :
Fichiers
-
analyse-memoire.tar.xz
1.05 GiB – 59dbdb3d2e0eb219afc63fa086069b0e21cad79060ca3752b75e910058fce206 -
analyse-memoire-efi-fatinfo.csv
72.43 KiB – 32f4198de8fba6eaad3e76350348797ff8a13add8ab9add2c04ee4d6babb449d
Auteur
Flag
Soumettez votre solution
Vous pouvez envoyer votre solution rédigée pour cette épreuve. La FAQ contient la marche à suivre.
Vous avez besoin d'être identifié(e) pour soumettre une solution.
Solutions
Il n'y a pas encore de solutions pour cette épreuve, mais vous pouvez soumettre la vôtre après avoir trouvé le flag.