I. Présentation
Vous n’utilisez pas l’Assistance Rapide de Windows ? Alors, vous devriez bloquer cette fonctionnalité native, car elle est exploitée par les cybercriminels. Comment s’y prendre pour bloquer l’Assistance Rapide (Quick Assist) sur Windows 11 ? C’est ce que nous allons voir dans ce tutoriel.
II. Assistance Rapide de Windows, c’est quoi ?
L’Assistance Rapide (ou Quick Assist) est une application intégrée à Windows qui permet à une personne de prendre à distance le contrôle d’un autre PC Windows, avec l’autorisation de l’utilisateur cible. Elle est susceptible d’être utilisée par le service helpdesk des entreprises pour apporter du support aux utilisateurs sans avoir à recourir à des alternatives comme AnyDesk, TeamViewer, etc. Elle est également utilisée par le support technique de Microsoft lorsque vous ouvrez un ticket et que l’opérateur a besoin de voir votre écran.
L’Assistance Rapide est facile à utiliser, avec une connexion simplifiée via un code d’assistance temporaire. Il est possible de partager uniquement l’écran ou d’aller plus loin en donnant le contrôle. Il y a également une intégration avec les services cloud Microsoft pour la connexion à l’application.
L’Assistance Rapide est téléchargeable via le Microsoft Store, ce qui peut poser un problème en cas de suppression suivie d’une réinstallation non autorisée…
III. L’Assistance Rapide, une fonctionnalité appréciée par les cybercriminels
Malheureusement, cette simplicité d’utilisation et la disponibilité par défaut sur Windows rend Quick Assist particulièrement dangereux. Plusieurs rapports font état de groupes de cybercriminels qui ont intégré cet outil dans leur mode opératoire, notamment pour l’accès initial au réseau d’une entreprise.
Ingénierie sociale : des attaquants appellent des victimes en se faisant passer pour des techniciens Microsoft ou le service support informatique.
Prise de contrôle à distance : grâce au code généré par Quick Assist, la victime autorise volontairement l’accès à sa machine.
Escroquerie ou compromission : les attaquants peuvent alors voler des données, installer des logiciels malveillants (exécution d’un script, par exemple), etc.
C’est pourquoi il est fortement recommandé de désactiver cette fonctionnalité dans les environnements professionnels, sauf si elle est utilisée par l’équipe IT. Sans ce besoin, il est préférable de s’en passer.
À titre d’informations, voici des exemples de campagnes malveillantes où Quick Assist a été utilisé :
Actuellement, il n’existe pas de paramètres de stratégie de groupe (GPO) prêt à l’emploi pour bloquer l’Assistance Rapide. C’est bien dommage. Des solutions existent malgré tout :
Configurer le pare-feu de votre réseau pour bloquer les flux vers les serveurs de Microsoft utilisés en tant que relais pour l’Assistance Rapide
L’Assistance Rapide communique avec l’adresse https://remoteassistance.support.services.microsoft.com pour fonctionner. Ainsi, vous pouvez bloquer les flux à destination de cette adresse pour bloquer l’Assistance Rapide. Ceci est aussi applicable en local sur les machines si votre pare-feu (intégré à votre solution de sécurité) peut bloquer les accès sur des URL. Nous pouvons aussi envisager un blocage de l’application en elle-même (via DPI).
Configurer le pare-feu de Windows Defender pour empêcher les accès réseau à l’application Assistance Rapide (en ciblant l’exécutable)
La version actuelle de Quick Assist est délivrée par l’intermédiaire du Microsoft Store. L’application s’installe donc dans le répertoire C:\Program Files\WindowsApps\ des machines Windows. L’exécutable QuickAssist.exe peut être bloqué de différentes façons, y compris dans une règle de pare-feu pour l’empêcher de communiquer avec l’extérieur.
Le chemin complet est :
C:\Program Files\WindowsApps\MicrosoftCorporationII.QuickAssist_2.0.36.0_x64__8wekyb3d8bbwe\Microsoft.RemoteAssistance.QuickAssist\QuickAssist.exe
Dans le pare-feu Windows Defender, vous pouvez créer une règle pour bloquer le trafic sortant associé à cet exécutable.
Exécuter un script PowerShell sur les machines pour désinstaller l’Assistance Rapide
Voici la commande que vous pouvez utiliser pour désinstaller l’Assistance Rapide :
Get-AppxPackage -Name MicrosoftCorporationII.QuickAssist | Remove-AppxPackage -AllUsers
Modifier le fichier hosts des machines Windows
Vous pouvez empêcher Quick Assist de contacter les serveurs de Microsoft en jouant sur la résolution du nom suivant : remoteassistance.support.services.microsoft.com. Pour cela, vous pouvez modifier le fichier hosts de votre machine Windows afin d’y ajouter la règle suivante :
0.0.0.0 remoteassistance.support.services.microsoft.com
Ce qui donne :
Pour vous aider à faire votre choix, voici un tableau avec les avantages et inconvénients de chaque méthode :
MéthodesAvantagesInconvénientsBloquer l’accès via le pare-feu périmétrique- Méthode centralisable via un pare-feu d’entreprise.
– Ne nécessite pas de modification locale sur chaque poste.- Contournable si l’utilisateur utilise un autre réseau (attention avec les postes nomades).
– Ne supprime pas l’application ni son lancement.Bloquer l’exécutable dans Windows Defender- Règle au niveau local (Windows), indépendante du réseau.
– Bloque toute tentative de connexion sortante de l’application.- Ne protège pas contre des mises à jour futures susceptibles de changer l’emplacement de l’exécutable.Désinstaller l’Assistance Rapide- Solution radicale : l’application est supprimée.
– Facile à intégrer dans un script de déploiement ou de durcissement.- L’utilisateur peut potentiellement réinstaller l’application via le Microsoft Store (sauf si vous avez verrouillé le Microsoft Store).
– Risque de réapparition lors de mises à jour.Bloquer l’Assistance Rapide avec le fichier hosts- Bloque l’utilisation de l’Assistance Rapide, peu importe le réseau.
– Facile à déployer à l’aide d’une stratégie de groupe.- Méthode peu habituelle.Bloquer avec AppLocker / Windows Defender Application Control- Intégration à la politique de gestion des applications de l’entreprise.- Plus complexe à mettre en œuvre, surtout si ces fonctionnalités ne sont pas déjà utilisées dans un cadre plus large.
En fonction de votre contexte et des outils dont vous disposez, vous pouvez choisir la méthode qui vous convient le mieux. Vous pouvez aussi cumuler plusieurs méthodes, sans chercher à tout appliquer… Vous pouvez tout à fait bloquer l’Assistance Rapide au niveau de votre réseau, tout en désinstallant l’application sur vos machines.
V. GPO : bloquer l’Assistance Rapide avec le fichier hosts
Vous devez commencer par créer un modèle de fichier hosts à déployer sur vos machines. Pour rappel, ce fichier est stocké à l’emplacement suivant sur l’ensemble des versions de Windows :
C:\Windows\System32\drivers\etc\hosts
Il vous suffit d’ajouter la ligne suivante à ce fichier. Ce sera suffisant pour empêcher votre machine de contacter les serveurs Quick Assist de Microsoft.
0.0.0.0 remoteassistance.support.services.microsoft.com
Ensuite, vous devez copier ce fichier hosts sur un partage pour qu’il soit ensuite copié sur vos machines. Nous pouvons utiliser le répertoire SYSVOL, ce dernier étant présent sur tous les environnements Active Directory.
Pour ma part, le chemin d’accès du fichier est le suivant (chemin réseau) :
\\it-connect.local\sysvol\it-connect.local\scripts\hosts-QuickAssist
Le fichier a été nommé hosts-QuickAssist pour être identifiable facilement.
Ensuite, il convient de créer une nouvelle stratégie de groupe pour pousser la modification sur les machines. Ici, nous allons créer un nouvel élément sous : Configuration ordinateur > Préférences > Paramètres Windows > Fichiers. Utilisez les propriétés suivantes :
Action : Remplacer
Fichier(s) source : \\it-connect.local\sysvol\it-connect.local\scripts\hosts-QuickAssist
Fichier de destination : C:\Windows\System32\drivers\etc\hosts
Ce qui donne :
Pensez à lier la GPO à une unité d’organisation. Puis, testez sur un ordinateur en actualisant les paramètres de GPO. Vous n’aurez pas besoin de redémarrer, la prise en charge est immédiate.
gpupdate /force
Ça mouline, ça mouline… Mais, ça ne se connectera pas ! La configuration fonctionne. Cette modification dans le fichier hosts est pérenne, car un utilisateur standard n’a pas les permissions pour modifier ce fichier.
VI. Conclusion
Je vous recommande vivement de bloquer l’Assistance Rapide sur les postes de travail de vos utilisateurs, sauf si vous en faites usage dans le contexte de votre service support informatique. Sinon, ce ne sera que bénéfique pour contrer les méthodes employées par certains pirates.
Si vous souhaitez partager un retour d’expérience sur le sujet, ou une autre méthode, n’hésitez pas à commenter cet article.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.