Détournement COM.

Technique de persistance qui redirige la résolution d'un CLSID Windows Component Object Model vers du code attaquant, exécuté à chaque instanciation de l'objet. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Technique de persistance qui redirige la résolution d'un CLSID Windows Component Object Model vers du code attaquant, exécuté à chaque instanciation de l'objet.

Le COM hijacking (MITRE ATT&CK T1546.015) détourne le système d'enregistrement Component Object Model de Windows. Chaque objet COM est identifié par un CLSID sous HKLM ou HKCU ; la ruche utilisateur HKCU\Software\Classes\CLSID est interrogée avant HKLM, si bien qu'un utilisateur standard peut enregistrer un InProcServer32 malveillant pour un CLSID fréquemment utilisé et faire charger sa DLL ou son scriptlet par Explorer, Office ou des tâches planifiées. Le déclencheur étant un appel API légitime (CoCreateInstance), la technique est discrète et survit aux redémarrages. La détection cible les nouvelles entrées CLSID dans HKCU, les DLL non signées dans des chemins utilisateur et les processus enfants anormaux d'explorer.exe ; les défenses incluent AppLocker/WDAC, la surveillance du registre par Sysmon et la restriction des permissions d'écriture sur les clés sensibles.

Les défenses contre Détournement COM combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Hijacking Component Object Model, Hijacking de CLSID.