Injection IFEO.

Technique de persistance et d'élévation de privilèges qui abuse de la clé Image File Execution Options de Windows pour exécuter du code attaquant à chaque lancement d'un exécutable cible. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Technique de persistance et d'élévation de privilèges qui abuse de la clé Image File Execution Options de Windows pour exécuter du code attaquant à chaque lancement d'un exécutable cible.

L'injection IFEO (MITRE ATT&CK T1546.012) détourne HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Conçue à l'origine pour le débogage, cette clé permet d'attacher une valeur Debugger à un nom d'exécutable : quand Windows lance ce programme, il lance en réalité le débogueur avec le binaire d'origine en argument. Les attaquants enregistrent leur charge utile comme débogueur d'exécutables courants (sethc.exe, utilman.exe, taskmgr.exe) pour persister, ou utilisent la sous-clé GlobalFlag/SilentProcessExit pour exécuter du code à la fermeture d'un processus cible. La technique exige des droits admin mais reste très efficace et souvent ignorée. Défenses : surveiller les écritures IFEO avec Sysmon event 13, AppLocker, alertes sur Debugger pointant vers des binaires non signés.

Les défenses contre Injection IFEO combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Abus de Image File Execution Options, Hijacking de débogueur, Persistance SilentProcessExit.