Deux chercheurs en sécurité, Matt Nelson et Matt Graeber, ont découvert une méthode unique et simple de contourner le système de sécurité de contrôle d’accès des utilisateurs de Windows 10. Elle permet l’exécution de fichiers malveillants sans que l’utilisateur ne soit averti de quoi que ce soit.
Leur méthode est assez unique et surtout n’exploite pas un mécanisme complexe. Elle profite d’une tache planifiée de Windows 10. Elle est mise en programmation avec les plus hauts privilèges disponibles.
Cette tâche planifiée est associée à l’utilitaire de nettoyage de disque, une application intégrée au système d’exploitation. Elle permet de supprimer les fichiers inutiles et encombrants afin de libérer de l’espace de stockage.
Les chercheurs soulignent que cette tâche d’entretien exécute « un nettoyage disque automatique lors d’un faible espace libre de stockage“. Ils ont découvert que l’OS pour exécuter cette tache copie un ensemble de fichiers dans un dossier nommé
C:Users<username>AppDataLocalTemp
La liste des fichiers copiés comprend un grand nombre de DLL et l’exécutable DismHost.exe. Ce dernier une fois exécuté « charge » les DLL les unes après les autres. C’est ici que le souci apparait car LogProvider.dll est changé en dernier, ce qui laisse le temps à une personne malhonnête de lancer une attaque.
Pour le vérifier Matt Nelson et Matt Graeber ont mis au point un petit script malveillant pour remplacer rapidement LogProvider.dll par leur propre version.
Cette technique d’attaque nommée « DLL hijacking » est une méthode connue et courante.
Elle fonctionne ici car la tâche planifiée est exécutée depuis un compte utilisateur avec le paramètre « Exécuter avec les autorisations maximales » activé. Une attaque aurait eu un moyen d’infecter un compte utilisateur pour exécuter du code avec des privilèges d’administrateur.
Microsoft a été informé du souci mais il n’y a pas de correctif pour le moment. Matt Nelson explique
“Comme prévu, ils ont répondu […] mais ceci n’est pas classé comme une faille de sécurité.”
En attendant, tous les utilisateurs de Windows 10 sont invités soit à désactiver cette tache planifiée ou à décocher l’option « Exécuter avec les autorisations maximales »
Pour ce faire :
Dans le champ Rechercher de la barre des tâches, taper “Planificateur” pour lancer le Planificateur de taches de Windows 10.
Dans la liste sur la gauche, il faut se rendre dans Microsoft -> Windows -> DiskCleanup. Au centre, sélectionner SilentCleanup pour désactiver cette tache ou décocher l’option « Exécuter avec les autorisations maximales ».
Nvidia introduit la notion de PCs IA Premium face à l’arrivée sur le marché des… Lire d'avantage
Corsair est à l’origine de nouveaux ventilateurs, les iCUE Link RX Series. Nous retrouvons des… Lire d'avantage
Test de l’iCUE LINK RX140 RGB 140mm PWM Starter Kit de Corsair, un duo de… Lire d'avantage
La vulnérabilité Zenbleed (CVE-2023-20593) a été classée par AMD comme une menace de niveau moyen.… Lire d'avantage
Asus continue de trouver de l’inspiration autour des GPU AMD RX 7900 series avec l’annonce… Lire d'avantage
Windows 11, Microsoft réactive l'option de restauration des fenêtres des dossiers ouvertes de l’Explorateur de… Lire d'avantage
Voir commentaires
Merci pour l'info :)
Bonjour,
Est-ce que ce problème de sécurité a été corrigé avec les derniers "Bug Tuesday" de µsoft ?