Deux chercheurs en sécurité, Matt Nelson et Matt Graeber, ont découvert une méthode unique et simple de contourner le système de sécurité de contrôle d’accès des utilisateurs de Windows 10. Elle permet l’exécution de fichiers malveillants sans que l’utilisateur ne soit averti de quoi que ce soit.
Leur méthode est assez unique et surtout n’exploite pas un mécanisme complexe. Elle profite d’une tache planifiée de Windows 10. Elle est mise en programmation avec les plus hauts privilèges disponibles.
Windows 10, la tâche planifiée SilentCleaner pose souci
Cette tâche planifiée est associée à l’utilitaire de nettoyage de disque, une application intégrée au système d’exploitation. Elle permet de supprimer les fichiers inutiles et encombrants afin de libérer de l’espace de stockage.
Les chercheurs soulignent que cette tâche d’entretien exécute « un nettoyage disque automatique lors d’un faible espace libre de stockage“. Ils ont découvert que l’OS pour exécuter cette tache copie un ensemble de fichiers dans un dossier nommé
C:Users<username>AppDataLocalTemp
La liste des fichiers copiés comprend un grand nombre de DLL et l’exécutable DismHost.exe. Ce dernier une fois exécuté « charge » les DLL les unes après les autres. C’est ici que le souci apparait car LogProvider.dll est changé en dernier, ce qui laisse le temps à une personne malhonnête de lancer une attaque.
Pour le vérifier Matt Nelson et Matt Graeber ont mis au point un petit script malveillant pour remplacer rapidement LogProvider.dll par leur propre version.
Cette technique d’attaque nommée « DLL hijacking » est une méthode connue et courante.
Elle fonctionne ici car la tâche planifiée est exécutée depuis un compte utilisateur avec le paramètre « Exécuter avec les autorisations maximales » activé. Une attaque aurait eu un moyen d’infecter un compte utilisateur pour exécuter du code avec des privilèges d’administrateur.
Pas de solution officielle pour le moment
Microsoft a été informé du souci mais il n’y a pas de correctif pour le moment. Matt Nelson explique
“Comme prévu, ils ont répondu […] mais ceci n’est pas classé comme une faille de sécurité.”
En attendant, tous les utilisateurs de Windows 10 sont invités soit à désactiver cette tache planifiée ou à décocher l’option « Exécuter avec les autorisations maximales »
Pour ce faire :
Dans le champ Rechercher de la barre des tâches, taper “Planificateur” pour lancer le Planificateur de taches de Windows 10.
Dans la liste sur la gauche, il faut se rendre dans Microsoft -> Windows -> DiskCleanup. Au centre, sélectionner SilentCleanup pour désactiver cette tache ou décocher l’option « Exécuter avec les autorisations maximales ».
Merci pour l’info 🙂
Bonjour,
Est-ce que ce problème de sécurité a été corrigé avec les derniers “Bug Tuesday” de µsoft ?