Deux chercheurs en sécurité, Matt Nelson et Matt Graeber, ont découvert une méthode unique et simple de contourner le système de sécurité de contrôle d’accès des utilisateurs de Windows 10. Elle permet l’exécution de fichiers malveillants sans que l’utilisateur ne soit averti de quoi que ce soit.
Leur méthode est assez unique et surtout n’exploite pas un mécanisme complexe. Elle profite d’une tache planifiée de Windows 10. Elle est mise en programmation avec les plus hauts privilèges disponibles.
Cette tâche planifiée est associée à l’utilitaire de nettoyage de disque, une application intégrée au système d’exploitation. Elle permet de supprimer les fichiers inutiles et encombrants afin de libérer de l’espace de stockage.
Les chercheurs soulignent que cette tâche d’entretien exécute « un nettoyage disque automatique lors d’un faible espace libre de stockage“. Ils ont découvert que l’OS pour exécuter cette tache copie un ensemble de fichiers dans un dossier nommé
C:Users<username>AppDataLocalTemp
La liste des fichiers copiés comprend un grand nombre de DLL et l’exécutable DismHost.exe. Ce dernier une fois exécuté « charge » les DLL les unes après les autres. C’est ici que le souci apparait car LogProvider.dll est changé en dernier, ce qui laisse le temps à une personne malhonnête de lancer une attaque.
Pour le vérifier Matt Nelson et Matt Graeber ont mis au point un petit script malveillant pour remplacer rapidement LogProvider.dll par leur propre version.
Cette technique d’attaque nommée « DLL hijacking » est une méthode connue et courante.
Elle fonctionne ici car la tâche planifiée est exécutée depuis un compte utilisateur avec le paramètre « Exécuter avec les autorisations maximales » activé. Une attaque aurait eu un moyen d’infecter un compte utilisateur pour exécuter du code avec des privilèges d’administrateur.
Microsoft a été informé du souci mais il n’y a pas de correctif pour le moment. Matt Nelson explique
“Comme prévu, ils ont répondu […] mais ceci n’est pas classé comme une faille de sécurité.”
En attendant, tous les utilisateurs de Windows 10 sont invités soit à désactiver cette tache planifiée ou à décocher l’option « Exécuter avec les autorisations maximales »
Pour ce faire :
Dans le champ Rechercher de la barre des tâches, taper “Planificateur” pour lancer le Planificateur de taches de Windows 10.
Dans la liste sur la gauche, il faut se rendre dans Microsoft -> Windows -> DiskCleanup. Au centre, sélectionner SilentCleanup pour désactiver cette tache ou décocher l’option « Exécuter avec les autorisations maximales ».
L’utilitaire GPU-Z évolue en version 2.61. Le focus concerne la prise en charge de nouveaux… Lire d'avantage
Les premières informations sur la GeForce RTX 5070 Ti, prévue pour début 2025, indiquent des… Lire d'avantage
Annoncé en mars dernier, le SK hynix Platinum P51 PCIe 5.0 est enfin lancé en… Lire d'avantage
Acer lève le voile sur sa gamme de SSD FA200 PCIe 4.0. Visant le milieu… Lire d'avantage
Kioxia a dévoilé l'Exceria Plus G4, un SSD M.2 NVMe qui promet des débits musclés… Lire d'avantage
Le mastic thermique de Thermal Grizzly se positionne comme une solution haut de gamme pour… Lire d'avantage
Voir commentaires
Merci pour l'info :)
Bonjour,
Est-ce que ce problème de sécurité a été corrigé avec les derniers "Bug Tuesday" de µsoft ?