Des failles dans le système de contrôle des élévations de privilèges sous Windows Vista.

Par Rédaction, secuobs.com
Le 26/02/2007

---

Résumé : Le système UAC (User Account Control) de Windows Vista essuie nombre de critiques depuis sa sortie ; Joanna Rutkowska et Ollie Whitehouse nous font part de plusieurs failles qui ont été découvertes dans ce dispositif. - Lire l'article



La récente sortie de Microsoft Windows Vista affole le paysage de certains blogs dédiés à la sécurité informatique ; c'est principalement le système UAC (User Account Control - lien ) qui est visé en ce moment.

Pour rappel, le système UAC permet à un utilisateur restreint de choisir s'il veut procéder ou non à différentes élévations de privilèges en fonction des tâches à réaliser et cela via des actions sur des boîtes de dialogue. Sur le blog de Joanna Rutkowska, créatrice de la backdoor BluePill pour les virtualisations SVM/Pacifica d'AMD, on trouve un premier billet ( Running Vista Every Day! - lien ) à ce propos.

La chercheuse y explique, entre autres, qu'une faille de conception est présente dans ce système UAC ; lors de l'exécution de l'installateur d'une application, UAC n'offre qu'un choix restreint entre effectuer l'installation sous la "contrainte" d'une élévation de privilèges ou l'annulation pure et simple de celle-ci mais en aucun cas il n'est possible en l'état de l'exécuter avec les droits d'un utilisateur restreint à condition bien sur que le système UAC soit actif.

L'installateur de Tetris n'a pas forcément le besoin d'être apte à charger des modules du noyau d'où un sérieux problème de sécurité dû à un manque de logique dans la conception même de ce système qui se veut sécurisant ; surtout quand tout exécutable dont le nom comporte la chaîne de caractère « setup » sera considéré comme un installateur d'application par le système d'exploitation.

Par ailleurs, on y apprend qu'une autre faille est présente cette fois-ci dans l'implémentation d'UAC ; elle permet de réaliser des « Shatter Attacks » en envoyant un message « WM_KEYDOWN » depuis un processus de faible niveau d'intégrité vers une invite de commande shell (cmd) s'exécutant, elle, avec un haut niveau d'intégrité et cela afin d'exécuter des commandes arbitraires en tant qu'utilisateur privilégié.

Suite à ce billet, Mark Russinovitch, à l'origine de l'affaire du rootkit de Sony et ancien propriétaire de la firme Sysinternals rachetée par Microsoft, y va de sa déclaration ( lien ) indiquant que l'ensemble des erreurs d'implémentations dans le système UAC ne peuvent pas être considérées comme des vulnérabilités en tant que tel !

Réponse de Joanna avec son second billet « Vista Security Model – A Big Joke? » ( lien ) où elle s'indigne du manque de sérieux des équipes de Redmond au risque de rapprocher la sécurité de Vista de celle toute relative de son prédécesseur, Windows XP ; ce billet sera accompagné d'un rectificatif ( lien ).

Ollie Whitehouse y va, pour sa part, lui aussi de son billet UAC publié sur le blog de Symantec ( lien ) afin de démontrer pourquoi ce système ne peut pas en l'état être considéré comme de confiance pour les utilisateurs.

Le principe consiste ici à ce qu'un code malicieux écrase les fichiers de configuration de l'exécutable « RunLegayCPLElevated.exe » à l'aide d'un compte restreint dans le but de tromper la vigilance des utilisateurs de UAC par des boîtes de dialogues UAC tronquées.

Dans la foulée de la polémique concernant l'accès direct au noyau, hors API officielle de Microsoft, il y a fort à parier que la qualité des mesures de sécurité de Windows Vista continuera à être inspectée sous toutes les coutures par les spécialistes en la matière dans les prochains mois afin de faire pression pour que Microsoft libère l'accès au noyau pour les sociétés de sécurité, Symantec en tête.