S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Windows 7 : la liste blanche des exécutables que l'UAC évite

Toujours la balance délicate entre sécurité et facilité

Entre Vista et Windows 7, de nombreuses petites choses ont changé, et des plus importantes ont été ajoutées. Dans le cas de l’UAC (User Account Control), qui permet de valider les actions importantes de l’utilisateur, son comportement a été modifié pour qu’il n’intervienne que dans des cas réellement cruciaux. Seulement voilà, cette modification n’est pas sans conséquences néfastes possibles.

win7

Au centre du comportement de l’UAC dans Windows 7 se trouve une liste blanche, qui n’existait pas avant sous Vista. Cette liste contient des exécutables du système pour lesquels Windows 7 ne va demander aucune confirmation car ils sont considérés comme faisant parties justement des rouages internes. La liste blanche contenait au début plus d’une centaine d’exécutables, mais avec la version finale, on en compte précisément 62 :
  • \Windows\ehome\Mcx2Prov.exe
  • \Windows\System32\AdapterTroubleshooter.exe
  • \Windows\System32\appinfo.dll
  • \Windows\System32\BitLockerWizardElev.exe
  • \Windows\System32\bthudtask.exe
  • \Windows\System32\chkntfs.exe
  • \Windows\System32\cleanmgr.exe
  • \Windows\System32\cliconfg.exe
  • \Windows\System32\CompMgmtLauncher.exe
  • \Windows\System32\ComputerDefaults.exe
  • \Windows\System32\dccw.exe
  • \Windows\System32\dcomcnfg.exe
  • \Windows\System32\DeviceEject.exe
  • \Windows\System32\DeviceProperties.exe
  • \Windows\System32\dfrgui.exe
  • \Windows\System32\djoin.exe
  • \Windows\System32\eudcedit.exe
  • \Windows\System32\eventvwr.exe
  • \Windows\System32\fsquirt.exe
  • \Windows\System32\FXSUNATD.exe
  • \Windows\System32\hdwwiz.exe
  • \Windows\System32\ieUnatt.exe
  • \Windows\System32\iscsicli.exe
  • \Windows\System32\iscsicpl.exe
  • \Windows\System32\lpksetup.exe
  • \Windows\System32\MdSched.exe
  • \Windows\System32\msconfig.exe
  • \Windows\System32\msdt.exe
  • \Windows\System32\msra.exe
  • \Windows\System32\MultiDigiMon.exe
  • \Windows\System32\Netplwiz.exe
  • \Windows\System32\newdev.exe
  • \Windows\System32\ntprint.exe
  • \Windows\System32\ocsetup.exe
  • \Windows\System32\odbcad32.exe
  • \Windows\System32\OptionalFeatures.exe
  • \Windows\System32\perfmon.exe
  • \Windows\System32\printui.exe
  • \Windows\System32\rdpshell.exe
  • \Windows\System32\recdisc.exe
  • \Windows\System32\rrinstaller.exe
  • \Windows\System32\rstrui.exe
  • \Windows\System32\sdbinst.exe
  • \Windows\System32\sdclt.exe
  • \Windows\System32\shrpubw.exe
  • \Windows\System32\slui.exe
  • \Windows\System32\SndVol.exe
  • \Windows\System32\spinstall.exe
  • \Windows\System32\SystemPropertiesAdvanced.exe
  • \Windows\System32\SystemPropertiesComputerName.exe
  • \Windows\System32\SystemPropertiesDataExecutionPrevention.exe
  • \Windows\System32\SystemPropertiesHardware.exe
  • \Windows\System32\SystemPropertiesPerformance.exe
  • \Windows\System32\SystemPropertiesProtection.exe
  • \Windows\System32\SystemPropertiesRemote.exe
  • \Windows\System32\taskmgr.exe
  • \Windows\System32\tcmsetup.exe
  • \Windows\System32\TpmInit.exe
  • \Windows\System32\verifier.exe
  • \Windows\System32\wisptis.exe
  • \Windows\System32\wusa.exe
  • \Windows\System32\DriverStore\FileRepository\bth.inf_amd64_neutral_a1e8f56d586ec10b\fsquirt.exe
  • \Windows\System32\oobe\setupsqm.exe
  • \Windows\System32\sysprep\sysprep.exe
L'un des changements les plus importants, par rapport à la bêta, a été les retraits de RunDLL32.exe et MMC.exe. Si le deuxième permet d’afficher la console de gestion et ses modules, le premier est un processus responsable du chargement des DLL en mémoire, afin que d’autres applications puissent les utiliser.

Techniquement, un malware qui infecterait l’un de ces 62 exécutables pourrait alors voir ses droits augmenter sans aucune demande à l’utilisateur. Dans la pratique, c’est loin d’être aussi simple. Bien entendu, chacun de ces exécutables dispose d’une signature numérique. De plus, d’autres technologies comme l’ASLR entrent en ligne de compte. L’exploitation de cette « faiblesse » est donc possible en théorie, mais il sera intéressant de voir si un pirate y parvient.

Enfin, il est intéressant de noter que la question ne se pose que pour le premier compte créé à l'installation du système. Si l'on crée des comptes utilisateurs classiques, le niveau de l'UAC est par défaut réglé au maximum, et son fonctionnement est alors identique à celui de Vista.
Source : Within Windows
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 28/09/2009 à 16:12

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 108 commentaires

Avatar de sniperdc INpactien
sniperdc Le lundi 28 septembre 2009 à 16:17:29
Inscrit le vendredi 24 août 07 - 7318 commentaires
Tant qu'il y sont, il manque explorer.exe et surtout iexplorer.exe

La vie est bien plus simple en désactivant UAC
Avatar de fabiengb INpactien
fabiengb Le lundi 28 septembre 2009 à 16:18:47
Inscrit le mercredi 23 août 06 - 60 commentaires
le premier est un processus responsable du chargement des DLL en mémoire, afin que d’autres applications puissent les utiliser.


C'est faux, RunDll32 permet d'executer une fonction exportée par une DLL. Lorsque la fonction est executée, la DLL est déchargée. Aucun lien donc avec les autres processus.
Avatar de atomusk Modérateur
atomusk Le lundi 28 septembre 2009 à 16:20:35
Inscrit le mardi 20 juillet 04 - 21690 commentaires
Tant qu'il y sont, il manque explorer.exe et surtout iexplorer.exe

La vie est bien plus simple en désactivant UAC

Bienvenu au niveau de sécuritée de XP

Pourquoi pas conseiller à des linuiens de se logger en root pendant qu'on y est ...
Avatar de chikenkilr INpactien
chikenkilr Le lundi 28 septembre 2009 à 16:21:37
Inscrit le lundi 6 décembre 04 - 1902 commentaires
Tant qu'il y sont, il manque explorer.exe et surtout iexplorer.exe

La vie est bien plus simple en désactivant UAC


+1 ou alors faudrait une option pour pouvoir completer cette liste blanche (par exemple pour un executable, on dit a l'UAC de le laisser s'executer et de cocher une case "se souvenir du choix") afin de pas se faire a chaque fois emmerder.

Et si on veut etre secure, l'UAc se réactive sur l'executable en question si il detecte qu'il a changé depuis la dernière fois.
Avatar de Crysalide INpactien
Crysalide Le lundi 28 septembre 2009 à 16:27:09
Inscrit le mardi 24 mars 09 - 5368 commentaires
A quand utorrent.exe (ou un autre) dans la liste ?

Il y a 108 commentaires

;