Symantec a détecté une faille dans la protection des comptes utilisateur de Vista

Cloud

Selon l’éditeur, les attaques par escalade de privilèges ne sont qu’une
question de temps.

En proposant une forme de rétrocompatibilité sur son prochain système d’exploitation Windows Vista, Microsoft ouvre les portes aux pirates. C’est ce que révèle une étude menée par l’éditeur de solutions de sécurité, Symantec, consacrée au modèle de protection des comptes utilisateurs dans les logiciels.

Dans un livre blanc, Matthew Conover, chargé de recherche en sécurité chez Symantec, dit « s’attendre à ce que plusieurs [?] vulnérabilités de type escalade de privilèges soient détectées. Les développeurs de Windows Vista ont dû choisir le meilleur moyen possible d’améliorer le modèle de sécurité global tout en assurant une rétrocompatibilité optimale. Bien que la plupart des décisions prises semble tout à fait raisonnable, deux d’entre elles risquent de provoquer l’apparition de failles d’implémentation difficiles à résoudre. »

Le prochain système d’exploitation obéit au principe du moindre privilège (LUA, Least-privileged User Account) selon lequel les utilisateurs doivent obtenir un accès uniquement pour les éléments dont ils ont besoin pour exécuter leurs tâches. Cela signifie qu’un accès à des fonctions supplémentaires ne fera qu’augmenter le risque d’exploits. Les agents malveillants utilisent un moyen similaire pour contourner le nouveau modèle de sécurité, en obtenant de nouveaux privilèges. Ce principe est connu sous le nom d’escalade des privilèges.

Par exemple, les pirates qui s’attaquent au navigateur Internet Explorer bénéficient de droits d’accès limités. Même s’ils parviennent à installer un spyware, leur agent malveillant sera incapable d’accéder aux éléments du système tels que les ressources de registre ou de réseau. Cela permet de neutraliser efficacement les menaces des agents malveillants.

Dans son livre blanc, Matthew Conover décrit pourtant différents moyens d’autoriser des applications à obtenir des privilèges supplémentaires dans les versions antérieures de Windows Vista Bêta. Ces vulnérabilités de sécurité ont bien été corrigées, mais selon lui, les chercheurs tout comme les auteurs d’agents malveillants ont toutes les chances de découvrir de nouvelles failles de sécurité.

Il met également en garde contre des bugs de sécurité potentiels qui pourraient affecter un élément clé pour la sécurité de Vista qui permet de demander à l’utilisateur son autorisation si une application exige des privilèges supplémentaires. En cas de faille, les pirates pourront facilement contourner l’ensemble des fonctions de sécurité du système d’exploitation.
« Ce sera un véritable jeu d’enfant pour les pirates de trouver une fonction vulnérable« , conclut-il.

Le principe du moindre privilège de Windows Vista impose à l’utilisateur un compte avec des droits limités.
Chaque système Windows Vista possède au moins un compte administrateur protégé. Tous les processus lancés par cet administrateur s’exécutent avec un minimum de privilèges. L’utilisateur reçoit une invite dès qu’une application nécessite des droits supplémentaires.

Le logiciel offre également un accès administrateur non-limité ainsi que des comptes utilisateur standard. Les versions précédentes de Windows proposaient quant à elles des comptes administrateur et utilisateur standard, mais les utilisateurs étaient contraints d’exécuter le mode administrateur pour pouvoir accéder à des fonctions standard, comme modifier l’horloge système par exemple.

Dans son étude, Symantec estime que la plupart des utilisateurs de Windows Vista utiliseront un compte administrateur pour la simple raison qu’il est plus facile à configurer qu’un compte standard.

Le système d’exploitation introduit également un processus baptisé « contrôle d’intégrité obligatoire », qui classe l’intégrité des processus et les empêche d’interagir avec un autre processus présentant un classement d’intégrité supérieur. Un processus faiblement classé, tel que Internet Explorer par exemple, ne peut ni accéder à la mémoire du système ni modifier les clés de registre. De la même manière, un processus faiblement classé ne peut pas communiquer avec un processus de classement supérieur. Les agents malveillants utilisaient auparavant cette méthode pour exécuter du code arbitraire.

Le livre blanc de Symantec est disponible au format PDF sur le site Web de Symantec.

Traduction d’un de Vnunet.com en date du 2 août 2006