L’attaque a été découverte par John Page, qui se fait appeler hyp3rlinkx. Il se concentre sur le registre Windows, qui est une base de données de paramètres de configuration pour les logiciels, les périphériques matériels, les préférences de l’utilisateur et le système d’exploitation lui-même.
Les utilisateurs peuvent apporter des modifications au registre à l’aide du programme d’éditeur de registre fourni avec Windows, mais ce n’est pas quelque chose que les utilisateurs non avertis devraient normalement faire. S’amuser avec le registre Windows peut paralyser votre machine ou présenter des risques d’un point de vue cybersécurité.
Dans la plupart des cas, lorsqu’un utilisateur Windows doit réellement modifier le registre, il le fait en cliquant sur un fichier portant l’extension .reg. Ces fichiers, fournis par un tiers de confiance, modifient le registre sans que l’utilisateur ait à entrer quoi que ce soit.
C’est pourquoi une boîte de dialogue apparaît lors de l’ouverture d’un fichier .reg, demandant aux utilisateurs s’ils font confiance à la source et s’ils souhaitent continuer. Elle proposera ensuite de faire un choix entre “oui” ou “non”.
L’attaque décrite par Page change cette situation. Dans un document décrivant le processus, il explique :
… nous pouvons injecter nos propres messages via le nom de fichier pour inciter l’utilisateur à cliquer sur “Oui” de manière trompeuse, car le message affiché au niveau de la boîte de dialogue “Êtes-vous sûr de vouloir continuer?” est en fait sous notre contrôle.
Pour ce faire, il utilise un nom de fichier soigneusement défini qui utilise des caractères codés avec le symbole %. La bonne combinaison de caractères peut supprimer le message d’avertissement et les questions au niveau de la boîte de dialogue, en les remplaçant par le texte que l’attaquant a placé dans le nom de fichier .reg. Il continue en expliquant :
Cette faille facilitant une telle opération nous permet d’usurper le message d’avertissement “Êtes-vous sûr de vouloir continuer?” pour indiquer plutôt “Cliquez sur Oui” ou tout autre message de notre choix. Une telle situation pourrait éventuellement faire croire à un utilisateur qu’il est en train d’annuler l’importation du registre, car la boîte de dialogue d’avertissement de sécurité ne lui dit plus la vérité à présent.
Les utilisateurs d’anciennes versions de Windows doivent se méfier, car les versions antérieures à Windows 10 présentent une seconde boîte de dialogue confirmant la modification du registre. Cependant, Page a pu se débarrasser de cette dernière dans Windows 10, en incluant une combinaison de caractères pour indiquer null à la fin du nom de fichier.
L’attaque fonctionne avec des utilisateurs non privilégiés (c’est-à-dire non administrateurs). Dans le cas d’un utilisateur de type administrateur, une boîte de dialogue User Account Control (UAC) apparaîtra pour lui demander s’il souhaite apporter des modifications à la machine, indique Page dans sa description. Cela signifie qu’un attaquant peut contourner l’UAC en quelque sorte pour compromettre avec succès un utilisateur disposant de privilèges administratifs.
Microsoft n’a pas été impressionné, a rapporté Page. L’entreprise lui a répondu :
Un fichier de registre a été créé avec le titre que vous avez suggéré, mais le message d’erreur était clair.
Threatpost a reçu une réponse du senior security director de Microsoft, Jeff Jones, expliquant :
Le problème soumis n’atteint pas le seuil de gravité pour déclencher une maintenance via une mise à jour de sécurité.
Une modification de registre Windows réussie pourrait permettre à un attaquant de modifier divers paramètres, notamment les associations de fichiers, les paramètres du Panneau de configuration et les composants Windows. Le registre est également une destination plébiscitée par les droppers de malwares, qui peuvent y stocker du code, permettant ainsi à ces derniers de persister en s’exécutant automatiquement au démarrage.
Billet inspiré de Microsoft won’t patch Windows registry warning problem, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.