Interrogation DropMyRights (double lancement etc)

[Sacles]

Bonjour,

Message corrigé pour cause d'erreur d'interprétation de ma part.

J'ai effacé une partie du contenu de mon message pour éviter d'induire les lecteurs en erreur s'ils ne continuent pas la lecture de cet échange.

>>>>>>>>

Je serais curieux de savoir si, par exemple, Adobe flash player s'ouvre en droits restreints s'il doit être utilisé par le navigateur lancé avec DMR. Et les extensions de Firefox? Bref, ce serait des choses intéressantes et importantes à éclaircir pour les utilisateurs de DMR.

Lancer un programme avec DMR, c'est bien. C'est nettement moins intéressant si ce programme se met à lancer une série de choses avec les pleins droits.

Salut.

[félix le chat]

@ Sacles

Tout ce que tu viens de poster est extrêmement intéressant et devrait être porté, sans tarder un seul instant, à la connaissance de toute la communauté s'occupant de la sécurité informatique. Dans le cadre, bien sûr, d'un sujet spécifique aux points de faiblesse que tu soulèves à la rubrique sécurité des principaux forums où tu t'exprimes : Assiste, Libellules, Malekal, Zebulon, etc tu pourrais aussi saisir Aaron Margosis spécialiste reconnu de la restriction et de l'héritage des droits http://blogs.msdn.com/b/aaron_margosis/ et Michael Howard Microsoft Security Engineering idem, etc, etc

En attendant, ce serait très aimable de ta part si tu nous faisais bénéficier de la primeur de tes constatations dans un sujet où tu nous fournirais la description exacte de la faiblesse que tu as découverte, les outils qui t'ont permis de la mettre en évidence et de la prouver, etc ainsi nous pourrions tous la reproduire sur notre PC et ayant constaté son évidence t'appuyer dans une demande de bannissement définitif de DropMyRights.

Attention cependant à la faiblesse, à mon avis importante, de DMR.

Un programme lancé avec DMR lance lui-même un programme sans droits restreints (sauf si celui-ci est déjà ouvert avec DMR).

[Sacles]

Re,

Pas de réponse à mes interrogations. Je suppose donc que mes craintes sont fondées.

Note: je ne rentre pas dans les petits jeux d'attaques personnelles qui n'ont pas lieu d'être ici et que certains voudraient instaurer.

Bonne journée.

[michte]

Salut,

Je suis partant pour essayer de voir ça avec vous deux, il faudrait trouver un moyen de vérifier les soupçons de Sacles sur ces point précis :

- Flash Player se lance-t-il avec les droits restreints (hérités de FF passant par DMR) ?
- Idem pour les modules complémentaires de FireFox..

Si vous, Félix Le Chat et Sacles, avez des idées pour nous aider à vérifier et savoir à quoi s'en tenir sur ces deux points, je vérifierai de mon côté.

[Sacles]

Re,

michte, merci pour ton message constructif.

Ma crainte est venue de l'observation que font les utilisateurs attentifs de DMR (tu l'as toi-même constaté aussi): lancer le navigateur à partir d'un lien d'un courrielleur lancé avec DMR, provoque l'ouverture du navigateur avec des droits "normaux".

Tu as précisé que pour éviter cela, tu lançais ton navigateur avec DMR au départ de ta session et que cela réglait la question pour cette situation. Oui et les autres?

Ma question est donc: cette observation est-elle généralisée? Et/Ou est-elle à généraliser pour tout ce qui se lance à partir, par exemple d'un navigateur lancé par DMR (lecteur de pdf, extensions pour Firefox (et bientôt pour Opera), plugins comme Flash Player,...). Or, par exemple, les lecteurs de pdf peuvent avoir des failles, Adobe Reader aussi,...

Mon interrogation me semble donc légitime et intéressante pour les utilisateurs (il me paraît important de connaître les limites des protections que l'on utilise). Je ne connais pas bien DMR, c'est pourquoi je faisais appel aux "spécialistes" (sans ironie). Dommage que certains semblent refuser le dialogue.

A ma connaissance, il est difficile de voir si un programme est lancé avec des droits restreints. Il existe un ajout pour Internet Explorer, pour Firefox et pour Thunderbird. Rien d'autre?

Salut.

[Malekal_morte]

Felix, je comprends pas ton intervention un peu moqueur sur Sacles.
Il pose une simple question, qui en plus assez pertinente.

Sacles : je pense qu'il faut distinguer deux choses.
Le processus enfant et un nouveau Processus.

Dans le cas d'un exploit qui lance Adobe Reader (donc PDF Maclieux), le processus Adobe Reader est un processus enfant et il est lancé avec le même utilisateur que son parant (soit donc avec DMR, en limité), et donc le dropper téléchargé et executé par Adobe Reader via l'exploit et donc aussi un processus enfant et donc même topo.

Pour les extensions Firefox, c'est maintenant un processus plugin-container qui doit être un sous-processus de Firefox, donc il doit être lancé avec les droits restreints, je ferai une capture

Je pense ce qui est important c'est surtout comment qui appelle quoi, si processus enfant ou pas.
Genre si tu appelles par rundll32 et une extension pas certains que cela fonctionne.

Je vais tester pour Outlook DMR => IE (DRM ?)

[Sacles]

Re,

Dans le cas d'un exploit qui lance Adobe Reader (donc PDF Maclieux), le processus Adobe Reader est un processus enfant et il est lancé avec le même utilisateur que son parant (soit donc avec DMR, en limité), et donc le dropper téléchargé et executé par Adobe Reader via l'exploit et donc aussi un processus enfant et donc même topo.

Pourrais-tu préciser?

Dans le cas que tu décris, Adobe Reader est lancé avec des droits limités ou pas?

Si je te comprends bien Adobe Reader se lance avec des droits limités. Si c'est le cas, c'est un point positif.

Question: comment voir si un logiciel (ex. ici Adobe Reader) est bien lancé avec des droits limités?

Salut.

[Malekal_morte]

oui il se lance en utilisateur limité.
C'est pour cela que dans le tuto DropMyRights de ce site, tu vois que les infections ne marchent pas, car elles partent du principe que tu es admin (écriture dans des dossiers Windows, création de service, écriture dans des clefs HKLM).

Un processus enfant hérite tout du processus parent, dont l'utilisateur avec lequel tu le lances et ses privilèges.
Si Firefox/IE est lancé en session limité, tout programme en processus parant le sera, que tu passes par DropMyRight ou un "vrai" utilisateur limité.

Faut pas que tu vois DropMyRight comme un "artifice", il tire juste partie de fonctionnement présent dans Windows.
Il utilise "juste" des mécanismes disponibles dont Windows, c'est pas DropMyRight qui fait tout en gérant de A à Z le lancement des applications etc.

Maintenant quelques captures :
Les captures TB_DRM, c'est Firefox en limité via DropMyRight qui télécharge l'installe de ThunderBird.
On voit que le setup.exe est un processus enfant de Thunderbird_setup qui lui est un processus enfant de Firefox car c'est lui qui le lance.
Tous les processus hérité des droits du parents en cascade, setup.exe est bien lancé en limité comme le montre Process Explorer (on voit le deny pour administrateurs et aucun jeton privilège).
Le setup ne peux pas écrire dans Program Files, il propose l'installation dans le profil courant de l'utilisateur (APPDATA).
Pas con le setup hein !

Les captures FF_DRM, même chose, Je suis sur Thunderbird en limité via DropMyRight.
Je clic sur un lien WEB, Firefox se lance en processus enfant, il hérite des droits limités.

(Pour les jetons, lancer Firefox ou IE en admin, vous verrez que vous avez plein de jetons privlèges en plus).

[Sacles]

Re,

Petite expérience (Thunderbird n'était pas installé sur mon PC):

1. Je lance Opera avec le raccourci C:\DMR\DropMyRights.exe "C:\Program Files\Opera\Opera.exe". Le petite fenêtre de DMR s'ouvre brièvement. Je suppose donc qu'Opera est bien lancé avec des droits limités.
Note j'ai installé Drop My Rights dans c:\DMR

2. Je me rends à l'adresse suivante http://www.mozillamessaging.com/fr/thunderbird/ Je clique sur Thunderbird Téléchargement gratuit.

3. Opera me propose de lancer ou d'enregistrer le setup. Je choisis l'exécution. A la fin Thunderbird est installé parfaitement.

Effectivement, il s'installe dans mon profil mais il s'installe, c'est bien cela qui est important. Qu'un programme s'installe dans Program Files ou autre part, ce n'est pas cela qui est important.

Le setup a bien écrit sur le disque, y compris dans le registre. Donc un programme malicieux aurait pu modifier à sa guise le registre par exemple

Thunderbird se lance peut être avec des droits limités. Et au prochain démarrage du PC, il se lancera comment?

Qu'en conclure?

[Malekal_morte]

L'important, c'est pas qu'il puisse modifier le registre, c'est qu'est ce qu'il peut modifier dans le registre et surtout qu'est ce que tu peux pas modifier.

Avec un utilisateur restreint, tu peux pas :
- écrire dans Windows / Program Files
- Créer de service
- Ecrire dans HKLM (donc pas de service, pas de driver, pas de rootkit).
En résumé, tu ne peux pas faire de modification à l'échelle système.

Par contre, t'es le maître absolu dans ton environnement profil.
Il est donc tout à fait possible qu'un malware puisse se copier dans le profil (Temp, APPDATA, etc) et se charcher par la clef Run (dans HKCU) pour se lancer au démarrage du profil.

Dans le cas d'un stealer, il peut voler des données dans ton compte, injecter un processus (style explorer) pour effectuer une connexion et balourder les données.
ou injecter taskmgr pour cacher son processus.
etc.

Il me semble que dans le sujet des keylogguer/IDS, on avait parlé de l'UAC et j'avais testé Zbot.
Et bien Zbot, si tu es admin il se charge en HKLM et si tu l'es pas, il se lance à partir d'une clef HKCU via ton profil, c'est donc géré par le malware.

Je me suis posé une question suite à ton message, c'est par rapport au dernier rogue qui ont fait fureur : ThinkPoint et Security Tools.
Je sais pas trop si tu as suivi, mais ces derniers bien que tu sois administrateur se contente de tourner dans un profil (celui qui a été infecté) ils vont pas dans les autres (car ils font pas de modif à l'échelle machine).
Les fichiers sont dans les profils et il modifie HKCU pour se lancer - typiquement pour ThinkPoint, ça donne :

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"
Type: REG_SZ
Data: C:\Documents and Settings\Mak\Application Data\hotfix.exe

(Security Tools, c'est une clef RunOnce avec un fichier dans ton profil).


Donc me suis dit, bha pour ces malwares, DropMyRight, il va pas le bloquer, car le malware doit pourvoir tourner en compte limité.... j'ai essayé et bien non!
Le dropper se lance et plus rien!

Tout ça pour dire que la majorité des infections ne marcheront pas mais qu'il est quand mm possible d'infecter sa session (et de se faire voler des données).
Mais surtout, tu redeviens (et l'antivirus aussi) mettre du PC car au final, l'antivirus va tourner avec des droits supérieur (SYSTEM) alors que le malware en compte limité (ton user) et là il devrait pouvoir le supprimer les doigts dans le nez.
Alors que le problème actuel, prenons un rootkit, il se lance aussi en SYSTEM, et donc il peut modifier le comportement du système qui peut rejaillir sur l'antivirus ("impossible de supprimer le fichier" pour l'antivirus, exactement comme toi quand tu clics sur supprimer).

A lire : http://www.prevx.com/blog/83/Is-Limited ... eally.html

[Forza Ferrari]

Salut,

bon j'ai pas tout compris ce que vous avez écrit, mais en tout cas j'ai remarqué quelque chose. j'espère que ça n'a pas déjà été dit. sinon, désolé!

si j'ai une session de Firefox ouverte et que je vérifie une mise à jour d'un logiciel (CCleaner, Update Checker, Defraggler, ...), c'est bien un nouvel onglet qui va s'ouvrir dans la fenêtre déjà existante de Firefox qui tourne avec les droits restreints.
en revanche, si Firefox n'est pas ouvert et que je vérifie une mise à jour, la nouvelle fenêtre de Firefox qui s'ouvre tourne avec les droits administrateur. pas bon.
par conséquent le fait de lancer Firefox au démarrage ne change rien au problème. puisque si on l'arrête et que Firefox est à nouveau lancé via un autre logiciel, il tournera avec les droits administrateur.
il faudrait alors le laisser ouvert pendant toute la session, sans jamais le fermer!

[félix le chat]

Bonsoir,

A gauche les processus actifs, au centre les droits restreints de Firefox DropMyRightsé, à droite les droits restreints de plugin container lancé par Firefox DropMyRightsé... le container hérite bien des droits restreints de son parent Firefox.

Chaunc peut refaire le test qui prouve qu'avec toutes les combinaisons possibles : Firefox lance le logiciel de courrier ou le logiciel de courrier lance firefox ou acrobat pour un pdf, etc les droits restreints par DropMyRights sont bien transmis au processus enfant.

Pour contrôle les droits d'administrateur de Mbamgui il n'y a pas moyen de se tromper les droits pleins sont très différents des droits restreints

[Sacles]

Bonjour,

Merci Malekal pour tes explications en finesse et nuancées.

Je corrige donc mes impressions d'hier: Lorsqu'un logiciel de courrier lancé avec DMR (parent) ouvre le navigateur (enfant), celui-ci est donc bien lancé aussi avec des droits restreints. Idem pour Adobe Reader ouvert à partir du navigateur lancé avec DMR,...

michte n'a donc aucune raison (sauf habitude personnelle tout à fait respectable) de lancer son navigateur avec DMR avant d'utiliser son logiciel de courrier (sauf s'il lance celui-ci avec des droits "normaux").

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Je reste malgré tout convaincu qu'un système du type bac à sable est plus sécurisé que le "simple" (ce n'est pas péjoratif) DMR.

Cela me "gêne" qu'un programme puisse ainsi s'installer ainsi sans coup férir ne fut-ce que dans le profil de l'utilisateur et éventuellement sans sa permission.

Ce qui ne veut pas dire que ce système bac à sable soit parfait non plus.

J'ai reproduit l'expérience que j'ai décrite plus haut cette fois-ci en utilisant Sandboxie pour le lancement d'Opera (après effacement de l'installation de Thunderbird d'hier).

Constatations:
1. Indépendamment du pare-feu, Thunderbird est incapable de se connecter à internet, Sandboxie refuse la connexion (avec DMR, le blocage ne se fait que grâce au pare-feu).
2. A la fermeture d'Opera, le bac à sable s'efface et il n'y a plus de trace de Thunderbird. Donc tout se passe à l'intérieur du bac à sable qui est isolé du reste du système.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Forza Ferrari. Tes constatations sont correctes. Elle le serait aussi avec Sandboxie en version gratuite. La version payante permet de forcer des programmes (choisis par l'utilisateur) à se lancer dans le bac à sable.

Salut.

[Sacles]

Re,

Remarque
La version X d'Adobe Reader est incompatible avec DMR (il y a aussi un problème avec la version actuelle de Sandboxie mais il est corrigé dans la version bêta en cours de finition; il ne sera probablement jamais corrigé dans DMR qui date de 2004).

Cette incompatibilité est due au mode protégé introduit dans la version X d'Adobe Reader.

Pour éliminer cette incompatibilité, il faut désactiver le mode protégé d'Adobe Reader (dommage à mon avis):
Ouvrir Adobe Reader X > Edition > Préférences > Générales > Décocher "Activer le mode protégé au démarrage".

Le mode protégé d'Adobe Reader X est basé sur la technique du bac à sable. Plus de détails ici (en anglais): http://blogs.adobe.com/asset/2010/07/in ... -mode.html

Salut.

[Malekal_morte]

1. Indépendamment du pare-feu, Thunderbird est incapable de se connecter à internet, Sandboxie refuse la connexion (avec DMR, le blocage ne se fait que grâce au pare-feu).

J'ai pas eu de prb de connexion avec dans mes tests.

@Forza : tu sais le but, c'est pas que tu ouvres Firefox en mode restreint.
L'important c'est que tu surfs dans ce mode.
Alors que tu lances juste Firefox pour télécharger un CCleaner pour le mettre à jour depuis un site légitime, c'est pas bien grave.
Tant qu'ensuite tu surfs avec les droits limités.

Tout ça, ça me fait penser qu'il faudrait que je prévienne dans le tuto, que si on télécharge un installeur et qu'on le lance depuis l'Historique de Téléchargement de Firefox, l'installeur sera lancé en limité.