Évaluer la nouvelle mouture de MBAM, c'était l'objectif du jour. Vous verrez comment de petites erreurs, utilisées bout à bout, peuvent rapidement devenir problématiques. J'en profite au passage pour tacler les accrocs à Microsoft Windows XP, en espérant que ça les fera réfléchir pour définitivement tourner la page.
OS: Windows XP Professionnel Service Pack 3 avec dernière mises à jour.
→ "Alice" est un compte d'administration, membre du groupe Administrateurs.
→ "Bob" est un compte utilisateur limité, membre du groupe Utilisateurs.
Contexte: Bob est est "multi-cartes", il représente les clients d'un cybercafé.
Alice réalise l'installation dans un répertoire de son choix, autre que celui par défaut.
☹ Attention : C'est surprenant mais les fichiers installés ne sont plus protégés efficacement.
☺ Précaution : Il est préférable de laisser le répertoire proposé par défaut lors de l'installation.
Alice active la version d'essai Premium & laisse la configuration proposée par défaut.
☹ Attention : Bob, simple utilisateur, pourra à sa guise modifier la configuration.
☺ Précaution : Si vous avez plusieurs profiles, vous devez absolument configurer.
Alice réalise l'installation d'une version Premium & effectue l'entière configuration.
☺ Conseils : Renforcer la sécurité du produit avec toutes les options disponibles.
↘ Advanced Settings
☑ Enable safe-protection module
☑ Enable safe-protection early start
↘ Access Policy
☑ La règle englobe toutes les restrictions possibles.
Les stations sont ainsi installées et configurées au mieux pour faire face aux usages de Bob.
Redémarrages, ouvertures automatiques des sessions sur les comptes Utilisateurs... Let's go !
I. Contournements de restrictions d'Access Policy
Bob double-clique sur l'icône MBAM dans la barre des tâches, ce message s'affiche à l'écran.
☹ Problème constaté : Il est possible de modifier les paramétrages malgré les restrictions établies dans les règles d'Access Policy en utilisant une méthode de contournement basée sur une faiblesse liée au design de l'interface. Je ne détaillerai pas plus voici une vidéo qui illustre le principe.
☠ Bob est en mesure de modifier les paramètres ce qui signifie aussi, par exemple : désactiver toutes les protections, installer un code malveillant, effacer les journaux, puis ré-activer les protections.
II. Traitements non autorisées
Après avoir contourné avec succès les restrictions des règles d'Access Policy, ce diable de Bob décide de malmener les protections de l'application. En effet, il n'est pas possible de renommer, déplacer, créer, éditer, supprimer,... le répertoire et les fichiers installés. D'autant que parmi les services installés certains veillent précisément à cet aspect de la sécurité.
☹ Problème constaté : L'application MBAM est autorisée à manipuler ces fichiers : il est donc possible de contourner les protections sur les fichiers et d'effectuer des traitements non autorisés sur une zone théoriquement protégée. Pour illustrer le principe, dans cette démonstration, j'utilise l'option des journaux du planificateur de tâches pour ouvrir un shell depuis la fenêtre "Rechercher un dossier". Il y a plusieurs mois, nous avions lancé une série de vidéos sur le thème "différentes méthodes de sabotages informatiques" et j'y avais notamment démontré que des ruses aussi triviales que celle ci étaient présentent dans de nombreux produits de sécurité tels que ESET NODE32, Symantec Norton, Kaspersky, etc...
☠ Bob est en mesure d'opérer une incursion en vue d'altérer, supprimer,... des fichiers protégés. De plus, les nouveaux répertoires et/ou fichiers éventuellement créés dans cette zone seront systématiquement protégés. Par exemple, un code malveillant téléchargé et enregistré ici serait impossible à supprimer, même pour un des Administrateurs. ( sauf désinstallation complète )
III. Élévations de privilèges
Bob a contourné les stratégies de sécurité et est en mesure d'effectuer des traitements non autorisés.. désormais il va viser l'obtention des supers pouvoirs. À l'exception de l'utilitaire de désinstallation, tous les pilotes et tous les autres programmes sont signés numériquement, il sera donc très difficile d'y toucher. Mais souvenez-vous j'avais évoqué l'utilisation de services, il y a MBAMSwissArmy, MBAMProtector, MBAMChameleon, MBAMScheduler et MBAMService. Comme vous le savez peut-être déjà, les services fonctionnent avec des privilèges élevés.
☠ En étudiant la table des imports, on constate qu'il est possible d'écrire une bibliothèque qui comporte de fausses fonctions capables d'aller crocheter, si elle est déposée au bon endroit, les services MBAMScheduler et/ou MBAMService. Un système d'exploitation trop ancien tel qu'XP rends possible ce type de chargements "inopinés". Une exploitation réussie va propulser Bob ( simple utilisateur ) avec autant voir plus de pouvoirs que les Administrateurs.
Malgré ça, il ne faut pas dramatiser car les faiblesses signalées sont locales, les risques sont faibles.
Malwarebytes Anti-Malware v2.0 est un excellent produit, quelques corrections et il n'y paraitra plus ☺
edit: Bugs rapportés ☆ Keep up the good work ! ☆ amitiés à S!Ri & Jérôme.