Windows Vista : Microsoft corrige le hack de la Black Hat

Le par  |  21 commentaire(s)
Joanna Rutkowska Black Hat Boston 2006

Windows Vista x64 vulnérableRappel des faits : il y a quelques mois, Microsoft annonçait en grande pompe aux hackers de "venir tenter leur chance, et d'essayer de prendre en défaut la sécurité de Windows Vista".

Windows Vista x64 vulnérable
Rappel des faits : il y a quelques mois, Microsoft annonçait en grande pompe aux hackers de "venir tenter leur chance, et d'essayer de prendre en défaut la sécurité de Windows Vista". Manque de chance pour Redmond, une jeune "hackeuse" polonaise a réussi à pénétrer Vista et en avait fait la démonstration lors de la conférence Black Hat de juin dernier.


Vous avez dit "invulnérable"...'
Joanna rutkowska black hat boston 2006Joanna Rutkowska (à droite) a en effet pénétré le noyau de la version réputée la plus sûre de Windows Vista bêta 2, la x64. Il lui a fallu s'allouer les privilèges d'administrateur sur le PC cible (une opération assez simple, si l'on en croit un récent rapport de Symantec), puis désactiver la fonction qui réclame une signature électronique valide avant installation d'un pilote logiciel. Ledit pilote pourrait dès lors être modifié à loisir par un pirate, puis installé, et finalement utilisé par Vista. La suite est prévisible : le système exécuterait sans poser de question toutes les instructions transmises par ce programme malicieux déguisé en pilote, et tous les scenarii catastrophes peuvent alors être envisagés.


Microsoft corrige la faille...
Microsoft a depuis tiré des leçons de ceci, et a corrigé son système d'exploitation. D'ailleurs, Joanna reconnaît elle même que ce hack ne fonctionne plus, y compris sur la récente version Windows Vista RC2.


mais sans la corriger en profondeur...
En effet, Microsoft a tout simplement interdit les accès en écriture pour les applications fonctionnant en mode utilisateur, même avec des droits d'administrateur, ce qui pose selon Joanna un certain nombre de problèmes.

En effet, ceci peut entrainer des problèmes de compatibilité avec des programmes comme les éditeurs de disques, ou les outils de récupérations de données, qui devront donc maintenant disposer de leur propre pilote, reconnu par Microsoft, pour fonctionner.

Joanna préconise plutôt l'emploi d'une solution de chiffrement pour protéger le fichier d'échange, voire l'interdiction d'écriture sur le disque dur lorsque les applications sont ouvertes par l'utilisateur et non par le système. Elle propose également de désactiver la mise en cache des opérations du noyau traitées en mémoire vive, affirmant que c'est d'ailleurs de cette manière que sa propre machine de test est réglée.

Windows XP ou Vista, les questions de sécurité resteront donc toujours un grand sujet de discussion.
Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #137714
Obliger d'utiliser des logiciels certifiés microsoft, c'est quand même une vision assez "particulière" de la sécurité de solutions grand public

Le problème, c'était pas que quelqu'un avec les droits administrateurs puissent le faire, mais plutot qu'on puisse avoir si facilement les droits administrateurs. Dommage que le problème ne soit pas réglé à la base...
Le #137718
"Manque de chance pour Redmond, une jeune "hackeuse" polonaise a réussi à pénétrer Vista et en avait fait la démonstration lors de la conférence Black Hat de juin dernier."

Pourquoi "manque de chance" ' C'est plutôt positif... Surtout que ça ne s'applique pas qu'à Windows mais aussi Linux, Mac OS etc...
Le #137719
Les pseudos ingé de chez ms sont toujours aussi mauvais, rien à rajouter. Quelle fabuleuse correction, plutôt que de corriger vraiment le problème on désactive la fonction super !!!!!! Pffff, va falloir attendre encore une bonne dizaine d'année avant d'avoir des gens un peu compétent en sécu plutôt que des commerciaux à 2 balles...
Le #137727
john777 >"Les pseudos ingé de chez ms" s'y connaisse infiniment plus que toi. Ce n'est pas en lisant des news qu'on devient expert.

Je rappel que ce problème concerne tous les OS et qu'Aplle ou Linux n'ont semblent il pas apporté de solutions non plus.
Le #137728
Obligé d'utiliser des pilotes signés =>on laisse pas n'importe quelle appli toucher aux "disque dur" directement ... pardon mais je trouve pas ca "tellement" mauvais <img src="/img/emo/confused.gif" alt=":'" />
Le #137733
+1 atomusk
et meme ... +1 luchy sur ce coup !
Le #137737
Joanna Rutkowska est ma future femme.
Le #137740
Luchy "Je rappel que ce problème concerne tous les OS et qu'Aplle ou Linux n'ont semblent il pas apporté de solutions non plus."


On ne dois visiblement par parler du même problème.

T'es en train de me dire que sous Linux, n'importe quel utilisateur peut s'octroyer les droits administrateurs pour installer un faux pilote et prendre le controle de la machine '

Encore une fois, le problème de sécurité, ce n'est pas qu'avec les droits administrateurs on peut tout faire (c'est le principe même des droits admin... et c'est nécessaires pour bon nombre d'applications parfaitement "propres"). Le fond du problème, c'est que n'importe qui / quoi peut s'octroyer ce droit.

@atomusk :
Application signée, ça veut dire application qui paye MS pour pouvoir passer une certif.
Bloquer tout logiciel non signé, ça revient à tuer les "petits" éditeurs, développeurs pationnés et compagnie qui ne peuvent se permettre de payer à chaque nouvelle version de leur logiciel pour etre approuvé par MS.

Un OS qui n'autorise que les applications signés, est complétement vérouillé, c'est l'inverse même du but d'un OS, qui est de pouvoir exploiter sa machine.
Le #137743
Conseil pour bien se protéger des virus sous Vista
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
FOUT TA CAGOULE !!!

Le #137756


Les pseudos ingé de chez ms sont toujours aussi mauvais, rien à rajouter. Quelle fabuleuse correction, plutôt que de corriger vraiment le problème on désactive la fonction super !!!!!! Pffff, va falloir attendre encore une bonne dizaine d'année avant d'avoir des gens un peu compétent en sécu plutôt que des commerciaux à 2 balles...





Toi ta rien compris vas t'aérer l'esprit et musclé ton unique neurone

La dame à proposé trois soluce
- Cryper les fichiers de pagnination un suicide niveau perf
- Désactiver la pagination dans le noyau trop radical
- Vérrouillé l'accès au HDD en écriture meme en admin


La solution apporté par MS est donc la bonne c'est concrètement la seule qui tienne la route, faut un peu réfléchier avant de cracher sur les gens les pseudo ingé et toi t'est quoi ' tu sert a quoi '


Pour les pilotes signé MS n'a jamais dit que c'etait infallible mais en tout cas sa fait déjà un sacré ménage, d'ailleur ce n'est pas MS qui les signe obligatoirement
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]