Question securité runas : /savecred

Le
Amandine Parmesan
bonjour

j'ai une question concernant l'option /savecred de runas.
Je n'utilise jamais cette option car je prefere mettre moi même le mot
de passe.
Seulement il va faloir que je fassse une exception cette fois ci.

Donc l'option /savecred permet d'enregistrer un runas dans la base de
registre avec un mot de passe afin de ne plus avoir a le sasir ou le
donner a quelqu'un.

La question que je me pose c'est que la commande (exe, bat,) qui
est lancé avec /savecred est elle securisé (CRC par exemple pour
eviter les modif malveillante) ?

En effet qu'est ce qui empeche de faire un runas sur test.bat qui se
trouve dans c:windows :

@echo RepWindows

et pour "pirater" de creer un test.bat dans c:temp qu'on lance en se
placant dans c:temp qui sera celui lancé en priorité par rapport a
celui de c:windows

@echo RepPirate

Je pense que pour limité le risque il faut dans le runas specifier le
chemin complet, mais qu'en est il si on ne l'indique pas ?

J'espere m'etre bien fait comprendre.
Sinon dites le moi.




--
France-Irlande
J'ai pas honte d'être francaise, mais j'aimerai être fiere en laissant notre place à l'Irlande.
C'est une question d'honneur
Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé.
http://www.youtube.com/watch?v=ekxsmPnHWSA
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Alain Naigeon
Le #21415011
"Amandine Parmesan"
bonjour

j'ai une question concernant l'option /savecred de runas.
Je n'utilise jamais cette option car je prefere mettre moi même le mot
de passe.
Seulement il va faloir que je fassse une exception cette fois ci.

Donc l'option /savecred permet d'enregistrer un runas dans la base de
registre avec un mot de passe afin de ne plus avoir a le sasir ou le
donner a quelqu'un.

La question que je me pose c'est que la commande (exe, bat,...) qui
est lancé avec /savecred est elle securisé (CRC par exemple pour
eviter les modif malveillante) ?



Salut,

J'utilise exceptionnellement runas avec /savecred pour certains
programmes mal fichus. Mais je me suis aperçu que c'est très
olé olé ! Il faut savoir qu'après avoir avoir spécifié savecred,
*tout* programme pourra, sous la même session, être lancé et
fonctionnera comme sous admin sans avoir besoin de donner
les identifiants admin ; tout programme, et toute fonction d'un
programme, y compris Fichier/Ouvrir ou Supprimer, etc !!

C'est pourquoi JCB a concocté un programme qui associe
l'autorisation au(x) seul(s) programme(s) spécifié(s) par
l'utlisateur. A l'instant j'en ai oublié le nom, car malheureusement
il buggue chez moi pur raison aussi mystérieuse que fâcheuse.


En effet qu'est ce qui empeche de faire un runas sur test.bat qui se
trouve dans c:windows :



Comme dit, une fois fait le savecred, tu peux tout lancer, qui
tournera sous identité admin :-(

--

Français *==> "Musique renaissance" <==* English
midi - facsimiles - ligatures - mensuration
http://anaigeon.free.fr | http://www.medieval.org/emfaq/anaigeon/
Alain Naigeon - - Oberhoffen/Moder, France
http://fr.youtube.com/user/AlainNaigeon
Herser
Le #21415071
Alain Naigeon wrote:
"Amandine Parmesan" news:

C'est pourquoi JCB a concocté un programme qui associe
l'autorisation au(x) seul(s) programme(s) spécifié(s) par
l'utlisateur. A l'instant j'en ai oublié le nom, car malheureusement
il buggue chez moi pur raison aussi mystérieuse que fâcheuse.




http://www.bellamyjc.org/fr/superexec.html
Amandine Parmesan
Le #21416821
On Sun, 21 Mar 2010 14:13:27 +0100, "Alain Naigeon" wrote:

En effet qu'est ce qui empeche de faire un runas sur test.bat qui se
trouve dans c:windows :



Comme dit, une fois fait le savecred, tu peux tout lancer, qui
tournera sous identité admin :-(



Je me disais bien que ca sentait mauvais ce truc, mais pas a ce point
là.

--
France-Irlande
J'ai pas honte d'être francaise, mais j'aimerai être fiere en laissant notre place à l'Irlande.
C'est une question d'honneur
Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé.
http://www.youtube.com/watch?v=ekxsmPnHWSA
Amandine Parmesan
Le #21416901
On Sun, 21 Mar 2010 14:37:55 +0100, "Herser" wrote:

Alain Naigeon wrote:
"Amandine Parmesan" news:

C'est pourquoi JCB a concocté un programme qui associe
l'autorisation au(x) seul(s) programme(s) spécifié(s) par
l'utlisateur. A l'instant j'en ai oublié le nom, car malheureusement
il buggue chez moi pur raison aussi mystérieuse que fâcheuse.




http://www.bellamyjc.org/fr/superexec.html



Ok, apparement là le path des applications est en dur, donc pas moyen
de le detourner sauf...
...est ce que superexec verifie si le programme a executer n'a pas les
droit modification sur l'application a lancer pour l'utilisateur non
admin ?

Je pose la question car si cet executable est dans
c:MesScriptsMonScript.bat par exemple et que l'utilisateur non admin
a le droits de le modifier il peut sans problème mettre un cmd.exe
dedant qui sera lancer par superexec...

T'en penses quoi Jean-Claude ? (vu que c'est toi qui a le source)


--
France-Irlande
J'ai pas honte d'être francaise, mais j'aimerai être fiere en laissant notre place à l'Irlande.
C'est une question d'honneur
Mais je ne me fais aucune illusion. J'espère que l'equipe qui a volé le match soit humilié et rentre la tête baissé.
http://www.youtube.com/watch?v=ekxsmPnHWSA
Jean-Claude BELLAMY
Le #21418281
"Amandine Parmesan" discussion :
On Sun, 21 Mar 2010 14:37:55 +0100, "Herser" wrote:

Alain Naigeon wrote:
"Amandine Parmesan" news:

C'est pourquoi JCB a concocté un programme qui associe
l'autorisation au(x) seul(s) programme(s) spécifié(s) par
l'utlisateur. A l'instant j'en ai oublié le nom, car malheureusement
il buggue chez moi pur raison aussi mystérieuse que fâcheuse.




http://www.bellamyjc.org/fr/superexec.html



Ok, apparement là le path des applications est en dur,


OUI, et c'est même crypté "très hard" !!! ;-)
De plus on peut fixer une date limite et/ou un nombre maximal d'exécutions.

donc pas moyen de le detourner sauf...
...est ce que superexec verifie si le programme a executer n'a pas les
droit modification sur l'application a lancer pour l'utilisateur non
admin ?


NON (cf. plus bas)

Je pose la question car si cet executable est dans
c:MesScriptsMonScript.bat par exemple et que l'utilisateur non admin
a le droits de le modifier il peut sans problème mettre un cmd.exe
dedant qui sera lancer par superexec...


Exactement !!!!

T'en penses quoi Jean-Claude ? (vu que c'est toi qui a le source)



Tout comme "runas", et tout autre processus qui fait appel à la fonction
"CreateProcessWithLogonW" (apparue dans W2k, comme son nom l'indique elle
permet de lancer un autre processus en changeant le logon), si le processus
lancé permet de lancer d'AUTRES processus, ces autres processus seront
lancés sous le nouveau login, donc avec les privilèges y attenant!

C'est pourquoi je mets en garde, dans SuperExec, sur l'appli que l'on va
lancer avec des droits admin!
P.ex. si c'est CMD.EXE, il est bien évident que cela va être une brèche
quasi infinie pour permettre le lancement de n'importe quoi en tant
qu'admin!
Je le fais volontairement pour mes tests, cela fonctionne très bien, mais
bien évidemment ce n'est pas à faire "dans la vraie vie"!

La bonne utilisation de SuperExec (ou runas, ou ...) consiste à bien CIBLER
le processus/appli que l'on va exécuter.
Pour faire simple, cela signifie qu'on va s'interdire toutes les applis qui
comporte un "launcher", c'est à dire une commande (prise au sens large)
permettant de lancer une autre appli.

Par exemple mon éditeur texte favori, à savoir "EDITPLUS" , dans le menu
"Tools/Preferences", permet d'ajouter dans le même menu "Tools" autant de
liens que l'on veut vers n'importe quelle application (CMD.EXE par ex!!!)

Donc ce serait de l'inconscience que de lancer EDITPLUS via "runas" ou
"superexec" pour lui donner les privilèges d'admin, car cela permettrait de
lancer n'importe quoi par la suite avec les privilèges admin !

Ce n'est pas prévu pour l'instant, mais je pourrais effectivement analyser
l'appli que l'on va autoriser via Superexec, en détectant l'appel aux
fonctions "CreateProcessWithLogonW", "CreateProcessAsUser", "CreateProcess",
"CreateProcessWithTokenW", "ShellExecute", ..., et avertir du danger
potentiel.
MAIS ce n'est pas évident à réaliser, ni fiable, car certaines applis
n'utilisent pas de liens statiques (préétablis) vers certaines fonctions,
l'appel étant fait dynamiquement (à la volée).
Donc on ne peut pas savoir si (p.ex.) "CreateProcess" est utilisée en
examinant statiquement le fichier binaire, mais seulement (et encore, car il
faut effectuer un vrai débogage) en lançant l'exécutable, c'est à dire que
... c'est trop tard !


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Publicité
Poster une réponse
Anonyme