Windows 7 : une liste blanche d'exécutables ignorés par l'UAC

Le , par shawn12, Expert éminent
Windows 7 : une liste blanche d'exécutables ignorés par l'UAC

Comme la plupart des utilisateurs de Windows 7 l'ont remarqué, la nouvelle version du système d'exploitation de Microsoft a amené une évolution en ce qui concerne la gestion de l'UAC.
Cette fonctionnalité, très controversée, apparue avec Windows Vista, permet de protéger le système en limitant l'accès aux ressources système et en demandant une confirmation pour toute action nécessitant plus de privilèges.

Dans Windows 7, ce système a été assoupli et interroge beaucoup moins l'utilisateur. Pour cela, un certain nombre d'exécutables du système sont placés sur une liste blanche. Les exécutables de cette liste ne déclenchent donc pas d'alerte de l'UAC, même pour effectuer des tâches nécessitant des privilèges élevés.

Voici la liste de ces exécutables :
Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
\Windows\ehome\Mcx2Prov.exe 
\Windows\System32\AdapterTroubleshooter.exe 
\Windows\System32\appinfo.dll 
\Windows\System32\BitLockerWizardElev.exe 
\Windows\System32\bthudtask.exe 
\Windows\System32\chkntfs.exe 
\Windows\System32\cleanmgr.exe 
\Windows\System32\cliconfg.exe 
\Windows\System32\CompMgmtLauncher.exe 
\Windows\System32\ComputerDefaults.exe 
\Windows\System32\dccw.exe 
\Windows\System32\dcomcnfg.exe 
\Windows\System32\DeviceEject.exe 
\Windows\System32\DeviceProperties.exe 
\Windows\System32\dfrgui.exe 
\Windows\System32\djoin.exe 
\Windows\System32\eudcedit.exe 
\Windows\System32\eventvwr.exe 
\Windows\System32\fsquirt.exe 
\Windows\System32\FXSUNATD.exe 
\Windows\System32\hdwwiz.exe 
\Windows\System32\ieUnatt.exe 
\Windows\System32\iscsicli.exe 
\Windows\System32\iscsicpl.exe 
\Windows\System32\lpksetup.exe 
\Windows\System32\MdSched.exe 
\Windows\System32\msconfig.exe 
\Windows\System32\msdt.exe 
\Windows\System32\msra.exe 
\Windows\System32\MultiDigiMon.exe 
\Windows\System32\Netplwiz.exe 
\Windows\System32\newdev.exe 
\Windows\System32\ntprint.exe 
\Windows\System32\ocsetup.exe 
\Windows\System32\odbcad32.exe 
\Windows\System32\OptionalFeatures.exe 
\Windows\System32\perfmon.exe 
\Windows\System32\printui.exe 
\Windows\System32\rdpshell.exe 
\Windows\System32\recdisc.exe 
\Windows\System32\rrinstaller.exe 
\Windows\System32\rstrui.exe 
\Windows\System32\sdbinst.exe 
\Windows\System32\sdclt.exe 
\Windows\System32\shrpubw.exe 
\Windows\System32\slui.exe 
\Windows\System32\SndVol.exe 
\Windows\System32\spinstall.exe 
\Windows\System32\SystemPropertiesAdvanced.exe 
\Windows\System32\SystemPropertiesComputerName.exe 
\Windows\System32\SystemPropertiesDataExecutionPrevention.exe 
\Windows\System32\SystemPropertiesHardware.exe 
\Windows\System32\SystemPropertiesPerformance.exe 
\Windows\System32\SystemPropertiesProtection.exe 
\Windows\System32\SystemPropertiesRemote.exe 
\Windows\System32\taskmgr.exe 
\Windows\System32\tcmsetup.exe 
\Windows\System32\TpmInit.exe 
\Windows\System32\verifier.exe 
\Windows\System32\wisptis.exe 
\Windows\System32\wusa.exe 
\Windows\System32\DriverStore\FileRepository\bth.inf_amd64_neutral_a1e8f56d586ec10b\fsquirt.exe 
\Windows\System32\oobe\setupsqm.exe 
\Windows\System32\sysprep\sysprep.exe
Source : withinwindows.com

Pensez-vous que cette liste blanche puisse entrainer des problèmes de sécurité si un logiciel malveillant parvient à s'introduire dans l'un des exécutables ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de kain_tn kain_tn - Membre chevronné https://www.developpez.com
le 28/09/2009 à 20:14
Citation Envoyé par shawn12  Voir le message
Pensez-vous que cette liste blanche puisse entrainer des problèmes de sécurité si un logiciel malveillant parvient à s'introduire dans l'un des exécutables ?

Il est évident que ce sera le cas, car l'utilisateur lambda va utiliser un compte administrateur pour tout faire.
Avatar de Nairod.prog Nairod.prog - Membre à l'essai https://www.developpez.com
le 28/09/2009 à 22:04
Ce genre de liste est souvent une belle faille :
  • Possibilité de modifier la liste
  • Possibilité de remplacer un executable ou de le modifier


Mais ca doit être protégé par un hash du style j'associe blabla.exe à 28HE21UHE1UI12huZ27hu (en plus compliqué). Donc pour remplacer un éxécutable un faut trouver une collision dans ce hash (très dur mais faisable) ou alors si on trouve le hash (comme pour le key generator de Photoshop) on peut ajouter plein de programmes sur la liste (mais cette liste doit aussi être cripté/hash, ... et ca recommence).

Donc c'est une sécurité à court terme ce genre de truc selon moi.
Avatar de adivinenza adivinenza - Membre régulier https://www.developpez.com
le 28/09/2009 à 23:31
En meme temps l'UAC sa servait pas a grand chose. Parce qu'au bout de quelques mois d'utilisation on ne fait que cliquer sur "autoriser"
Donc si cette liste blanche est criptée comme l'a dit nairod, c'est tant mieux.

Sinon sur la RC j'ai jamais vu l'UAC se declancher.
Avatar de Obligen Obligen - Membre régulier https://www.developpez.com
le 29/09/2009 à 9:23
Tu l'as configuré bizarrement alors, parce qu'il se déclenche à chaque installation de nouveau programme pourtant, et même lorsque Firefox doit exécuter une mise à jour (et donc se modifier lui-même).

Ce comportement me parait normal, mais effectivement on a un peu trop tendance à cliquer sur "accepter" sans regarder, un peu comme avec le firewall sur WinXP. Toutefois, cela rejoint aussi le problème du "sudo" sous Linux. Un compte non-admin prend souvent l'habitude de placer "sudo" à tout bout de champ, tout comme on clique sur "accepter" sur l'UAC.

C'est normal. Pour éviter ça, et renforcer vraiment la sécurité, il faudrait n'utiliser qu'un compte non-admin en permanence (avec interdiction de moyens tels que "sudo" et équivalents). Mais franchement, perso j'installe au moins un programme par jour, sinon plus, parfois juste pour tester, mais le fait est que j'ai besoin d'être admin, car passer d'un compte à l'aurte sans arrêt, c'est vraiment trop peu ergonomique, faut pas déconner.
Avatar de Aurelien.Regat-Barrel Aurelien.Regat-Barrel - Expert éminent https://www.developpez.com
le 29/09/2009 à 9:34
Citation Envoyé par Obligen  Voir le message
mais le fait est que j'ai besoin d'être admin, car passer d'un compte à l'aurte sans arrêt, c'est vraiment trop peu ergonomique, faut pas déconner.

"clic droit -> exécuter en tant que..." ne te satisfait pas ?
Avatar de matpush matpush - Membre averti https://www.developpez.com
le 29/09/2009 à 10:02
Pensez-vous que cette liste blanche puisse entrainer des problèmes de sécurité si un logiciel malveillant parvient à s'introduire dans l'un des exécutables ?

Ce genre de liste est souvent une belle faille :

* Possibilité de modifier la liste
* Possibilité de remplacer un executable ou de le modifier

Je ne suis pas vraiment d'accord.

Modifier l'exécutable, à moins que l'utilisateur le fasse délibérément, est impossible justement car l'UAC empêchera le programme chargé de le faire (à l'insu de l'utilisateur, comme un virus) de s'exécuter et ainsi de modifier la liste ou les programmes de la liste blanche (je ne sais pas si je suis très clair ).
Offres d'emploi IT
Chef projet big data - pse flotte H/F
Safran - Ile de France - Évry (91090)
Ingénieur H/F
Safran - Ile de France - Moissy-Cramayel (77550)
Expert décisionnel business intelligence H/F
Safran - Ile de France - Évry (91090)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Windows