Windows 7 : une liste blanche d'exécutables ignorés par l'UAC
Le 2009-09-28 19:37:06, par shawn12, Expert éminent
Windows 7 : une liste blanche d'exécutables ignorés par l'UAC
Comme la plupart des utilisateurs de Windows 7 l'ont remarqué, la nouvelle version du système d'exploitation de Microsoft a amené une évolution en ce qui concerne la gestion de l'UAC.
Cette fonctionnalité, très controversée, apparue avec Windows Vista, permet de protéger le système en limitant l'accès aux ressources système et en demandant une confirmation pour toute action nécessitant plus de privilèges.
Dans Windows 7, ce système a été assoupli et interroge beaucoup moins l'utilisateur. Pour cela, un certain nombre d'exécutables du système sont placés sur une liste blanche. Les exécutables de cette liste ne déclenchent donc pas d'alerte de l'UAC, même pour effectuer des tâches nécessitant des privilèges élevés.
Voici la liste de ces exécutables :
Source : withinwindows.com
Pensez-vous que cette liste blanche puisse entrainer des problèmes de sécurité si un logiciel malveillant parvient à s'introduire dans l'un des exécutables ?
Comme la plupart des utilisateurs de Windows 7 l'ont remarqué, la nouvelle version du système d'exploitation de Microsoft a amené une évolution en ce qui concerne la gestion de l'UAC.
Cette fonctionnalité, très controversée, apparue avec Windows Vista, permet de protéger le système en limitant l'accès aux ressources système et en demandant une confirmation pour toute action nécessitant plus de privilèges.
Dans Windows 7, ce système a été assoupli et interroge beaucoup moins l'utilisateur. Pour cela, un certain nombre d'exécutables du système sont placés sur une liste blanche. Les exécutables de cette liste ne déclenchent donc pas d'alerte de l'UAC, même pour effectuer des tâches nécessitant des privilèges élevés.
Voici la liste de ces exécutables :
Code : |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 | \Windows\ehome\Mcx2Prov.exe \Windows\System32\AdapterTroubleshooter.exe \Windows\System32\appinfo.dll \Windows\System32\BitLockerWizardElev.exe \Windows\System32\bthudtask.exe \Windows\System32\chkntfs.exe \Windows\System32\cleanmgr.exe \Windows\System32\cliconfg.exe \Windows\System32\CompMgmtLauncher.exe \Windows\System32\ComputerDefaults.exe \Windows\System32\dccw.exe \Windows\System32\dcomcnfg.exe \Windows\System32\DeviceEject.exe \Windows\System32\DeviceProperties.exe \Windows\System32\dfrgui.exe \Windows\System32\djoin.exe \Windows\System32\eudcedit.exe \Windows\System32\eventvwr.exe \Windows\System32\fsquirt.exe \Windows\System32\FXSUNATD.exe \Windows\System32\hdwwiz.exe \Windows\System32\ieUnatt.exe \Windows\System32\iscsicli.exe \Windows\System32\iscsicpl.exe \Windows\System32\lpksetup.exe \Windows\System32\MdSched.exe \Windows\System32\msconfig.exe \Windows\System32\msdt.exe \Windows\System32\msra.exe \Windows\System32\MultiDigiMon.exe \Windows\System32\Netplwiz.exe \Windows\System32\newdev.exe \Windows\System32\ntprint.exe \Windows\System32\ocsetup.exe \Windows\System32\odbcad32.exe \Windows\System32\OptionalFeatures.exe \Windows\System32\perfmon.exe \Windows\System32\printui.exe \Windows\System32\rdpshell.exe \Windows\System32\recdisc.exe \Windows\System32\rrinstaller.exe \Windows\System32\rstrui.exe \Windows\System32\sdbinst.exe \Windows\System32\sdclt.exe \Windows\System32\shrpubw.exe \Windows\System32\slui.exe \Windows\System32\SndVol.exe \Windows\System32\spinstall.exe \Windows\System32\SystemPropertiesAdvanced.exe \Windows\System32\SystemPropertiesComputerName.exe \Windows\System32\SystemPropertiesDataExecutionPrevention.exe \Windows\System32\SystemPropertiesHardware.exe \Windows\System32\SystemPropertiesPerformance.exe \Windows\System32\SystemPropertiesProtection.exe \Windows\System32\SystemPropertiesRemote.exe \Windows\System32\taskmgr.exe \Windows\System32\tcmsetup.exe \Windows\System32\TpmInit.exe \Windows\System32\verifier.exe \Windows\System32\wisptis.exe \Windows\System32\wusa.exe \Windows\System32\DriverStore\FileRepository\bth.inf_amd64_neutral_a1e8f56d586ec10b\fsquirt.exe \Windows\System32\oobe\setupsqm.exe \Windows\System32\sysprep\sysprep.exe |
Pensez-vous que cette liste blanche puisse entrainer des problèmes de sécurité si un logiciel malveillant parvient à s'introduire dans l'un des exécutables ?
-
kain_tnExpert éminentIl est évident que ce sera le cas, car l'utilisateur lambda va utiliser un compte administrateur pour tout faire.le 28/09/2009 à 20:14
-
Nairod.progMembre à l'essaiCe genre de liste est souvent une belle faille :
- Possibilité de modifier la liste
- Possibilité de remplacer un executable ou de le modifier
Mais ca doit être protégé par un hash du style j'associe blabla.exe à 28HE21UHE1UI12huZ27hu (en plus compliqué). Donc pour remplacer un éxécutable un faut trouver une collision dans ce hash (très dur mais faisable) ou alors si on trouve le hash (comme pour le key generator de Photoshop) on peut ajouter plein de programmes sur la liste (mais cette liste doit aussi être cripté/hash, ... et ca recommence).
Donc c'est une sécurité à court terme ce genre de truc selon moi.le 28/09/2009 à 22:04 -
adivinenzaMembre habituéEn meme temps l'UAC sa servait pas a grand chose. Parce qu'au bout de quelques mois d'utilisation on ne fait que cliquer sur "autoriser"
Donc si cette liste blanche est criptée comme l'a dit nairod, c'est tant mieux.
Sinon sur la RC j'ai jamais vu l'UAC se declancher.le 28/09/2009 à 23:31 -
ObligenMembre habituéTu l'as configuré bizarrement alors, parce qu'il se déclenche à chaque installation de nouveau programme pourtant, et même lorsque Firefox doit exécuter une mise à jour (et donc se modifier lui-même).
Ce comportement me parait normal, mais effectivement on a un peu trop tendance à cliquer sur "accepter" sans regarder, un peu comme avec le firewall sur WinXP. Toutefois, cela rejoint aussi le problème du "sudo" sous Linux. Un compte non-admin prend souvent l'habitude de placer "sudo" à tout bout de champ, tout comme on clique sur "accepter" sur l'UAC.
C'est normal. Pour éviter ça, et renforcer vraiment la sécurité, il faudrait n'utiliser qu'un compte non-admin en permanence (avec interdiction de moyens tels que "sudo" et équivalents). Mais franchement, perso j'installe au moins un programme par jour, sinon plus, parfois juste pour tester, mais le fait est que j'ai besoin d'être admin, car passer d'un compte à l'aurte sans arrêt, c'est vraiment trop peu ergonomique, faut pas déconner.le 29/09/2009 à 9:23 -
Aurelien.Regat-BarrelExpert éminent séniorle 29/09/2009 à 9:34
-
matpushMembre avertiPensez-vous que cette liste blanche puisse entrainer des problèmes de sécurité si un logiciel malveillant parvient à s'introduire dans l'un des exécutables ?
Ce genre de liste est souvent une belle faille :
* Possibilité de modifier la liste
* Possibilité de remplacer un executable ou de le modifier
Modifier l'exécutable, à moins que l'utilisateur le fasse délibérément, est impossible justement car l'UAC empêchera le programme chargé de le faire (à l'insu de l'utilisateur, comme un virus) de s'exécuter et ainsi de modifier la liste ou les programmes de la liste blanche (je ne sais pas si je suis très clair). le 29/09/2009 à 10:02