Developpez.com - Rubrique Windows

Le Club des Développeurs et IT Pro

Windows 7 : une liste blanche d'exécutables ignorés par l'UAC

Le 2009-09-28 19:37:06, par shawn12, Expert éminent
Windows 7 : une liste blanche d'exécutables ignorés par l'UAC

Comme la plupart des utilisateurs de Windows 7 l'ont remarqué, la nouvelle version du système d'exploitation de Microsoft a amené une évolution en ce qui concerne la gestion de l'UAC.
Cette fonctionnalité, très controversée, apparue avec Windows Vista, permet de protéger le système en limitant l'accès aux ressources système et en demandant une confirmation pour toute action nécessitant plus de privilèges.

Dans Windows 7, ce système a été assoupli et interroge beaucoup moins l'utilisateur. Pour cela, un certain nombre d'exécutables du système sont placés sur une liste blanche. Les exécutables de cette liste ne déclenchent donc pas d'alerte de l'UAC, même pour effectuer des tâches nécessitant des privilèges élevés.

Voici la liste de ces exécutables :
Code : 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
\Windows\ehome\Mcx2Prov.exe
\Windows\System32\AdapterTroubleshooter.exe
\Windows\System32\appinfo.dll
\Windows\System32\BitLockerWizardElev.exe
\Windows\System32\bthudtask.exe
\Windows\System32\chkntfs.exe
\Windows\System32\cleanmgr.exe
\Windows\System32\cliconfg.exe
\Windows\System32\CompMgmtLauncher.exe
\Windows\System32\ComputerDefaults.exe
\Windows\System32\dccw.exe
\Windows\System32\dcomcnfg.exe
\Windows\System32\DeviceEject.exe
\Windows\System32\DeviceProperties.exe
\Windows\System32\dfrgui.exe
\Windows\System32\djoin.exe
\Windows\System32\eudcedit.exe
\Windows\System32\eventvwr.exe
\Windows\System32\fsquirt.exe
\Windows\System32\FXSUNATD.exe
\Windows\System32\hdwwiz.exe
\Windows\System32\ieUnatt.exe
\Windows\System32\iscsicli.exe
\Windows\System32\iscsicpl.exe
\Windows\System32\lpksetup.exe
\Windows\System32\MdSched.exe
\Windows\System32\msconfig.exe
\Windows\System32\msdt.exe
\Windows\System32\msra.exe
\Windows\System32\MultiDigiMon.exe
\Windows\System32\Netplwiz.exe
\Windows\System32\newdev.exe
\Windows\System32\ntprint.exe
\Windows\System32\ocsetup.exe
\Windows\System32\odbcad32.exe
\Windows\System32\OptionalFeatures.exe
\Windows\System32\perfmon.exe
\Windows\System32\printui.exe
\Windows\System32\rdpshell.exe
\Windows\System32\recdisc.exe
\Windows\System32\rrinstaller.exe
\Windows\System32\rstrui.exe
\Windows\System32\sdbinst.exe
\Windows\System32\sdclt.exe
\Windows\System32\shrpubw.exe
\Windows\System32\slui.exe
\Windows\System32\SndVol.exe
\Windows\System32\spinstall.exe
\Windows\System32\SystemPropertiesAdvanced.exe
\Windows\System32\SystemPropertiesComputerName.exe
\Windows\System32\SystemPropertiesDataExecutionPrevention.exe
\Windows\System32\SystemPropertiesHardware.exe
\Windows\System32\SystemPropertiesPerformance.exe
\Windows\System32\SystemPropertiesProtection.exe
\Windows\System32\SystemPropertiesRemote.exe
\Windows\System32\taskmgr.exe
\Windows\System32\tcmsetup.exe
\Windows\System32\TpmInit.exe
\Windows\System32\verifier.exe
\Windows\System32\wisptis.exe
\Windows\System32\wusa.exe
\Windows\System32\DriverStore\FileRepository\bth.inf_amd64_neutral_a1e8f56d586ec10b\fsquirt.exe
\Windows\System32\oobe\setupsqm.exe
\Windows\System32\sysprep\sysprep.exe
Source : withinwindows.com

Pensez-vous que cette liste blanche puisse entrainer des problèmes de sécurité si un logiciel malveillant parvient à s'introduire dans l'un des exécutables ?
  Discussion forum
6 commentaires
  • kain_tn
    Expert éminent
    Envoyé par shawn12
    Pensez-vous que cette liste blanche puisse entrainer des problèmes de sécurité si un logiciel malveillant parvient à s'introduire dans l'un des exécutables ?
    Il est évident que ce sera le cas, car l'utilisateur lambda va utiliser un compte administrateur pour tout faire.
    le 28/09/2009 à 20:14
  • Nairod.prog
    Membre à l'essai
    Ce genre de liste est souvent une belle faille :
    • Possibilité de modifier la liste
    • Possibilité de remplacer un executable ou de le modifier


    Mais ca doit être protégé par un hash du style j'associe blabla.exe à 28HE21UHE1UI12huZ27hu (en plus compliqué). Donc pour remplacer un éxécutable un faut trouver une collision dans ce hash (très dur mais faisable) ou alors si on trouve le hash (comme pour le key generator de Photoshop) on peut ajouter plein de programmes sur la liste (mais cette liste doit aussi être cripté/hash, ... et ca recommence).

    Donc c'est une sécurité à court terme ce genre de truc selon moi.
    le 28/09/2009 à 22:04
  • adivinenza
    Membre habitué
    En meme temps l'UAC sa servait pas a grand chose. Parce qu'au bout de quelques mois d'utilisation on ne fait que cliquer sur "autoriser"
    Donc si cette liste blanche est criptée comme l'a dit nairod, c'est tant mieux.

    Sinon sur la RC j'ai jamais vu l'UAC se declancher.
    le 28/09/2009 à 23:31
  • Obligen
    Membre habitué
    Tu l'as configuré bizarrement alors, parce qu'il se déclenche à chaque installation de nouveau programme pourtant, et même lorsque Firefox doit exécuter une mise à jour (et donc se modifier lui-même).

    Ce comportement me parait normal, mais effectivement on a un peu trop tendance à cliquer sur "accepter" sans regarder, un peu comme avec le firewall sur WinXP. Toutefois, cela rejoint aussi le problème du "sudo" sous Linux. Un compte non-admin prend souvent l'habitude de placer "sudo" à tout bout de champ, tout comme on clique sur "accepter" sur l'UAC.

    C'est normal. Pour éviter ça, et renforcer vraiment la sécurité, il faudrait n'utiliser qu'un compte non-admin en permanence (avec interdiction de moyens tels que "sudo" et équivalents). Mais franchement, perso j'installe au moins un programme par jour, sinon plus, parfois juste pour tester, mais le fait est que j'ai besoin d'être admin, car passer d'un compte à l'aurte sans arrêt, c'est vraiment trop peu ergonomique, faut pas déconner.
    le 29/09/2009 à 9:23
  • Aurelien.Regat-Barrel
    Expert éminent sénior
    Envoyé par Obligen
    mais le fait est que j'ai besoin d'être admin, car passer d'un compte à l'aurte sans arrêt, c'est vraiment trop peu ergonomique, faut pas déconner.
    "clic droit -> exécuter en tant que..." ne te satisfait pas ?
    le 29/09/2009 à 9:34
  • matpush
    Membre averti
    Pensez-vous que cette liste blanche puisse entrainer des problèmes de sécurité si un logiciel malveillant parvient à s'introduire dans l'un des exécutables ?

    Ce genre de liste est souvent une belle faille :

    * Possibilité de modifier la liste
    * Possibilité de remplacer un executable ou de le modifier
    Je ne suis pas vraiment d'accord.

    Modifier l'exécutable, à moins que l'utilisateur le fasse délibérément, est impossible justement car l'UAC empêchera le programme chargé de le faire (à l'insu de l'utilisateur, comme un virus) de s'exécuter et ainsi de modifier la liste ou les programmes de la liste blanche (je ne sais pas si je suis très clair ).
    le 29/09/2009 à 10:02
  Poster une réponse