Les différents niveaux du Contrôle de Compte Utilisateur (UAC) sous Windows 7

De nos jours, hélas, certains logiciels malveillants arrivent à contourner cette défense en désactivant UAC, soit parce que le Malware s’exécute avec une élévation de privilèges (exploit dans un service avec un accès administrateur) soit parce que l’utilisateur a lui-même cliqué sur Oui à la demande d’autorisation de l’UAC.

De nouvelles variantes du virus Sality, des rootkits Alureon/TDL, de rogues tel que FakePAV, des vers Autorun, des trojans bancaires Bancos, le ver Rorpian, ont cette particularité de désactiver UAC.

Les éditeurs d’antivirus ont du intégrer une surveillance des comportements de tout logiciel qui manipule les paramètres de l’UAC. C’est le cas par exemple de Microsoft Security Essentials.

Une étude du Microsoft Malware Protection Center a démontré que si certaines attaques réussissent à contourner l’UAC, d’autres ont un taux de réussite nettement diminué quand l’UAC est activé.

L’UAC représente donc une mesure supplémentaire pour améliorer la sécurité du système, le laisser activé est fortement recommandé.

Dans le cas d’une demande d’autorisation UAC imprévue apparaît, toujours vérifier quelle application la demande en cliquant sur Afficher les détails et dans le doute, cliquer sur Non

Source : Microsoft Malware Protection Center (article de Joe Faulhaber)

]]> http://www.chantal11.com/2011/08/uac-controle-de-compte-utilisateur-mesure-securite-supplementaire-contre-malwares/feed/ 1 http://www.chantal11.com/2011/07/uac-pass-autoriser-uac-pour-programme-sans-desactiver-controle-compte-utilisateur/ http://www.chantal11.com/2011/07/uac-pass-autoriser-uac-pour-programme-sans-desactiver-controle-compte-utilisateur/#comments Fri, 29 Jul 2011 15:43:32 +0000 chantal11 http://www.chantal11.com/?p=3772 UAC Pass de AvvA permet de créer un raccourci pour une application qui sera alors lancée avec les droits d’administration et sans demande de l’UAC (Contrôle de Compte Utilisateur).

Les atouts de UAC Pass :

• Le contrôle de compte d’utilisateur (UAC) reste actif

• Les demandes de l’UAC pour les programmes choisis ne sont plus à valider

• Un simple drag & drop facilite la procédure

1. Glisser une application ou un raccourci vers cette application sur uacpass.exe
2. Accepter l’UAC (une dernière fois),
3. Un raccourci est créé sur le bureau, l’application se lancera désormais avec les droits d’administration sans demande de l’UAC.

***Télécharger UAC Pass de AvvA***

Mise à jour version 1.5 – 11/11/2011

Les programmes dédouanés s’exécuteront avec tous les droits, donc avec un accès privilégié au système. Il convient alors d’éviter de dédouaner des logiciels se connectant à des services en ligne auxquels vous ne faites pas confiance.

Le site de l’auteur : UAC Pass | freeAvvArea

Cette astuce fonctionne aussi bien sous Windows 7 que sous Windows Vista.

Pour illustrer ce tutorial, on va créer un raccourci pour le programme Malwarebytes’ Anti-Malware, qui s’exécutera donc directement avec l’élévation de privilèges, sans qu’aucune demande de l’UAC ne soit à valider.

Créer une nouvelle tâche :

Dans Démarrer , Rechercher, taper taskschd.msc et valider par Entrée.

Le Planificateur de tâches s’ouvre. Dans le volet de droite, cliquer sur Créer une tâche

Dans l’onglet Général, taper dans le cadre Nom Malwarebytes et cocher la case Exécuter avec les autorisations maximales

Dans l’onglet Actions, cliquer sur le bouton Nouveau

La fenêtre Nouvelle action s’ouvre.
Dans Action, sélectionner Démarrer un programme et cliquer sur Parcourir

Rechercher l’exécutable du programme (mbam.exe dans notre exemple).
Cliquer sur le fichier .exe

La rubrique Programme/script est renseignée, cliquer sur OK

L’action de la nouvelle tâche est créée, cliquer sur OK

La nouvelle tâche nommée Malwarebytes apparaît dans la Bibliothèque du Planificateur de tâches

Refermer le Planificateur de tâches.

Créer un raccourci pour exécuter la tâche :

D’un clic-droit sur le Bureau, sélectionner Nouveau, puis Raccourci

Dans l’emplacement de l’élément, taper
schtasks /run /tn nom-tâche

Dans notre exemple, il faudra taper
schtasks /run /tn Malwarebytes

Cliquer sur Suivant

Entrer le nom
Malwarebytes (dans notre exemple) et cliquer sur Terminer

Un nouveau raccourci Malwarebytes apparaît sur le Bureau

D’un clic-droit sur ce raccourci, sélectionner Propriétés.
Dans l’onglet Raccourci, cliquer sur Changer d’icône

Un message précise que le fichier ne contient aucune icône, cliquer sur OK

Dans la fenêtre Changer d’icône, cliquer sur Parcourir

Rechercher l’exécutable du programme (mbam.exe dans notre exemple).
Cliquer sur le fichier .exe

Choisir l’icône désirée et cliquer sur OK

L’icône choisie s’affiche dans l’onglet Raccourci

Cliquer sur OK

Désormais en cliquant sur ce raccourci, le Programme va s’exécuter avec élévation de privilèges, sans avoir à approuver l’UAC, puisque la tâche créée permet au programme de s’exécuter en tant qu’administrateur.

Le niveau par défaut dans Windows 7 avait été signalé comme non sécurisé, puisque ce niveau pouvait permettre à des programmes malveillants d’obtenir une élévation de privilèges.

Un article de Mark Russinovich semble indiquer que Microsoft ne corrigera pas ce niveau par défaut dans la version finale de Windows 7.

La seule alternative, sera donc d’élever manuellement le curseur de l’UAC à son niveau le plus élevé. Ce niveau 4 désactive l’auto-élévation et supprime complètement la menace.

Mark Russinovich explique que même avec l’UAC réglé sur le niveau par défaut, Windows 7 reste très sécurisé :

Windows a beaucoup de défense en profondeur, notamment les Data Execution Prevention (DEP), Address Space Load Randomization (ASLR), le mode protégé d’IE, IE 8 SmartScreen Filter, Windows Defender et qui aident à empêcher les logiciels malveillants de pénétrer sur le système et en cours d’exécution.

Il ajoute que auto-élévation ou pas, un programme malveillant peut s’introduire en utilisant la technique d’injection de code :

Plusieurs personnes ont fait observer qu’il est possible pour les logiciels tiers fonctionnant dans un compte à la norme PA droits de l’utilisateur de prendre avantage de l’auto-élévation à acquérir des droits d’administration. Par exemple, le logiciel peut utiliser l’API WriteProcessMemory pour injecter un code dans l’explorateur et l’API CreateRemoteThread pour exécuter ce code, une technique d’injection de DLL.

Étant donné que le code s’exécute dans Explorer, qui est un exécutable Windows, il peut atteindre les objets COM qui sont en auto-élévation, comme le Copier / Déplacer / renommer / supprimer / Object Link, pour modifier les clés de registre ou de répertoires et de donner au logiciel l’administration des droits.

Toutefois, ces étapes, qui exigent une intention délibérée, ne sont pas négligeables, et ne sont donc pas quelque chose que nous estimons légitimes, les développeurs optant, pour la fixation de leur opposition à fonctionner avec le logiciel standard de droits d’utilisateur. En fait, nous recommandons à tout développeur d’applications de prendre une dépendance à l’égard de l’élévation de comportement dans le système et de tester leurs logiciels en mode utilisateur standard.

Le suivi de l’observation est que les logiciels malveillants pourraient acquérir des droits d’administration en utilisant les mêmes techniques. Encore une fois, c’est vrai, mais comme je l’ai souligné précédemment, les logiciels malveillants peuvent compromettre le système via une invitation d’élévations ainsi.

Du point de vue des logiciels malveillants, le niveau par défaut de l’UAC dans Windows 7 n’est pas plus ou moins sûr que le mode de l’UAC sous Vista, et les logiciels malveillants qui supposent des droits d’administration seront aussi bloqués par le niveau par défaut sous Windows 7.

Mark Russinovich continue en affirmant que l’UAC ne devrait pas être considéré comme une barrière de sécurité.

Affirmation qui a amené Rafael Rivera, à poser, dans son Blog, une question à un million de dollars  :

Si, en fin de compte, l’UAC n’a pas été conçu pour nous protéger de quelque chose, pourquoi est-ce que l’icône ressemble à un damné bouclier?

Rappel important : Le contrôle de compte d’utilisateur est un nouvel ensemble de technologies d’infrastructure de cette version de Windows, qui contribue à éviter que des programmes malveillants, parfois appelés « malware », n’endommagent un système, tout en aidant également les organisations à déployer un Bureau mieux géré.

Avec le contrôle de compte d’utilisateur, les applications et les tâches sont toujours exécutées dans le contexte de sécurité d’un compte non administrateur, à moins qu’un administrateur n’autorise expressément un accès de niveau administrateur au système. Le contrôle de compte d’utilisateur interrompt l’installation automatique des applications non autorisées et empêche les modifications accidentelles des paramètres système.

D’un clic-droit sur le Bureau, sélectionner Nouveau, puis Raccourci

L’assistant Créer un raccourci s’ouvre.

Raccourci Désactiver UAC :

Dans Entrez l’emplacement de l’élément, copier-coller :

C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

Cliquer sur Suivant

Nommer le raccourci Désactiver UAC ou le nom de votre choix et cliquer sur Terminer

Le nouveau raccourci Désactiver UAC apparaît sur le Bureau

Raccourci Activer UAC :

Dans Entrez l’emplacement de l’élément, copier-coller :

C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f

Cliquer sur Suivant

Nommer le raccourci Activer UAC ou le nom de votre choix et cliquer sur Terminer

Le nouveau raccourci Activer UAC apparaît sur le Bureau

Utilisation des raccourcis Désactiver UAC et Activer UAC :

D’un clic-droit sur le raccourci Désactiver UAC, sélectionner Exécuter en tant qu’administrateur

Un message de réussite apparaît dans l’Invite de commandes

Sous Seven, un message du Centre de Maintenance signale qu’un redémarrage est nécessaire.

Cliquer sur le message pour redémarrer l’ordinateur

Sous Vista, redémarrer directement le PC.

Pour ré-activer le Contrôle de Compte d’Utilisateur, la même procédure clic-droit -> Exécuter en tant qu’administrateur sur le raccourci Activer UAC déclenchera le message de réussite.

Redémarrer le PC afin que les modifications prennent effet.

L’UAC simplifié et ses conséquences

Alors même que l’UAC avait été tant décrié, c’est une véritable levée de boucliers qui s’est manifestée devant le choix initial de Microsoft. Ce dernier a provoqué l’apparition de deux problèmes :

1. Le niveau de réglage de l’UAC (réparti sur quatre crans) pouvait être modifié par un malware sans qu’une confirmation soit demandée
2. Un plug-in tiers pouvait se servir d’un logiciel ou composant de Windows, reconnu comme sûr, pour élever ses droits à un niveau administrateur

Après la découverte de ces problèmes, de très nombreuses demandes ont été formulées à Microsoft. La simplification de l’utilisation de Windows 7 était certes une volonté, mais beaucoup ont trouvé que cela ne devait pas se faire au détriment de la sécurité.

Retour de la confirmation par l’utilisateur

En conséquence, Steve Sinofsky, responsable du développement de Windows, et Jon DeVann, ont publié un nouveau billet sur le blog officiel de Windows 7. On y apprend que la Release Candidate du système sera pourvue de deux changements importants :

1. Le contrôle de l’UAC deviendra un processus de haute intégrité
2. Changer le niveau de contrôle de l’UAC demandera une confirmation

Deux modifications qui changent la donne évidemment. La première permettra à l’UAC de devenir un processus de haute intégrité. Traduction : tout accès au contrôle de l’UAC réclamera une élévation des privilèges, et donc une confirmation par l’utilisateur. La seconde réclamera également une confirmation si le niveau de réglage est changé, ceci pour éviter qu’une modification silencieuse ne soit appliquée.

Un problème s’en va, l’autre reste

Ces changements vont à l’encontre du réglage par défaut de l’UAC qui est d’avertir les utilisateurs pour une installation de logiciel, mais pas dans le cas d’une modification d’un réglage par l’utilisateur. Ces réglages ne sont valables que pour le premier compte créé après l’installation du système et qui possède un profil administrateur. Avec la Release Candidate, même ces comptes se verront réclamer des confirmations par l’UAC en cas de modification du réglage.

Les décisions de Microsoft ne changeront par contre pas le niveau de sécurité de l’UAC dans tous les autres comptes classiques créés sur le système. En effet, les autres comptes normaux, et donc utilisateurs, disposent d’un UAC réglé au maximum. Le contrôle agit alors comme sous Vista, et demande des confirmations pour les installations de logiciels et les modifications de paramètres (comme une écriture dans la base de registre).

En l’état actuel, les choix de Microsoft annulent le premier problème, mais pas le second. Le fait qu’un plug-in tiers puisse élever ses privilèges via un composant de Windows n’est pas influencé par l’UAC. Il faudra attendre une autre communication de l’éditeur sur ce sujet.

PCInpact

Depuis qu’un problème a été trouvé dans l’implémentation de l’UAC dans Windows 7, beaucoup de choses ont été dites, du vrai comme du beaucoup moins vrai. L’UAC est le système qui, dans Vista, permet de renforcer le cloisonnement des comptes utilisateurs. Très impopulaire à ses débuts, son comportement a été sérieusement allégé avec le Service Pack 1. Cependant, Microsoft a sans doute souhaité pousser un peu trop le désir de simplifier la vie de ses utilisateurs et a laissé des opportunités à certains développeurs malveillants.

Sous Vista, le comportement de l’UAC est clair : demander une confirmation pour l’installation des logiciels et les modifications importantes de paramètres, notamment dans la base de registre. L’écran noircit et une fenêtre apparaît pour demander à l’utilisateur de confirmer ou de refuser l’action. Aucun moyen de tricher pour un malware ou même une application classique : seules les actions manuelles sur la souris et le clavier sont prises en compte.

Cet espace sécurisé est repris pour Windows 7, mais Microsoft a introduit une échelle pour graduer les alertes de l’UAC. Après l’installation du système, le premier compte créé est en Administrateur par défaut. Pour ce type de compte, l’échelle est sur le troisième cran, ce qui signifie que l’UAC demande la confirmation pour les installations de logiciels, mais pas pour les modifications de paramètres.

Or, plusieurs observateurs se sont rendu compte qu’il était possible pour une application de changer les paramètres de l’UAC sans que celui-ci ne se manifeste. Normal : c’est son comportement par défaut. Mais ce comportement par défaut n’est valable que pour le compte Administrateur. Tous les autres comptes Utilisateurs créés sont réglés au maximum, autrement dit le même comportement que sous Vista.

Ce changement de politique pour l’UAC entraîne malheureusement un autre problème. Les applications et composants internes à Windows sont signés et sont reconnus comme aptes à élever silencieusement leur niveau de privilège pour exécuter des actions. En temps normal, pas de problème. Sauf que ces applications et composants peuvent utiliser des modules, comme des plug-ins et extensions, provenant de sources tierces.

Et comme on s’en doute, il peut arriver que le module tiers en question, par l’intermédiaire d’une application dite de confiance, puisse élever ses privilèges pour réaliser des actions, et ce, sans être ennuyé par l’UAC évidemment. Il s’agit d’un second défaut dans le plan de Microsoft concernant l’UAC, mais il découle en fait directement du premier.

On ne peut pas parler de faille ni de vulnérabilité car la fonction a été expressément écrite de cette manière. On peut se demander toutefois ce qui a pu passer par la tête de la firme pour ne pas penser à ce cas de figure. Car maintenant qu’il est concret, beaucoup ont demandé des explications à l’éditeur, qui a répondu pour le moment que c’était « normal ».

Cela étant, personne n’imagine que le comportement de l’UAC restera tel quel. Maintenant que ces problèmes sont soulevés et que la marche à suivre pour les auteurs de malwares est donnée, il est impossible que Microsoft ne réagisse pas. Il se murmure d’ailleurs que la société devrait réagir officiellement dans les prochains jours pour s’exprimer clairement sur le sujet.

PCInpact

Niveau maximum = Sécurité maximum

Le panneau de configuration permet effectivement de paramétrer la manière dont se comporte l’UAC. Par défaut, ce dernier ne se manifeste plus lorsque l’utilisateur, ou un logiciel malveillant en l’occurrence, tente de modifier les paramètres de Windows. Il se déclenche en revanche pour ce type de modifications sous Windows Vista.

Un simple script Visual Basic suffirait ainsi à le désactiver, ouvrant la porte à d’autres intrusions dans le système d’exploitation. Windows n’est effectivement pas capable de différencier une action réellement effectuée par l’utilisateur d’une action automatiquement programmée. C’est d’ailleurs la raison pour laquelle l’UAC s’exécute dans un environnement dit sécurisé, bloquant théoriquement l’interaction avec d’autres applications.

Rafael Rivera, l’un des testeurs qui a découvert cette faille, a publié sur son blog un script de 14 lignes permettant de désactiver silencieusement l’User Account Control. Quelques lignes supplémentaires suffiraient à lancer un logiciel malveillant. Cette vulnérabilité serait en fait une fonctionnalité by design découlant de la manière dont le système est conçu et de la volonté de rendre l’UAC moins intrusif, à en croire les réponses des équipes de Microsoft sur les forums de la rubrique Connect, réservée aux testeurs de Windows 7. Il n’est donc pas prévu qu’il soit corrigé dans la version finale.

Trois solutions existent : paramétrer l’UAC à son niveau maximal, le rendant aussi envahissant qu’il ne l’est sous Vista, utiliser son ordinateur avec un compte utilisateur n’ayant pas les droits d’administrateur, ou encore faire attention aux logiciels qu’on se procure.

Clubic

Sécurité : Plusieurs sources expliquent que Windows 7 est programmé de telle façon qu’il est très facile de créer une application qui désactive l’UAC sans l’autorisation ou même l’intervention de l’utilisateur.

UAC et Vista

Pour rappel, l’UAC (User Account Control) est un dispositif qui alerte l’utilisateur lorsqu’une opération en cours peut potentiellement mettre le système en danger. C’est un moyen offert à l’utilisateur d’arrêter le démarrage d’un virus avant qu’il ne soit trop tard, par exemple.

L’UAC de Vista avait été extrêmement critiqué, car il était trop présent. Il lancait trop de messages d’alerte et au final, l’utilisateur les ignorait ou il désactivait l’UAC tout simplement. Nous savons que Microsoft a tenté de pallier ce problème avec Windows 7 en proposant un UAC qui interpelle moins souvent l’utilisateur. Le problème est que la configuration actuelle de l’UAC le rend susceptible d’être désactivé par un virus sans que l’utilisateur soit alerté.

UAC vulnérable par défaut !

Comment cela est-il possible ? Par défaut, l’UAC est configuré pour alerter l’utilisateur d’un changement un programme tiers tente de modifier les paramètres de l’ordinateur, mais ne donne pas d’avertissement si l’utilisateur ne fait que modifier les paramètres de Windows. En effet, les modules Windows sont certifiés et peuvent donc changer les paramètres de l’ordinateur sans pour autant entraîner l’apparition d’un message d’avertissement. Or il est possible qu’un programme externe passe par un module de Windows pour désactiver totalement l’UAC.

Ce défaut est intéressant, car Microsoft a reconnu ce problème sur la plateforme recueillant les feedbacks portant sur Windows 7. L’éditeur de logiciel affirme néanmoins que ce n’est pas un bug, mais que cela fait partie du design de l’UAC de 7.  Cela signifie donc que ce problème ne sera pas en principe corrigé sur la version définitive du système d’exploitation.

Un avertissement pour Microsoft

Il faut noter une chose qui nous semble importante. Il est très commun, lorsqu’un système d’exploitation est sur le point de sortir, que des éditeurs d’antivirus crient au loup afin de gonfler leurs ventes. Or, en l’espèce, il s’agit d’un cas particulier. L’auteur de l’alerte ne semble pas être affilié à une firme vendant un logiciel ou un service pour Windows et il propose un fichier servant de proof-of-concept, qui vient désactiver l’UAC de Windows 7 sans générer de message d’alerte.

Désactiver l’UAC permettrait à un programme malveillant de placer tout une série de virus à l’insu de l’utilisateur, comme le montre le fichier de démonstration. Il existe néanmoins une parade dans le cas où Microsoft ne souhaiterait pas changer de politique. Il est possible de forcer l’UAC à lancer un avertissement en mode Secure Desktop. On peut aussi rehausser le niveau de sécurité de l’UAC pour qu’il avertisse l’utilisateur de tout ce qui se passe. On peut néanmoins se demander si cette dernière mesure est réellement plus sure. En effet, trop d’avertissements tuent l’avertissement et l’utilisateur fatigué des avertissements pourrait cliquer oui sans se rendre compte qu’il est sur le point d’ouvrir la boîte de Pandore.

presence-pc

Contrairement à Windows Vista, où l’UAC ne pouvait qu’être activé ou désactivé, le contrôle de compte d’utilisateur dans Windows 7 est modulable, avec 4 niveaux de sécurité.

Dans Panneau de configuration , puis Comptes et Protection utilisateurs, cliquer sur Comptes d’Utilisateurs.

Cliquer sur Modifier les paramètres de Contrôle ce Compte d’Utilisateur

◊ Par défaut, le niveau de contrôle de compte d’utilisateur est réglé au niveau 3, niveau de sécurité moyen

Des notifications quand des programmes entraînent des modifications au système, mais pas de notifications pour des modifications faites par l’utilisateur Administrateur.

Niveau recommandé pour l’utilisation de programmes et la visite de sites web que l’on connaît.

Le Bureau est sécurisé, on n’a que le choix d’accepter ou refuser la notification, mais on ne peut rien faire d’autre, tout est figé.

◊ Le niveau 2 : les mêmes notifications qu’au niveau 3, mais moins sécurisé

Le Bureau n’est absolument pas protégé.Quand la fenêtre de la notification apparaît, tout est accessible, le Bureau ne se fige pas, et un programme malveillant pourrait alors interférer.

◊ Le niveau 1 : le moins sécurisé, aucune notification n’apparaîtra

Tout programme quelqu’il soit aura accès au coeur du système, avec les mêmes droits que l’utilisateur (Lecture et Ecriture) et pourra communiquer et transférer des informations …. le système est à la merci de tout programme malveillant.

◊ Le niveau 4 : sécurité maximum

Les notifications apparaissent pour chaque modification faite sur le système par un programme ou l’utilisateur.

Niveau recommandé pour un utilisateur qui teste souvent des nouveaux programmes et qui visite des sites qu’il ne connaît pas.

Le système est totalement sécurisé, aucun programme malveillant ne pourra interférer sur le système sans l’accord de l’utilisateur.

pour lancer un programme en mode Administrateur dans la Barre des tâches :Ctrl + Maj tout en cliquant dessus