1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    584
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 584
    Points : 19 857
    Points
    19 857

    Par défaut Un chercheur trouve un moyen de contourner « Controlled Folder Access »

    Un chercheur trouve un moyen de contourner « Controlled Folder Access »
    Une protection antirancongiciel intégrée à Windows Defender

    Un chercheur en sécurité a trouvé un moyen de contourner « Controlled Folder Access », une fonctionnalité de Windows Defender présentée pour la première fois au public au mois de juillet dans le cadre du programme Insider. Microsoft a présenté la fonctionnalité comme une protection contre les menaces de type ransomware.

    Les utilisateurs qui ont migré vers la Fall Creators Update ont en principe reçu une mise à jour qui installe la fonctionnalité au sein de Windows Defender. Elle permet d’empêcher toute modification de fichiers contenus dans des répertoires désignés. L’utilisateur est responsable de la prise en charge manuelle des configurations nécessaires pour donner l’autorisation à une application d’accéder à des fichiers contenus dans l’espace protégé. À cet effet, ce dernier est muni d’une liste d’exclusion que l’on peut configurer au travers d’une interface similaire à celle qui suit.

    Nom : CFA.jpg
Affichages : 3611
Taille : 48,0 Ko

    La firme de Redmond précise que les logiciels que Microsoft ne considère pas comme un danger sont automatiquement ajoutés à la liste d’exclusions. C’est donc sans surprise que les applications de la suite Office s’y retrouvent. Yago Jesus de la firme SecurityByDefault a fait le même constat et s’appuie sur ce dernier pour pointer du doigt une faille dans la protection antirançongiciel.

    Le chercheur explique qu’il suffit d’invoquer un programme de la suite Office comme objet OLE pour contourner la protection. « L’accès est autorisé même si un attaquant se sert d’objets OLE/COM pour piloter des exécutables par voie de programme. Ainsi, un développeur de rançongiciels peut adapter son logiciel pour tirer profit des objets OLE afin de modifier, supprimer ou chiffrer des fichiers en toute furtivité », explique-t-il. Yago a publié un exemple de code Python utilisé pour atteindre cet objectif.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    import win32com.client
    filetoberansom = r'C:/Users/YJ/Documents/test.docx'
    word = win32com.client.Dispatch("Word.Application")
    word.visible = 0
    doc = word.Documents.Open(filetoberansom)
    word.Documents.Item(1).Password= '12345678'
    word.Documents.Item(1).Save()
    word.Documents.Item(1).Close()
    word.Application.Quit()
    Microsoft a été notifiée en date du 23 janvier par le chercheur qui a profité pour faire des propositions de correction de la vulnérabilité. Si l’on s’appuie sur les développements du chercheur en sécurité, il vient que le schéma d’exploitation le plus évident de la vulnérabilité requiert un accès au poste cible ; condition pas évidente à réaliser. Il devient plus aisé de comprendre la réaction de la firme de Redmond qui, en date du 31 janvier 2018, a rétorqué au chercheur qu’elle ne considère pas vraiment sa trouvaille comme une faille à proprement parler. Microsoft a néanmoins promis d’apporter des améliorations à son conteneur sécurisé.

    Source

    Billet Yago Jesus

    Votre opinion

    Quel commentaire faites-vous du positionnement de Microsoft dans ce cas ?

    Voir aussi

    Windows : une faille zero-day supposée affecter toutes les versions de l'OS, de Windows 2000 à Windows 10 est en vente à 90 000 dollars US
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    MikeRowSoft
    Invité(e)

    Par défaut

    .bat existera toujours...

  3. #3
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 521
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 521
    Points : 6 762
    Points
    6 762

    Par défaut

    Citation Envoyé par Patrick Ruiz Voir le message
    Un chercheur trouve un moyen de contourner « Controlled Folder Access »
    non sans dec ?? alors ça, ça me troue l'oignon ma bonne dame
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  4. #4
    Membre averti
    Homme Profil pro
    Développeur .NET
    Inscrit en
    janvier 2011
    Messages
    153
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : janvier 2011
    Messages : 153
    Points : 334
    Points
    334

    Par défaut

    Citation Envoyé par MikeRowSoft Voir le message
    .bat existera toujours...
    Quel est le rapport avec l'actualité ?

  5. #5
    MikeRowSoft
    Invité(e)

    Par défaut

    Cela n'affecte normalement que le compte de l'utilisateur.
    En plus en voyant le script ainsi écrit, je me suis dis que DOS était belle et bien présent sous Windows NT...

    Le panneau de configuration en question prend état de tous le PC et pour tous les utilisateurs. Encore un bogue de modèle si il n'y a pas exclusivement un seul utilisateur...
    Tu peux essayer avec l'ouverture de session, verrouille ton compte, ouvre en un autre pour lequel la chose affiché à l'écran de verrouillage n'est pas la même. Normalement la dernière session fermé (utilisateur) devrait l'emporté sur la session administrateur (la précédente)...

    Profité pour savoir les bogues et défauts en tout genre, j'ai que cela à faire ici...

    Windows 8.1 en a vraiment la palme et je comprend pourquoi le passage vers Windows 10 a été proposé gratuitement et aurait même du être mis sur le Windows Store en illimité comme le correctif vers Windows 8.1...
    Dernière modification par MikeRowSoft ; 08/02/2018 à 19h23.

  6. #6
    Membre averti
    Homme Profil pro
    Développeur .NET
    Inscrit en
    janvier 2011
    Messages
    153
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : janvier 2011
    Messages : 153
    Points : 334
    Points
    334

    Par défaut

    Citation Envoyé par MikeRowSoft Voir le message
    En plus en voyant le script ainsi écrit, je me suis dis que DOS était belle et bien présent sous Windows NT...
    Sauf qu'il s'agit de code Python et non de commandes "DOS"

  7. #7
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    9 005
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 9 005
    Points : 19 848
    Points
    19 848

    Par défaut

    OLE a toujours une source de problème pour la sécurité.

    Normalement, Word ne devrait pas ouvrir les doc contenant ce type de charge (OLE) en mode protégé ?
    Il faudra alors désactiver celui-ci pour que la charge se déclenche. Mais désactiver l'ouverture en mode protégé depuis un doc extérieur est dangereux.

    En attendant, le processus de contournement est viable. Un cambrioleur n'attaquera pas une porte blindée si il peut rentrer par la fenêtre.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  8. #8
    MikeRowSoft
    Invité(e)

    Par défaut

    Citation Envoyé par Volgaan Voir le message
    Sauf qu'il s'agit de code Python et non de commandes "DOS"
    Oui, c'est juste qu'en voyant le code cela m'a rappelé cette chose en DOS.

    Donc l'analyse du code :

    filetoberansom = r'C:/Users/YJ/Documents/test.docx' <- r c'est pour read only ? (1)


    word.Documents.Item(1).Password= '12345678' <- je suppose qu'il n'y avait pas de mot de passe avant...


    word.Documents.Item(1).Save() <- (1) quelque chose a changé ?

  9. #9
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 521
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 521
    Points : 6 762
    Points
    6 762

    Par défaut

    Citation Envoyé par MikeRowSoft Voir le message
    filetoberansom = r'C:/Users/YJ/Documents/test.docx' <- r c'est pour read only ?
    non c'est pour une raw string, ce qui en fait n'est réellement utile que quand on met des antislashes dans le chemin, ça évite d'écrire C:\\Users\\YJ\\Documents\\etc., mais comme ici il utilise des slashes simples ça n'est pas très utile

    Citation Envoyé par MikeRowSoft Voir le message
    word.Documents.Item(1).Password= '12345678' <- je suppose qu'il n'y avait pas de mot de passe avant...
    c'est surtout que classiquement un ransomware rend inutilisable les fichiers en les chiffrant, mais mettre un mot de passe dessus peut être une alternative

    Citation Envoyé par MikeRowSoft Voir le message
    word.Documents.Item(1).Save() <- (1) quelque chose a changé ?
    ça montre surtout qu'en écrivant un document via Word on peut lire/écrire là où on veut (y compris dans les répertoires censés être protégés donc), c'est ça le contournement, le composant OLE ne sert qu'à invoquer Word finalement mais on doit pouvoir faire exactement la même chose à coups d'AutoIt par exemple

    Citation Envoyé par chrtophe Voir le message
    Un cambrioleur n'attaquera pas une porte blindée si il peut rentrer par la fenêtre.
    oui, clairement.
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

Discussions similaires

  1. Réponses: 11
    Dernier message: 15/11/2017, 20h25
  2. Réponses: 7
    Dernier message: 07/07/2017, 17h24
  3. trouve un moyen d'étendre mon hebergement mutualisé perso
    Par keokaz dans le forum Hébergement
    Réponses: 0
    Dernier message: 18/05/2012, 20h46
  4. Flash Player : un chercheur trouve comment contourner le bac à sable
    Par Hinault Romaric dans le forum Actualités
    Réponses: 0
    Dernier message: 07/01/2011, 10h56

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo