Maksim Kabakou - Fotolia

La protection de Windows contre les exécutables suspects facile à contourner

A l’occasion d’une présentation lors de DerbyCon, un chercheur en sécurité a montré comment contourner le contrôle de la signature des exécutables de Windows avec seulement deux modifications du registre.

La signature numérique des exécutables s’est imposée comme l’un des éléments standards de l’arsenal de protection contre les logiciels malveillants. Hélas, les mécanismes de contrôle ne sont pas parfaits. Dans Windows, un chercheur s’exprimant lors de la conférence DerbyCon 7.0 a montrer comment les contourner aisément.

Matt Graeber, chercheur chez SpecterOps, a ainsi montré comme deux simples modifications de clés du registre du système d’exploitation de Microsoft permettent de contourner ses mécanismes de contrôle de la signature numérique des exécutable, et donc potentiellement d’exécuter du code malicieux.

Une première modification conduit le mécanisme de vérification à retourner « le même certificat Microsoft pour tout fichier exécutable, qu’il contienne une signature Authenticode ou non ». La seconde permet à un fichier intégrant un certificat Authenticode valide de passer l’étape de vérification même si celle-ci échoue, comme lorsque l’exécutable a été altéré après sa signature, ou que le certificat provient tout simplement d’un autre exécutable, légitime celui-là.

Dès lors, a-t-il expliqué à l’audience de DerbyCon, « je peux être qui je veux en modifiant ces deux valeurs du registre ». Certes, la modification nécessite de disposer des droits d’administration sur la machine visée. Mais il relève que ce n’est bien souvent pas si difficile. Et surtout, pour intervenir sur le registre, il n’a pas besoin de code malicieux.

Pour lui, la menace est importante car ce type de contournement peut aussi affecter le comportement d’autres mécanismes de protection basés sur la notion de listes blanches : « on casse le concept de confiance ». Et selon Matt Graeber, « subvertir l’architecture de confiance de Windows, dans de nombreux cas, c’est aussi subvertir l’efficacité des produits de sécurité ». Car « la signature de code et la validation de la confiance sont également des composants critiques de la classification de logiciels malveillants pour de nombreux produits de sécurité », estime-t-il.

Avec nos confrères de SearchSecurity.com

Pour approfondir sur Protection du terminal et EDR

Close