Microsoft affirme que son nouvel OS Windows 10 S est protégé contre tous les ransomware connus. Qu’en est-il vraiment et résiste t-il à une attaque d’un hacker ? Réponse dans cet article !
Windows 10 S est l’OS le plus récent et le plus sécurisé de Microsoft. La firme va même jusqu’à affirmer (de manière fort opportuniste ?) “qu’aucun ransomware connu ne fonctionne sous Windows 10 S“… vrai ou faux ? C’est ce que ZDNet a cherché à savoir en s’offrant les service d’un hacker pour voir la résistance du système face aux malwares.
Rappelons que Windows 10 S vise les étudiants ainsi que le dernier Surface Laptop dont il est le système d’exploitation. La particularité de cet OS est qu’il est entièrement verrouillé : impossible d’exécuter une application hors de la boutique Windows Store, ni d’accéder à l’invite de commandes, pas accès aux outils de scripts ni à PowerShell ! Cela suffira t-il à empêcher toutes infections virales ? C’est à Matthew Hickey, un chercheur en sécurité et cofondateur de l’entreprise de cybersécurité Hacker House que la question a été posée !
Bilan : après 3 heures de travail, le chercheur est parvenu à briser la protection du système et à injecter du code malveillant. Ce dernier dit avoir été déçu que ça soit si simple et ne s’attendait pas à réussir aussi facilement / rapidement. Un coup de marketing dans le vent pour Microsoft ?
Comment le chercheur à contourné la protection
Il s’avère que le système d’applications signées et validées fonctionne plutôt bien ! Mais Matthew Hickey a de la ressource et à décidé d’exploiter une faiblesse au sein même d’une application autorisée et de toute confiance : Microsoft Word. Plus précisément, il s’est attaqué au logiciel et à sa gestion gère et traite les macros (scripts d’automatisation) via une “reflective DLL injection“. Notons au passage que ce processus est très souvent exploité par les cybercriminels pour infecter des machines via des pièces jointes et des documents corrompus malveillants via des mails de phishing.
Pour que cela fonctionne, Hickey a du berner le mode protégé de Word concernant les macros téléchargées depuis Internet ou via une pièce jointe d’un mail : il a utilisé malicieusement le partage réseau considéré comme de confiance par Microsoft.
Par le biais de cette attaque, le chercheur parvient à injecter du code malveillant au sein même d’un processus autorisé et donc, de contourner la protection mise en place au sein du système d’exploitation. Cerise sur le gâteau, dans le cas présent, Word a été exécuté avec les privilèges administrateurs via le gestionnaires de tâches ! Le chercheur spécifie en outre que le compte utilisateur par défaut hors connexion dispose des droits administrateurs.
Résultat, le chercheur a pu accéder à un shell avec les privilèges administrateurs. A partir de là, il lui a suffit de télécharger une charge utile via Metasploit pour prendre le contrôle de l’ordinateur à distance avec en prime, les privilèges “système”… autant dire, qu’à ce moment là, l’ordinateur est totalement vulnérable : l’attaquant y fait ce qu’il souhaite. Du coup, l’infection via un ransomware aurait été un jeu d’enfant. Le chercheur a précisé qu’aucune faille zero-day n’a été utilisée dans ce cas de pentest.
D’après ZDNet, Microsoft réfute l’attaque :
“Au début du mois de juin, nous avons déclaré que Windows 10 S n’était pas vulnérable à un ransomware connu et, d’après les informations que nous avons reçues de ZDNet, cette déclaration reste vraie” a déclaré un porte-parole. “Nous reconnaissons que de nouvelles attaques et logiciels malveillants surviennent continuellement, c’est pourquoi [nous] nous sommes engagés à surveiller le paysage de la menace et à travailler avec des chercheurs responsables afin de garantir que Windows 10 continue de fournir l’expérience la plus sécurisée possible à nos clients.“
Certes, les techniques utilisées seraient complexe à mettre en oeuvre dans une véritable attaque à distance et nécessiterait soit un accès physique à la machine, soit une importante étape d’ingénierie sociale. L’étape “privilege escalation” est en effet obligatoire !
Conclusion, l’affirmation de Microsoft arguant que “aucun ransomware connu ne fonctionne sur le système d’exploitation” reste vraie, sauf lorsque les privilèges utilisateur sont élevés au niveau “système”.
Source : ZDNet