Windows: Comment bloquer l’installation automatique d’applications non sécurisées?

0

Une astuce a été découverte qui empêche votre appareil d’être pris en charge par des applications Windows vulnérables lorsque des appareils sont connectés à votre ordinateur.

Le mois dernier, les chercheurs ont expliqué comment le simple fait de brancher un appareil sous Windows peut également installer l’application d’un fournisseur qui permet aux utilisateurs réguliers d’obtenir rapidement les privilèges SYSTEM, le niveau de privilège utilisateur le plus élevé sous Windows.

Par exemple, lorsque les utilisateurs branchent une souris USB Razer, Windows installe automatiquement son pilote et le logiciel Razer Synapse.

Cependant, depuis que Windows a démarré l’installation du logiciel en utilisant un processus avec des privilèges SYSTEM, le logiciel Razer Synapse s’exécutait également avec des privilèges SYSTEM.

razer windows
RazerInstaller.exe s’exécutant avec les privilèges SYSTEM

Lors de l’installation de Razer Synapse, vous pouvez spécifier un dossier différent pour installer le programme, ce qui ouvrirait une boîte de dialogue « Choisir un dossier ».

Cependant, lorsque cette boîte de dialogue est ouverte, il est possible d’ouvrir une console PowerShell, qui s’ouvrirait également avec les privilèges SYSTEM du programme d’installation de Razer Synapse.

Pour ceux qui ne connaissent pas les privilèges SYSTEM, ce sont les droits d’utilisateur les plus élevés disponibles dans Windows et vous permettent d’exécuter n’importe quelle commande dans le système d’exploitation.

En utilisant ces bogues, les utilisateurs avec peu de privilèges sur un appareil Windows pourraient facilement en prendre le contrôle total en branchant simplement une souris USB à 20 $.

Cette vulnérabilité a été découverte dans des applications connues sous le nom de « co-installateurs » et, depuis que la première a été repérée, d’autres chercheurs ont découvert d’autres appareils pouvant autoriser l’élévation des privilèges locaux, y compris les appareils SteelSeries.

Blocage des applications de co-installation du pilote Windows

Lorsque les développeurs de matériel soumettent des pilotes à Microsoft pour distribution via Windows, ils peuvent configurer des co-installateurs spécifiques au périphérique qui seront exécutés après l’installation du pilote par Windows Plug-and-Play.

Ces co-installateurs peuvent être utilisés pour configurer des clés de registre spécifiques à l’appareil, télécharger et installer d’autres applications ou exécuter d’autres fonctions nécessaires au bon fonctionnement de l’appareil.

Grâce à la fonction de co-installateur, Razer, Synapse et d’autres fabricants de matériel peuvent installer leurs utilitaires de configuration lorsque leurs périphériques USB sont branchés sur un ordinateur.

Comme l’a découvert pour la première fois Will Dormann, un analyste des vulnérabilités pour CERT/CC, il est possible de configurer une valeur de registre Windows qui empêche l’installation des co-installateurs pendant la fonction Plug-and-Play.

Pour ce faire, ouvrez l’Éditeur du Registre et accédez à la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Installer. Sous cette clé, ajoutez une valeur DWORD-32 nommée DisableCoInstallers et définissez-la sur 1, comme indiqué ci-dessous.

windows plug-and-play
La valeur du registre DisableCoInstallers

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Installer]
« DisableCoInstallers »=dword:00000001

Une fois activé, Windows bloquera l’installation des co-installateurs lorsque vous branchez un périphérique USB associé sur votre ordinateur.

Il est important de noter que cette modification empêchera l’installation automatique du logiciel de configuration d’un appareil. Au lieu de cela, vous devrez le télécharger et l’installer manuellement à partir du site du fournisseur.

Cependant, l’inconvénient vaut la sécurité supplémentaire reçue en bloquant l’installation d’applications potentiellement exploitables pendant le processus Windows Plug-and-Play.

Laisser un commentaire