Windows 8 offre des perspectives prometteuses pour les pirates, mais globalement l'OS est beaucoup plus sécurisé que son prédécesseur, a souligné un chercheur à la conférence Black Hat. Il existe au moins 3 possibilité d'attaques sur Windows 8, qui avec un peu d'effort pourrait se transformer en failles exploitables, a précisé Sung-ting Tsai, chef d'une équipe de recherche de Trend Micro. Il a détaillé les trois points d'attaques potentiels, mais sans avoir pu réaliser les mettre en défaut : Au niveau du kernel via l'ALPC (advanced local procedure call), l'API de COM (Component Object Model) et l'API de Windows Runtime. Le premier est très difficile à pirater, mais il offre un accès riche en flux de requêtes et d'information. Le chercheur a indiqué qu'il travaillait sur 4 scénarios qu'il envisage de rendre public pour intercepter les messages. Ces scripts ne fournissent pas une méthode d'attaque ou de découverte de failles, mais ils automatisent la recherche de failles.
La seconde attaque concerne le serveur COM qui fournit des services aux clients. Dans Windows 8, les applis Metro fonctionnent dans des conteneurs, des sandbox sécurisés qui limitent les accès aux seules ressources qui leur sont nécessaires. De plus, ces demandes d'accès aux ressources s'effectuent via un broker RT. Mais si l'application peut accéder directement aux serveurs COM, les attaquants pourraient contourner la sandbox. Cet accès au COM devra être fait manuellement via des scripts écrits en langage assembleur.
Enfin le troisième point d'attaque est l'API de Windows RT (Runtime). Sung-ting Tsai indique qu'il a essayé la technique du fuzzing en envoyant des commandes au hasard pour voir si elles provoquent un dysfonctionnement de l'API, pour créer une vulnérabilité. Cela prend du temps et il faut de la chance pour parvenir à un résultat. Le chercheur est chanceux, car il a trouvé une faille pour corrompre la mémoire dans la Consumer Preview de Windows 8. Microsoft a corrigé cette vulnérabilité au sein de la Release Preview.
D'autres talons d'Achille
Le chercheur a présenté deux méthodes plus prometteuses qui consistent à éluder certains dispositifs de sécurité dans le prochain OS. La première d'entre elles porte sur les restrictions liées aux applications de style Metro pour accéder à Internet. Plutôt que d'essayer de violer cette limitation, une application peut accéder à une autre, qui a elle les autorisations nécessaires. Le chercheur ajoute « une application qui n'a pas de permission d'accès à Internet pourra toujours envoyer des messages sur Internet via IE ou le media server de Microsoft en intégrant des informations locales dans l'URL qu'IE ou MMS vont devoir rechercher. C'est la même chose pour l'accès d'une application Metro à un fichier Word ou Excel qui contient du code pour se connecter à Internet ». En disposant d'un accès à Internet, une application malveillante pourrait télécharger des données locales du terminal vers une machine contrôlée par un pirate.
Microsoft a indiqué qu'il ne ferait rien sur ce sujet, selon une réponse inclue dans la présentation de la Black Hat. Sinon, l'accès à Internet serait alors visible pour les utilisateurs, qui pourrait l'arrêter en cas de désapprobation. De même les antivirus pourraient se tromper et signaler une activité non conforme. Ils pourraient supprimer des applications sur les terminaux des utilisateurs. Sung-ting Tsai est en désaccord, car il pense que l'utilisateur moyen ne saura jamais si l'accès à Internet via MMS est conforme ou malveillant, idem pour les antivirus.
[[page]]
La deuxième méthode fait appel à la commande cmd.exe au sein d'une sandbox applicative et permet de déclencher des exécutables en dehors. Le chercheur prévient qu'en association avec d'autres programmes exécutables, cela pourrait d'exploiter d'autres failles.
Faiblesse de la programmation des applis Metro
Une autre méthode repose sur ClickOnce, un package d'installation d'application fonctionnant sous Windows 8. Avec cet outil, il peut intégrer des fichiers malveillants dans les fichiers systèmes. Microsoft a reconnu cette éventualité et va la corriger. Parmi les autres faiblesses du prochain OS, Sung-ting Tsai a exploré le détournement de DLL, c'est-à -dire maquiller du code malveillant en DLL. Ainsi Internet Explorer télécharge certaines DLL dont il a besoin pour une courte durée. Si le nom de ces DLL est connu pourquoi les pirates ne s'en serviraient pas pour dissimuler du code corrompu et le charger via le navigateur. Ce problème se poserait pour n'importe quelles applications qui téléchargent des DLL inutiles. Microsoft estime qu'il n'existe pas de soucis de détournement de DLL dans la Preview Release de Windows 8.
Sung-ting Tsai souligne par ailleurs une fonction de programmation des applis Metro qui pourrait être exploitée. Celle-ci donne l'autorisation aux applis d'accéder aux dossiers et fichiers, alors que normalement elles n'y ont pas accès. Cette fonction pourrait être utilisée pour pirater des données. En règle générale, les applications Metro peuvent accéder aux seuls documents vidéos, musicaux et photo. Mais les développeurs d'applications peuvent prévoir des exceptions qui permettent aux applications d'accéder à d'autres fichiers et aux dossiers. Une application malveillante peut ainsi avoir accès aux dossiers téléchargements d'un utilisateur. Microsot indique qu'il s'agit d'une fonctionnalité pour les développeurs et non pas d'une faille, elle ne représente pas une menace.
L'éditeur de Redmond affirme que c'est une fonctionnalité pour les développeurs, et non pas la vulnérabilité et est sous le contrôle de l'utilisateur, n'est donc pas une menace. Le chercheur pense néanmoins que l'éditeur va restreindre les autorisations d'exception pour les développeurs. Les fichiers consultés se feront en lecture seule, par exemple.
Black Hat : Un chercheur pointe les failles de Windows 8
Un spécialiste de la sécurité chez Trend Micro a dressé la liste des talons d'Achille de Windows 8 en matière de sécurité.