Avant de vanter un produit, il est préférable d’être certain de ce que l’on dit, surtout quand il s’agit de sécurité informatique. Selon une note de blog de Microsoft, « aucun ransomware connu ne peut atteindre Windows 10 S ». Si l’éditeur est tellement sûr de lui, c’est parce que ce système d’exploitation est particulièrement bridé et l’exécution d’applications strictement encadré. Ainsi, seuls des logiciels provenant du Windows Store et vérifiés par les ingénieurs de la firme de Redmond peuvent être installés. Par ailleurs, l’utilisateur ne peut pas accéder à l’invite de commandes. Il ne peut pas non plus exécuter de scripts ou de commandes Powershell, qui font partie des outils de base du hacker sous Windows.
Macros et compte admin, un mélange explosif
Malheureusement, Windows 10 S n’est pas aussi durci qu’il en a l’air. Sollicité par nos confrères de ZDNet, le hacker Matthew Hickney – alias Hacker Fantastic – a trouvé un moyen d’installer n’importe quel ransomware sur ce système d’exploitation. Il s’appuie sur un vecteur d’attaque bien connu : les « macros » Word. En effet, Microsoft bloque le Powershell, mais autorise l’exécution de macro-commandes. Matthew Hickney a donc créé une macro malveillante qui, une fois exécutée, lui permet d’exécuter des commandes avec le même de privilèges que l’utilisateur. Or – et c’est une autre problème classique – les utilisateurs Windows utilisent souvent des comptes avec privilèges administrateur.
Grâce à cela, la macro malveillante va télécharger un second malware qui va procéder à une attaque par injection DLL dans un processus systèmes, ce qui permettra à l’attaquant d’obtenir les privilèges système, le plus haut niveau de privilèges d’accès sur Windows. A partir de là, l’attaquant peut faire ce qu’il souhaite et, notamment, installer n’importe quel ransomware. De son côté, Microsoft reste droit dans ses bottes. Sans vraiment dire pourquoi, l’éditeur estime que la démonstration de Matthew Hickney n’est pas convaincante et considère que son affirmation initiale reste juste. La firme de Redmond, serait-il mauvaise perdante ?
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.