19 Novembre 2017 à 00:13:26

Auteur Sujet: Microsoft a corrigé la faille de Vista découverte au Black Hat  (Lu 1793 fois)

Thierry

  • Rédacteur Admin
  • Intarissable
  • *****
  • Messages: 1846
  • Points gagnés: 10
    • Voir le profil
Souvenez-vous : dans une actualité, nous expliquions une faille découverte par Joanna Rutkowska dans Vista qui pouvait permettre de passer outre la protection des pilotes signés, et donc PatchGuard. Nous avions expliqué alors le mécanisme de cette attaque :

« En quoi consistait ce « hack » du système ? Joanna Rutkowska a commencé par saturer la mémoire du système avec divers logiciels afin que Vista commence à utiliser la pagination. Certains pilotes se sont alors retrouvés écrits dans la mémoire paginée. Rutkowska a alors procédé à une modification du pilote directement dans le fichier de pagination, une procédure qui réclame un compte administrateur. Les modifications introduites permettent ainsi d’utiliser les instructions privilégiées de Pacifica, la solution de virtualisation d’AMD. Une fois l’opération réalisée, elle a pu insérer un malware dans une machine virtuelle protégée. »

Et c’est finalement Joanna Rutkowska qui indique désormais que cette possibilité n’est plus d’actualité depuis la Release Candidate 2 de Vista, puisque Microsoft a décidé de bloquer tout simplement la possibilité aux logiciels en mode utilisateur d’écrire dans les blocs « bruts » du disque dur. Seulement voilà, il y a dans ce choix un problème, si ce n'est même plusieurs.


De toutes les solutions proposées par Rutkowska, il semble que Microsoft se soit contentée de la plus simple. En effet, la solution retenue aura de grosses conséquences puisque la firme empêche du même coup les sociétés éditant par exemple des utilitaires conçus pour manipuler les données du disque d’y accéder de manière classique, ce qui vaut également pour les applications permettant de retrouver des données effacées.

Il va donc falloir à ces sociétés qu’elles créent des pilotes 64 bits signés, ce que des personnes malintentionnées pourraient également faire finalement, bien qu’il faille pour cela obtenir une signature dans les formes. Mais qui sait, d’ici la version finale, peut-être la firme changera-t-elle d’avis.


Source PCINpct