in

Comment AutoRun Malware est devenu un problème sous Windows et comment il a été (principalement) résolu

Grâce à de mauvaises décisions de conception, AutoRun était autrefois un énorme problème de sécurité sous Windows. AutoRun a utilement autorisé le lancement de logiciels malveillants dès que vous avez inséré des disques et des clés USB dans votre ordinateur.

Cette faille n’a pas été uniquement exploitée par les auteurs de malwares. Il a été utilisé par Sony BMG pour cacher un rootkit sur des CD de musique. Windows exécute et installe automatiquement le rootkit lorsque vous insérez un CD audio Sony malveillant dans votre ordinateur.

L’origine d’AutoRun

AutoRun est une fonctionnalité introduite dans Windows 95. Lorsque vous insérez un disque de logiciel dans votre ordinateur, Windows lit automatiquement le disque et – si un fichier autorun.inf est trouvé dans le répertoire racine du disque – il lance automatiquement le programme spécifié dans le fichier autorun.inf.

C’est pourquoi, lorsque vous insérez un CD de logiciels ou un disque de jeu PC dans votre ordinateur, il lance automatiquement un programme d’installation ou un écran de démarrage avec des options. La fonction a été conçue pour rendre ces disques faciles à utiliser, réduisant ainsi la confusion des utilisateurs. Si AutoRun n’existait pas, les utilisateurs devraient ouvrir la fenêtre du navigateur de fichiers, accéder au disque et lancer un fichier setup.exe à la place.

Cela a très bien fonctionné pendant un certain temps et il n’y a pas eu de gros problèmes. Après tout, les particuliers n’avaient pas de moyen facile de produire leurs propres CD avant que les graveurs de CD ne soient généralisés. Vous ne tombiez vraiment que sur des disques commerciaux, et ils étaient généralement dignes de confiance.

Mais même dans Windows 95, lorsque AutoRun a été introduit, il n’était pas activé pour les disquettes. Après tout, n’importe qui peut placer les fichiers de son choix sur une disquette. AutoRun pour les disquettes permettrait aux logiciels malveillants de se propager de disquette à ordinateur, de disquette à ordinateur.

Lecture automatique sous Windows XP

Windows XP a affiné cette fonctionnalité avec une fonction «AutoPlay». Lorsque vous avez inséré un disque, une clé USB ou un autre type de périphérique de support amovible, Windows examine son contenu et vous suggère des actions. Par exemple, si vous insérez une carte SD contenant des photos de votre appareil photo numérique, il vous recommandera de faire quelque chose de approprié pour les fichiers image. Si un lecteur a un fichier autorun.inf, vous verrez une option vous demandant si vous souhaitez également exécuter automatiquement un programme à partir du lecteur.

Cependant, Microsoft voulait toujours que les CD fonctionnent de la même manière. Ainsi, dans Windows XP, les CD et DVD exécutaient toujours automatiquement des programmes sur eux s’ils avaient un fichier autorun.inf, ou commenceraient automatiquement à lire leur musique s’il s’agissait de CD audio. Et, en raison de l’architecture de sécurité de Windows XP, ces programmes se lanceraient probablement avec un accès administrateur. En d’autres termes, ils auraient un accès complet à votre système.

Avec les clés USB contenant des fichiers autorun.inf, le programme ne s’exécuterait pas automatiquement, mais vous présenterait l’option dans une fenêtre de lecture automatique.

Vous pouvez toujours désactiver ce comportement. Il y avait des options enfouies dans le système d’exploitation lui-même, dans le registre et dans l’éditeur de stratégie de groupe. Vous pouvez également maintenir la touche Maj enfoncée pendant que vous insérez un disque et Windows n’effectue pas le comportement AutoRun.

Certaines clés USB peuvent émuler des CD, et même les CD ne sont pas sûrs

Cette protection a commencé à s’effondrer immédiatement. SanDisk et M-Systems ont vu le comportement de CD AutoRun et l’ont voulu pour leurs propres clés USB, alors ils ont créé Lecteurs flash U3. Ces lecteurs flash émulent un lecteur de CD lorsque vous les connectez à un ordinateur, de sorte qu’un système Windows XP lance automatiquement des programmes sur eux lorsqu’ils sont connectés.

Bien sûr, même les CD ne sont pas sûrs. Les attaquants pourraient facilement graver un lecteur de CD ou de DVD, ou utiliser un lecteur réinscriptible. L’idée que les CD sont en quelque sorte plus sûrs que les clés USB est fausse.

Désastre 1: le fiasco du Sony BMG Rootkit

En 2005, Sony BMG a commencé à expédier des rootkits Windows sur des millions de leurs CD audio. Lorsque vous insérez le CD audio dans votre ordinateur, Windows lit le fichier autorun.inf et lance automatiquement le programme d’installation du rootkit, qui infecte sournoisement votre ordinateur en arrière-plan. Le but était de vous empêcher de copier le disque musical ou de le ripper sur votre ordinateur. Comme ce sont des fonctions normalement prises en charge, le rootkit a dû subvertir tout votre système d’exploitation pour les supprimer.

Tout cela a été possible grâce à AutoRun. Certaines personnes recommandaient de maintenir Shift chaque fois que vous insériez un CD audio dans votre ordinateur, et d’autres se demandaient ouvertement si maintenir Shift pour supprimer l’installation du rootkit serait considéré comme une violation des interdictions anti-contournement du DMCA contre le contournement de la protection contre la copie.

D’autres ont raconté la longue et triste histoire sa. Disons simplement que le rootkit était instable, que les logiciels malveillants ont profité du rootkit pour infecter plus facilement les systèmes Windows et que Sony a eu un œil au beurre noir énorme et bien mérité dans l’arène publique.

APPAREIL PHOTO NUMÉRIQUE KONICA MINOLTA

Désastre 2: le ver Conficker et autres logiciels malveillants

Conficker était un ver particulièrement méchant détecté pour la première fois en 2008. Entre autres, il infectait les périphériques USB connectés et créait sur eux des fichiers autorun.inf qui exécutaient automatiquement des logiciels malveillants lorsqu’ils étaient connectés à un autre ordinateur. En tant qu’entreprise antivirus ESET a écrit:

«Les clés USB et autres supports amovibles, auxquels les fonctionnalités d’exécution automatique / lecture automatique accèdent à chaque fois (par défaut) que vous les connectez à votre ordinateur, sont les vecteurs de virus les plus fréquemment utilisés de nos jours.»

Conficker était le plus connu, mais ce n’était pas le seul malware à abuser de la dangereuse fonctionnalité AutoRun. AutoRun en tant que fonctionnalité est pratiquement un cadeau pour les auteurs de logiciels malveillants.

Windows Vista a désactivé l’exécution automatique par défaut, mais…

Microsoft a finalement recommandé aux utilisateurs de Windows de désactiver la fonctionnalité AutoRun. Windows Vista a apporté de bons changements dont Windows 7, 8 et 8,1 ont tous hérité.

Au lieu d’exécuter automatiquement des programmes à partir de CD, DVD et clés USB se faisant passer pour des disques, Windows affiche simplement la boîte de dialogue de lecture automatique pour ces lecteurs. Si un disque ou un lecteur connecté a un programme, vous le verrez comme une option dans la liste. Windows Vista et les versions ultérieures de Windows n’exécuteront pas automatiquement les programmes sans vous le demander – vous devrez cliquer sur le bouton «Exécuter [program].exe ”dans la boîte de dialogue de lecture automatique pour exécuter le programme et être infecté.

Mais il serait toujours possible que les logiciels malveillants se propagent via la lecture automatique. Si vous connectez une clé USB malveillante à votre ordinateur, vous n’êtes toujours qu’à un clic d’exécuter le logiciel malveillant via la boîte de dialogue de lecture automatique – au moins avec les paramètres par défaut. D’autres fonctionnalités de sécurité telles que l’UAC et votre programme antivirus peuvent vous aider à vous protéger, mais vous devez toujours être vigilant.

Et, malheureusement, nous devons maintenant être conscients d’une menace de sécurité encore plus effrayante provenant des périphériques USB.

Si vous le souhaitez, vous pouvez désactiver entièrement la lecture automatique – ou uniquement pour certains types de lecteurs – afin de ne pas afficher de fenêtre contextuelle de lecture automatique lorsque vous insérez un support amovible dans votre ordinateur. Vous trouverez ces options dans le panneau de configuration. Effectuez une recherche de «lecture automatique» dans la zone de recherche du panneau de configuration pour les trouver.

Crédit d’image: aussiegal sur Flickr, m01229 sur Flickr, Lordcolus sur Flickr

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tout ce que vous devez savoir sur les Live CD et les clés USB Linux

Tout ce que vous devez savoir sur les Live CD et les clés USB Linux

Tous les trucs numériques gratuits que votre bibliothèque locale pourrait offrir

Tous les trucs numériques gratuits que votre bibliothèque locale pourrait offrir