> Tech > Vulnérabilités du Registre

Vulnérabilités du Registre

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Les hacker peuvent tenter d'obtenir un accès administrateur de plusieurs façons que l'on peut contrer avec de simples modifications de configuration et de permissions. Premièrement, le Registre comporte plusieurs clés qui contiennent des valeurs en texte clair que le système utilise comme commandes lorsqu'un utilisateur se connecte. Les ACL par

défaut de ces clés sont relativement faibles.
Par exemple, lorsqu’un utilisateur se connecte, Windows NT examine la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Windows NT exécute ensuite tout texte de cette clé sous forme de commande avec
les privilèges de l’utilisateur. Un utilisateur sans privilèges peut ajouter
des commandes dans la valeur de la clé et attendre qu’un administrateur se connecte
sur le système. Alors, les commandes que le hacker a ajoutées s’exécuteront
comme si elles venaient d’un administrateur. Ces commandes peuvent faire toutes
sortes de choses, comme ajouter l’utilisateur au groupe des administrateurs
ou changer les permissions sur des répertoires stratégiques. Par défaut, le
groupe Tout le monde peut accéder à  cette clé. Vous devez donc en renforcer
l’ACL. D’autres clés de Registre présentent le même risque bien que le mode
d’intrusion soit parfois plus compliqué.
Comme à  chaque fois que l’on renforce la sécurité, le fait de
vouloir sécuriser le Registre peut poser des problèmes de compatibilité avec
des applicatifs mal développés qui partent du principe que vos systèmes ont
la configuration par défaut non sécurisée. Ces problèmes de compatibilité sont
particulièrement courants sur les postes de travail. Je vous conseille de concentrer
les mesures de protection sur les serveurs et contrôleurs de domaine dont les
besoins sont supérieurs en matière de sécurité et d’utilisation interactive
des applications. Les fichiers de l’OS dans \%systemroot% (c:\winnt), avec leurs
ACL par défaut, sont également vulnérables aux modifications. Des utilisateurs
sans droits peuvent remplacer des fichiers critiques de l’OS par leur propre
version que le système exécutera comme faisant partie de l’OS et avec les privilèges
associés. Protégez également ces répertoires. On peut donner un niveau global
de protection aux répertoires du Registre et de l’OS en restreignant l’accès
distant à  ces répertoires. On peut contrôler qui peut accéder à  distance à  votre
Registre, quelles que soient les ACL individuelles des clés, à  travers les permissions
de la clé de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServer\winreg.
Pour plus d’information sur la restriction des accès distants au Registre, lisez
l’article  » How to restrict access to Windows NT Registry from a remote computer
 » (http://support.microsoft.com/support/kb/articles/q153/1/83.asp). Assurez-vous
bien que les utilisateurs ne puissent pas accéder aux répertoires de l’OS à 
distance par le biais de partages créés par inadvertance. En appliquant ces
mesures simples, vous limiterez fortement les profils pouvant modifier le Registre
et le file system et dans quelles circonstances.

Téléchargez cette ressource

Comment lutter contre le Phishing ?

Comment lutter contre le Phishing ?

Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010