Comment AutoRun Malware est devenu un problème sous Windows et comment (la plupart du temps) il a été corrigé
Grâce à de mauvaises décisions de conception, AutoRun était un problème de sécurité énorme sous Windows. AutoRun a permis à un logiciel malveillant de se lancer dès que vous avez inséré des disques et des clés USB dans votre ordinateur..
Cette faille n'a pas été seulement exploitée par les auteurs de malware. Sony BMG l'utilisait pour cacher un rootkit sur des CD de musique. Windows exécutait et installait automatiquement le rootkit lorsque vous insériez un CD audio Sony malveillant dans votre ordinateur..
L'origine de l'exécution automatique
L'exécution automatique est une fonctionnalité introduite dans Windows 95. Lorsque vous insérez un disque logiciel dans votre ordinateur, Windows le lit automatiquement et, si un fichier autorun.inf est trouvé dans le répertoire racine du disque, le programme est automatiquement lancé. spécifié dans le fichier autorun.inf.
C'est pourquoi, lorsque vous avez inséré un CD de logiciel ou un disque de jeu PC dans votre ordinateur, un programme d'installation ou un écran de démarrage avec options a été lancé automatiquement. Cette fonction a été conçue pour faciliter l’utilisation de tels disques, réduisant ainsi la confusion. Si l'exécution automatique n'existait pas, les utilisateurs devraient ouvrir la fenêtre du navigateur de fichiers, accéder au disque et lancer un fichier setup.exe à partir de cet emplacement..
Cela a fonctionné assez bien pendant un temps, et il n'y avait pas de gros problème. Après tout, les utilisateurs à domicile n'avaient pas de moyen facile de produire leurs propres CD avant que les graveurs de CD ne soient généralisés. Vous ne rencontriez que des disques commerciaux, et ils étaient généralement dignes de confiance..
Mais même dans Windows 95 lors de l’introduction d’AutoRun, il n’était pas activé pour les disquettes. Après tout, n'importe qui peut placer les fichiers qu'il souhaite sur une disquette. L'exécution automatique des disquettes permettrait aux logiciels malveillants de se propager d'une disquette à l'autre d'un ordinateur à l'autre..
Lecture automatique dans Windows XP
Windows XP a affiné cette fonctionnalité avec une fonction «Lecture automatique». Lorsque vous insérez un disque, une clé USB ou un autre type de périphérique de support amovible, Windows examine son contenu et vous suggère des actions. Par exemple, si vous insérez une carte SD contenant des photos de votre appareil photo numérique, il est recommandé de faire quelque chose d’approprié pour les fichiers image. Si un fichier contient un fichier autorun.inf, une option vous demande si vous souhaitez également exécuter automatiquement un programme à partir du lecteur..
Cependant, Microsoft souhaitait toujours que les CD fonctionnent de la même manière. Ainsi, dans Windows XP, les CD et les DVD exécutaient toujours automatiquement des programmes s’ils possédaient un fichier autorun.inf ou commençaient automatiquement à lire leur musique s’il s’agissait de CD audio. Et, en raison de l'architecture de sécurité de Windows XP, ces programmes seraient probablement lancés avec un accès administrateur. En d'autres termes, ils auraient un accès complet à votre système.
Avec les lecteurs USB contenant les fichiers autorun.inf, le programme ne s'exécute pas automatiquement, mais vous présente l'option dans une fenêtre de lecture automatique..
Vous pouvez toujours désactiver ce comportement. Certaines options étaient enfouies dans le système d'exploitation lui-même, dans le registre et dans l'éditeur de stratégie de groupe. Vous pouvez également maintenir la touche Maj enfoncée lorsque vous insérez un disque et Windows n'effectuera pas le comportement d'exécution automatique..
Certaines clés USB peuvent émuler des CD, et même les CD ne sont pas sûrs
Cette protection a commencé à s'effondrer immédiatement. SanDisk et M-Systems ont observé le comportement de AutoRun sur CD et le souhaitaient pour leurs propres clés USB. Ils ont donc créé des clés U3. Ces lecteurs flash ont émulé un lecteur de CD lorsque vous les connectez à un ordinateur. Ainsi, un système Windows XP lancera automatiquement des programmes sur ces ordinateurs lorsqu'ils sont connectés..
Bien sûr, même les CD ne sont pas sûrs. Les attaquants pourraient facilement graver un lecteur de CD ou de DVD ou utiliser un lecteur réinscriptible. L'idée que les CD sont en quelque sorte plus sûrs que les clés USB est fausse.
Catastrophe 1: le fiasco des rootkits Sony BMG
En 2005, Sony BMG a commencé à publier des rootkits Windows sur des millions de CD audio. Lorsque vous insérez le CD audio dans votre ordinateur, Windows lit le fichier autorun.inf et exécute automatiquement le programme d'installation du rootkit, qui infecte discrètement votre ordinateur en arrière-plan. Le but de ceci était de vous empêcher de copier le disque de musique ou de le ripper sur votre ordinateur. Comme ce sont des fonctions normalement supportées, le rootkit a dû renverser tout votre système d'exploitation pour les supprimer..
Tout était possible grâce à AutoRun. Certaines personnes ont recommandé de maintenir Shift chaque fois que vous insériez un CD audio dans votre ordinateur et d'autres se sont ouvertement demandé si le fait de maintenir Shift pour empêcher l'installation du rootkit serait considéré comme une violation des interdictions anti-contournement du DMCA de contourner la protection de copie..
D'autres ont fait la chronique de sa longue et triste histoire. Disons simplement que le rootkit était instable, que les logiciels malveillants ont profité de ce rootkit pour infecter plus facilement les systèmes Windows et que Sony a reçu un œil au beurre noir bien mérité sur la scène publique..
Catastrophe 2: le ver Conficker et autres programmes malveillants
Conficker est un ver particulièrement méchant qui a été détecté pour la première fois en 2008. Il a notamment infecté les périphériques USB connectés et créé des fichiers autorun.inf qui exécuteraient automatiquement des programmes malveillants lorsqu’ils seraient connectés à un autre ordinateur. Comme l’a écrit la société antivirus ESET:
"Les lecteurs USB et autres supports amovibles, auxquels les fonctionnalités d'exécution automatique / lecture automatique ont accès à chaque fois (par défaut) que vous les connectez à votre ordinateur, sont les vecteurs de virus les plus fréquemment utilisés de nos jours."
Conficker était le plus connu, mais ce n’était pas le seul malware à abuser de la dangereuse fonctionnalité AutoRun. L'exécution automatique en tant que fonctionnalité est pratiquement un cadeau pour les auteurs de programmes malveillants.
Windows Vista a désactivé l'exécution automatique par défaut, mais…
Microsoft a finalement recommandé aux utilisateurs de Windows de désactiver la fonctionnalité d'exécution automatique. Windows Vista a apporté de bonnes modifications dont Windows 7, 8 et 8,1 ont hérité.
Au lieu d'exécuter automatiquement des programmes à partir de CD, de DVD et de lecteurs USB se faisant passer pour des disques, Windows affiche simplement la boîte de dialogue Exécution automatique de ces lecteurs. Si un disque ou un lecteur connecté contient un programme, celui-ci apparaît en option dans la liste. Windows Vista et les versions ultérieures de Windows n'exécutent pas automatiquement les programmes sans vous le demander - vous devez cliquer sur l'option “Exécuter [programme] .exe” dans la boîte de dialogue de lecture automatique pour exécuter le programme et être infecté..
Mais il serait toujours possible que les logiciels malveillants se propagent via AutoPlay. Si vous connectez un lecteur USB malveillant à votre ordinateur, il vous suffira d'un clic pour exécuter le logiciel malveillant via la boîte de dialogue Exécution automatique - du moins avec les paramètres par défaut. D'autres fonctionnalités de sécurité telles que UAC et votre programme antivirus peuvent vous aider à vous protéger, mais vous devez tout de même être vigilant..
Et, malheureusement, nous sommes maintenant confrontés à une menace de sécurité encore plus effrayante de la part des périphériques USB..
Si vous le souhaitez, vous pouvez désactiver entièrement la lecture automatique - ou seulement certains types de lecteurs - pour ne pas obtenir de fenêtre contextuelle Lecture automatique lorsque vous insérez un support amovible dans votre ordinateur. Vous trouverez ces options dans le Panneau de configuration. Effectuez une recherche sur «lecture automatique» dans la zone de recherche du Panneau de configuration pour les rechercher..
Crédit d'image: aussiegal sur Flickr, m01229 sur Flickr, Lordcolus sur Flickr