Astuces Tuto

Contournement de l’UAC dans Windows 11 : Trois Méthodes Utilisées par les Logiciels Malveillants

Patrick Jean02,4K views

Table des matières

Le contrôle de compte d’utilisateur (UAC) est une sécurité cruciale dans Windows 11. Pourtant, les logiciels malveillants trouvent des astuces pour contourner cette protection et s’exécuter discrètement. Voici trois techniques couramment utilisées en 2024 pour échapper à l’UAC, basées sur les données de la base de soumissions publiques d’ANY.RUN.

Qu’est-ce que l’UAC ?

L’UAC (User Account Control) demande l’autorisation de l’utilisateur pour des tâches nécessitant des droits administratifs. Même avec un compte administrateur, l’utilisateur reçoit un avertissement avant de poursuivre. Ce message décrit l’action, le programme ou l’utilisateur demandant l’accès, avec des options pour autoriser ou refuser.

UAC : Exploitation de l’Interface COM

Le modèle COM (Component Object Model) permet aux applications de communiquer entre elles et avec Windows. Certains objets COM, identifiés par l’entrée « Elevation – Enable – 1 » dans le registre, peuvent obtenir des privilèges administratifs sans l’invite UAC.

  • Objets COM Vulnérables
  • cmstplua.dll
  • colorui.dll
  • wscui.cpl

Des logiciels malveillants exploitent ces objets pour contourner l’UAC. Par exemple, en analysant cmstplua.dll dans une session ANY.RUN, on peut trouver des échantillons comme Formbook, qui utilisent cette méthode pour échapper à l’UAC.

Modification du Registre

Certains programmes Windows, comme fodhelper, fonctionnent avec des privilèges élevés. Lors de son exécution, fodhelper vérifie d’abord une entrée de registre inexistante, puis une seconde qui existe. Les attaquants peuvent créer et modifier la première entrée sans droits administratifs pour lancer leur logiciel malveillant sans alerte UAC.

UAC : Exemple de BlankGrabber

En outre, BlankGrabber utilise cette méthode en modifiant le registre pour éviter l’invite UAC. Ainsi, une session d’analyse en bac à sable montre comment cette technique permet au logiciel de s’exécuter discrètement.

Boucle Infinie de l’Invite

Dans cette technique, l’invite UAC apparaît sans cesse quand l’utilisateur essaie de la fermer. L’objectif est de pousser la victime à accepter l’exécution de l’application pour arrêter l’invite. Une fois acceptée, le logiciel malveillant s’installe.

Par ailleurs, le logiciel Dcrat utilise une boucle infinie d’invites pour forcer l’utilisateur à accepter l’exécution. En étudiant une session ANY.RUN, on peut voir comment cette méthode piège l’utilisateur pour permettre au malware de s’installer.

Conclusion

En conclusion, les logiciels malveillants en 2024 ont perfectionné des méthodes sophistiquées pour contourner l’UAC de Windows 11. Ainsi, en exploitant l’interface COM, en modifiant le registre ou en utilisant des boucles d’invites, ces malwares parviennent à s’infiltrer sans alerter l’utilisateur. Connaître ces techniques peut aider à renforcer les défenses et à mieux comprendre les risques actuels.

Enfin, pour plus d’articles sur la cybersécurité, visitez régulièrement GeekFrance.fr.

Related posts

Impact du VPN sur la Durée de Vie de la Batterie de Votre Téléphone

Transférer vos Photos de Google Photos vers iCloud Facilement

Guide de réparation des écrans de smartphones