Security-X

Forum Security-X => Sécurité Générale => Discussion démarrée par: igor51 le août 27, 2013, 19:57:48

Titre: Bug de sécurité dans AdwCleaner
Posté par: igor51 le août 27, 2013, 19:57:48
Bonjour

Maintenant que la version corrigée est sortie, je peux mettre en ligne l'exploitation de la vulnérabilité dans AdwCleaner. L'objectif est de voir s'il peut supprimer un dossier du système (genre, le dossier Windows par exemple).

On va faire exactement comme les dernières versions de ZeroAccess pour tromper les outils. On va créer une jonction NTFS qui sera détectée par l'outil comme un dossier à supprimer, sauf que cette jonction va pointer vers le dossier Windows.
Pour créer une jonction, il suffit de taper dans une console (en admin) : mklink /J Destination Sources.
Dans notre cas, nous allons nommer la Destination Boxore pour qu'elle soit ciblée par l'outil :  mklink /J "C:\Program Files\Boxore" C:\WindowsPuis, on lance l'outil :

Citer
# AdwCleaner v3.000 - Rapport créé le 20/08/2013 à 23:15:22
# Mis à jour le 20/08/2013 par Xplode
# Système d'exploitation : Windows 7 Enterprise Service Pack 1 (32 bits)
# Nom d'utilisateur : bob - BOB-PC
# Exécuté depuis : C:\Users\bob\Downloads\adwcleaner.exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Présent C:\Program Files\Boxore

***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v9.0.8112.16476


-\\ Mozilla Firefox v12.0 (fr)

[ Fichier : C:\Users\bob\AppData\Roaming\Mozilla\Firefox\Profiles\zaedprzz.default\prefs.js ]


[ Fichier : C:\Users\toto\AppData\Roaming\Mozilla\Firefox\Profiles\qv9c1s5g.default\prefs.js ]


*************************

On voit que notre dossier est bien détecté, on lance donc la suppression, elle est extrêmement longue (surtout pour supprimer juste un dossier vide ?), sauf qu'à la fin, comme il y a un redémarrage de demander, le système se lance sur son mode de Réparation....

Pourquoi ? C'est assez simple en faite. Voyons un peu le contenu du rapport de suppression (récupérer par liveCD).

Citer
# AdwCleaner v3.000 - Rapport créé le 20/08/2013 à 23:15:55
# Mis à jour le 20/08/2013 par Xplode
# Système d'exploitation : Windows 7 Enterprise Service Pack 1 (32 bits)
# Nom d'utilisateur : bob - BOB-PC
# Exécuté depuis : C:\Users\bob\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Program Files\Boxore

***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v9.0.8112.16476


-\\ Mozilla Firefox v12.0 (fr)

[ Fichier : C:\Users\bob\AppData\Roaming\Mozilla\Firefox\Profiles\zaedprzz.default\prefs.js ]


[ Fichier : C:\Users\toto\AppData\Roaming\Mozilla\Firefox\Profiles\qv9c1s5g.default\prefs.js ]


*************************

On voit bien que le dossier est supprimé par l'outil. Mais est-ce qu'il a supprimé juste le dossier ? La réponse est non, si on regarde le contenu de la quarantaine de l'outil, on voit que (listing uniquement des dossiers pour avoir un rapport plus court):

http://up.security-x.fr/file.php?h=R3db5e5b206e43020a0f233c528132fc0

Donc, comme prévu, l'outil a commencé par supprimer le contenu du dossier boxore qui pointait vers C:\Windows et a donc supprimé des éléments importants du système.


A noter que Xplode a corrigé ce bug dans la journée du signalement. Maintenant, on obtient le rapport suivant :

Citer
[/!\] Non Supprimé ( Junction ): C:\Program Files\Boxore