Les utilisations malicieuses du fichier Autorun.inf sous Windows
Date : 11 Juillet 2005
Le fichier Autorun.inf est un fichier de démarrage automatique qui se trouve le plus souvent sur les CD-ROM. C'est grâce à ce fichier que, lorsqu'un CD-ROM est inséré dans un lecteur, une application est lancée de manière automatique par Windows.
Remarque : Les recommandations habituelles en matière de sécurité préconisent de désactiver cette fonctionnalité pour le lecteur de CD-Rom, afin de se prémunir contre l'exécution de programme malicieux au moment de l'insertion de CD-ROM "non sûrs".
Cependant, un tel mécanisme n'est pas exclusivement réservé aux lecteurs de CD-ROM. Ainsi, en plaçant un tel fichier à la racine de n'importe quel volume (disque) du système (par exemple à la racine du disque C:, D:, des partages réseaux, ...), un utilisateur peut faire déclencher n'importe quel type de programme et ce, à chaque fois que le volume sera sollicité.
Ce mécanisme peut donc être utilisé pour à la mise en place de chevaux de Troie sur les systèmes Microsoft. Cependant, si le système a été préalablement sécurisé, l'utilisateur malicieux devra déjà posséder certains privilèges sur le système afin de déposer un tel fichier à la racine des différents volumes.
Solutions :
1 - Restreindre l'utilisation du démarrage automatique (Autoplay) sur les différents volumes d'un système Windows :
Pour ce faire, il faut modifier la valeur de la clé de Registre NoDriveTypeAutoRun
Localisation : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Valeurs possibles :
Valeur | Description |
0x1 | Désactiver la fonctionnalité d'Autoplay sur les volumes de type inconnu |
0x4 | Désactiver la fonctionnalité d'Autoplay sur les volumes amovibles (lecteur de disquettes, ...) |
0x8 | Désactiver la fonctionnalité d'Autoplay sur les volumes fixes |
0x10 | Désactiver la fonctionnalité d'Autoplay sur les volumes réseaux (partagés) |
0x20 | Désactiver la fonctionnalité d'Autoplay sur les volumes de type CD-ROM |
0x40 | Désactiver la fonctionnalité d'Autoplay les volumes de type RAM |
0x80 | Désactiver la fonctionnalité d'Autoplay sur les volumes de type inconnu |
0xFF | Désactiver la fonctionnalité d'Autoplay sur tous les types de volumes |
Par défaut la fonctionnalité "Autoplay" est désactivée sur les disques amovibles comme le lecteur de disquettes (sauf pour le lecteur CD-ROM), et sur les volumes réseaux. La valeur par défaut 0x95 (149) est la somme de 0x1, 0x81 (types inconnues), 0x4 (lecteur de disquettes), et 0x10 (volumes réseaux).
Pour empêcher tout démarrage automatique (Autoplay) en dehors des CD-ROM positionner la valeur de NoDriveTypeAutoRun à 0xDF (sinon à 0x7F pour tous les volumes)
2 - Empêcher le démarrage automatique à partir du lecteur de CD-ROM :
Pour ce faire, il faut modifier la valeur de la clé de Registre Autorun
Localisation : HKLM\SYSTEM\CurrentControlSet\Services\Cdrom
Positionner la valeur 0 pour interdire le démarrage automatique.
Pour plus d'informations :
- Document de Microsoft http://msdn.microsoft.com/library/psdk/shellcc/shell/Shell_basics/Autoplay_reg.htm
- Article dans BugTraq : http://www.securityfocus.com/bid/993
