|
|
HijackThis : Analyse des lignes O15 - Zone de confiance d'IE
HijackThis : Analyse des lignes O15 - Zone de confiance d'Internet Explorer
Les lignes O15
Les lignes O15 d'une analyse HijackThis font ressortir des usurpations potentielles dans la "zone de confiance" d'Internet Explorer
- inscription en zone de confiance de domaines (sites)
- inscription en zone de confiance d'adresses IPs ou d'intervalles d'adresses IPs de machines (IPs range))
- inscription en zone de confiance de protocoles de communication normalement assignés à des zones plus surveillées et durcies
Zone de confiance d'Internet Explorer
La navigation, avec Internet Explorer, est divisée en profils de sécurité appelés "zones" sur lesquelles vous pouvez naviguer et, pour chacune d'elles, le niveau de sécurité est ajusté grâce à un certain nombre de restrictions et d'autorisations (paramètres par défaut modifiables par l'utilisateur ou par un usurpateur). La sécurisation de la navigation porte sur diverses choses mais, essentiellement, sur l'autorisation donnée ou non à Internet Explorer d'exécuter automatiquement, sans interrompre l'utilisateur ni l'avertir, les scripts embarqués dans les pages Web visitées. Ces scripts sont dans diverses technologies (VBScripts, ActiveX, JavaScripts, Java Applets etc. ...). Ces scripts peuvent être légitimes ou hostiles : voir pages ActiveX et Anti-ActiveX, Java et Anti-Java, JavaScript et Anti-Javascript, Script et Anti-Script, par exemple, pour en savoir plus et voir comment les contrôler.
Ces profils (zones) sont au nombre de 5 :
Numéro de la zone |
Nom de la zone |
0 |
Poste de travail |
1 |
Intranet |
2 |
Sites de confiance |
3 |
Internet |
4 |
Sites sensibles |
L'un des profils de sécurité d'Internet Explorer est dit "Sites de confiance". Ce profil est laxiste car on ne peut naviguer avec ce profil que sur un domaine (un site) inscrit dans une liste de domaines dits "de confiance", liste que vous avez établie vous-même (votre banque, les sites du gouvernement, le site de votre fournisseur d'antivirus, assiste.com etc. ... Il n'y a pas de liste par défaut). Généralement, le paramétrage de ce profil de sécurité autorise tout.
Pour accéder à votre "Zone de confiance" et à la liste des sites insrits dans cette zone faire :
Internet Explorer > Outils > Options Internet > Onglet "Sécurité" > Sites de confiance
Nota : Par défaut, le Poste de travail n'apparaît pas dans la sélection de zone sous l'onglet Sécurité. Pour le faire apparaître, modifier la valeur de "Flag" de la zone 0 dans la clé
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
La passer de 21 à 43 (en héxadécimal)
En cliquant sur "Personnaliser le niveau" vous pouvez voir quels sont les réglages de sécurité particulièrement laxistes de ce profil (de cette zone).
En cliquant sur "Sites..." vous pouvez voir quels sont les domaines "de confiance" qui "bénéficient" de ce profil de sécurité laxiste.
On comprend que les crapules du Net aient envie d'inscrire leurs sites dans cette liste afin de pouvoir exécuter leurs scripts hostiles à votre insu.
Pour produire son analyse, HijackThis lit les clés suivantes de la base de registre :
Clés : |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges |
Les lignes O15 d'un rapport HijackThis ressemblent à ceci :
Exemples de lignes O15 : |
O15 - Trusted Zone: http://assiste.com |
O15 - Trusted IP range: 206.161.125.149 |
O15 - Trusted IP range: 206.161.125.149 (HKLM) |
O15 - Trusted Zone: http://free.aol.com
|
O15 - Trusted Zone: *.coolwebsearch.com
|
O15 - Trusted Zone: *.msn.com
|
Internet Explorer 4.0, 5.0, 6.0 et versions ultérieures
Les paramètres des zones de sécurité de Microsoft Internet Explorer sont stockés sous les clés de Registre suivantes :
Clés : |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings |
Par défaut, les paramètres de zone de sécurité sont stockés dans la clé de Registre HKEY_CURRENT_USER. Cette clé est chargée dynamiquement, pour chaque utilisateur, donc les paramètres d'un utilisateur n'affectent pas ceux d'un autre.
Chacune de ces clés contient les clés suivantes :
Clés : |
TemplatePolicies |
ZoneMap |
Zones |
- TemplatePolicies
La clé TemplatePolicies contient les valeurs par défaut des 4 profils de sécurité (Bas (Low), Moyennement bas (MedLow), Moyen (Medium) et Élevé (High)) applicables aux 5 zones de sécurité (Poste de travail, Intranet, Sites de confiance, Internet, Sites sensibles). Vous pouvez établir ou rétablir un profil de sécurité pour une zone, à partir des paramètres par défaut stockés dans TemplatePolicies (en cliquant sur le bouton "Niveau par défaut") :
Vous ne pouvez pas créer des profils par défaut supplémentaires.
La clé TemplatePolicies contient 4 clés, High, Low, Medium, MedLow qui contiennent les valeurs déterminant les profils de sécurité. Les noms des paramètres sont les mêmes dans chacune de ces 4 clés, seules les valeurs changent.
Les noms sont :
Nom (identificateur) de la valeur |
Signification du paramètre |
1001 |
Télécharger les contrôles ActiveX signés |
1001 |
Télécharger les contrôles ActiveX non signés |
1200 |
Exécuter les contrôles ActiveX et les plugins |
1201 |
Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés |
1206 |
Autoriser les scripts de contrôle du navigateur Internet Explorer |
1400 |
Active scripting |
1402 |
Script des applets Java |
1405 |
Contrôles ActiveX reconnus sûrs pour l'écriture de scripts |
1406 |
Accès aux sources de données sur plusieurs domaines |
1407 |
Permettre les opérations de collage par le biais de script |
1601 |
Soumettre les données de formulaire non codées |
1604 |
Téléchargement de polices |
1605 |
Exécution de Java |
1606 |
Permanence des données utilisateur |
1607 |
Navigation de sous-cadres sur différents domaines |
1608 |
Autoriser l'actualisation des métafichiers * |
1609 |
Afficher un contenu mixte * |
1800 |
Installation des éléments du Bureau |
1802 |
Glisser-déplacer ou copier-coller des fichiers |
1803 |
Téléchargement de fichier |
1804 |
Lancement des programmes et des fichiers dans un IFRAME |
1805 |
Lancement des programmes et des fichiers en mode d'affichage Web |
1806 |
Lancement des applications et des fichiers non sécurisés |
1807 |
Réservé ** |
1808 |
Réservé ** |
1809 |
Bloqueur de fenêtres publicitaires intempestives ** |
1A00 |
Connexion |
1A02 |
Autoriser les cookies persistants stockés sur votre ordinateur |
1A03 |
Autoriser les cookies par session (non stockés) |
1A04 |
Ne pas demander la sélection d'un certificat client lorsqu'il n'existe aucun ou un seul certificat * |
1A05 |
Autoriser les cookies persistants tierce partie * |
1A05 |
Autoriser les cookies tierce partie par session * |
1A10 |
Paramètres de confidentialité * |
1C00 |
Autorisations Java |
1E05 |
Autorisations pour les chaînes de logiciel |
1F00 |
Réservé * * |
2000 |
Comportements de fichiers binaires et des scripts |
2001 |
Exécuter les composants .NET signés avec Authenticode |
2004 |
Exécuter les composants .NET non signés avec Authenticode |
2100 |
Ouvrir les fichiers en fonction du contenu, pas de l'extension de fichier ** |
2101 |
Les sites Web dans des zones de contenu de moindre privilège peuvent naviguer dans cette zone ** |
2102 |
Autoriser les fenêtres initiées par des scripts sans contrainte de taille ou de position ** |
2200 |
Demander confirmation pour les téléchargements de fichiers ** |
2201 |
Demander confirmation pour les contrôles ActiveX ** |
2300 |
Autoriser les pages Web à utiliser les protocoles restreints pour le contenu actif ** |
{AEBA21FA-782A-4A90-978D-B72164C80120} |
Cookies internes * |
{A8A88C49-5EB2-4990-A1A2-0876022C854F} |
Cookies tierce partie * |
* paramètre Internet Explorer 6 ou versions ultérieures
** indique un paramètre Microsoft Windows XP avec le Service Pack 2 ou version ultérieure
Ce qui donne, par exemple pour le profil Elevé (High) :
Note : Sauf cas particulier, chaque valeur DWORD est égale à zéro, un ou trois. En général, une valeur égale à zéro autorise une action spécifique, une valeur égale à un provoque l'affichage d'un message et une valeur égale à trois interdit l'action spécifique.
- ZoneMap
La clé ZoneMap contient les clés suivantes : Ces 3 clés sont analysées par HijackThis
Clés de la clé ZoneMap |
Domains |
ProtocolDefaults |
Ranges |
- Domains
La clé Domains contient la liste des domaines qui ont été ajoutés pour générer un comportement sécuritaire d'Internet Explorer différent du comportement par défaut. Par exemple, sur la zone Internet, le réglage de sécurité utilisé est celui de la zone Internet mais si le domaine (le site) que vous cherchez à atteindre se trouve listé dans la clé "Domains", c'est le profil de sécurité particulier noté pour ce domaine qui sera appliqué. À chaque ajout d'un domaine, une clé est ajoutée à la clé Domains. Les sous-domaines apparaissent sous forme de clés sous le domaine auquel ils appartiennent. Chaque clé répertoriant un domaine contient une valeur DWORD avec un nom de valeur du protocole concerné. La valeur DWORD est identique à la valeur numérique de la zone de sécurité à laquelle le domaine est ajouté.
Si HijackThis liste des domaines en O15 dans son journal, vous devriez normalement les supprimer sauf s'il s'agit d'URLs connues de vous. La ligne que vous verrez le plus fréquemment est free.aol.com que vous pouvez corriger si vous le désirez.
Exemples :
Bien qu'en navigation Internet, avec le profil de sécurité de la zone Internet, l'accès au site http://assiste.com se fera sous le profil de sécurité "Sites de confiance" - la valeur reg-dword est à 2 (Sites de confiance)
Bien qu'en navigation Internet, avec le profil de sécurité de la zone Internet, l'accès au site http://sisite.rassi se fera sous le profil de sécurité "Sites sensibles" - la valeur reg-dword est à 4 (Sites sensibles)
- ProtocolDefaults
La clé ProtocolDefaults spécifie la zone de sécurité par défaut utilisée pour un protocole particulier (ftp, http, https). Pour modifier le paramètre par défaut, vous pouvez soit ajouter un protocole à une zone de sécurité en cliquant sur Ajouter des sites sous l'onglet Sécurité, soit ajouter une valeur DWORD sous la clé Domains. Le nom de la valeur DWORD doit correspondre au nom du protocole et ne doit pas contenir de deux-points (:) ni de barres obliques (/).
La clé ProtocolDefaults contient également des valeurs DWORD qui spécifient les zones de sécurité par défaut dans lesquelles un protocole est utilisé. Vous ne pouvez pas utiliser les contrôles sous l'onglet Sécurité pour modifier ces valeurs. Ce paramètre est utilisé lorsqu'un site Web particulier n'appartient pas à une zone de sécurité.
Les valeurs par défaut sont :
Protocole |
Zone |
HTTP |
3
|
HTTPS |
3
|
FTP |
3
|
@ivt |
1
|
shell |
0
|
Si vous vous connectez à un site en mode http (en utilisant le protocole http://), la connexion se fera, par défaut, sous le profil de sécurité de la zone Internet car c'est la zone par défaut pour le protocole http. Si une crapule du Net arrive à usurper ce paramétrage et modifie la zone par défaut pour un protocole donné, ceci peut abaisser le niveau sécuritaire d'une zone. Une crapule peut passer le protocole HTTP du profil 3 (Internet) au profil 2 (Sites de confiance). N'importe quel domaine visité sera alors considéré "de confiance" ! Jusqu'à présent, on ne connaît pas de crapule ayant fait cela, mais cela pourrait changer.
Si les paramètres par défaut ont été modifiés, vous verrez dans HijackThis une ligne semblable à celle ci-dessous:
Exemple |
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM) |
Pour corriger ces paramètres et remettre les valeurs par défaut, corrigez simplement la ligne via HijackThis.
- Ranges
La clé Ranges contient des adresses IPs ou des intervalles (plages) d'adresses IPs. Le nom de la clé n'a pas d'importance - il est généré automatiquement (Range1, Range2, Range3, Range4 etc. ...) à chaque ajout, dans "Sites...", d'une adresse IP ou d'un intervalle d'adresses IPs. Cette clé contient une valeur de chaîne (:Range) qui contient l'adrese IP ou l'intervalle spécifié. Une valeur DWORD générique (nom "*") indique le profil de sécurité à utiliser pour tous les protocoles.
Si HijackThis liste des adresses de machines ou des intervalles de machines en O15 dans son journal, vous devriez normalement les supprimer sauf s'il s'agit d'IPs connues de vous.
Bien qu'en navigation Internet, avec le profil de sécurité de la zone Internet, l'accès aux domaines se trouvant hébergés sur l'une quelconque des 256 machines dans l'intervalle 63.20.240.0 à 63.20.240.255 se fera sous le profil de sécurité "Sites sensibles" - la valeur reg-dword est à 4 (Sites sensibles)
Bien qu'en navigation Internet, avec le profil de sécurité de la zone Internet, l'accès aux domaines se trouvant hébergés sur la machine 217.70.178.17 se fera sous le profil de sécurité "Sites de confiance" - la valeur reg-dword est à 2 (Sites de confiance)
Il est possible de préciser, pour une adresse IP ou un intervale d'adresses IP (un IP range), des valeurs DWORD spécifiques par protocole (par exemple 2 en FTP et 4 en HTTP...).
Nota:
Lorsque le fichier Urlmon.dll utilise la fonction publique MapUrlToZone pour convertir une URL particulière en une zone de sécurité, il applique l'une des méthodes suivantes :
Si l'URL contient un nom de domaine complet, la clé Domains est prise en compte.
Avec cette méthode, une correspondance de site exacte est prioritaire par rapport à une correspondance aléatoire. |
Si l'URL contient une adresse IP, la clé Ranges est prise en compte. L'adresse IP de l'URL est comparée à la valeur :Range contenue dans chacune des clés nommées arbitrairement sous la clé Ranges.
Remarque Les clés nommées arbitrairement étant traitées dans l'ordre dans lequel elles ont été ajoutées au Registre, cette méthode peut trouver une correspondance aléatoire avant une correspondance exacte. Dans ce cas, l'URL peut être exécutée dans une zone de sécurité différente de celle à laquelle elle est normalement affectée. Ce comportement est voulu par la conception même du produit. |
- Zones
La clé Zones contient les clés représentant, finalement, le profil de sécurité à appliquer pour chacune des 5 zones de navigation, profils pouvant être modifiés (personnalisés - bouton "Personnaliser le niveau") par l'utilisateur (ou un usurpateur). La présentation du contenu de ces clés est identique à celle des TemplatePolicies.
Remarques relatives à 1200, 1803, 1A00, 1A10, 1E05 et 1C00
- 1200
Exécuter les contrôles ActiveX et les plugins (1200) possède un paramètre supplémentaire nommé "Approuvé par l'administrateur". Lorsqu'il est activé, la valeur DWORD est 00010000. La clé de Registre suivante est vérifiée afin d'obtenir une liste de contrôles approuvés :
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls
- 1803
Il n'existe pas de paramètre d'invite pour le téléchargement de fichier (1803) car ce dernier est soit autorisé, soit interdit.
- 1A00
Le paramètre Connexion (1A00) possède l'une des valeurs (hexadécimales) suivantes :
Valeur |
Paramètre |
0x00000000 |
Connexion automatique avec le nom d'utilisateur et le mot de passe actuels |
0x00010000 |
Demander le nom d'utilisateur et le mot de passe |
0x00020000 |
Connexion automatique uniquement dans la zone intranet |
0x00030000 |
Ouverture de session anonyme |
- 1A10
Les paramètres de confidentialité (1A10) sont utilisés par le curseur de l'onglet Confidentialité. Les valeurs DWORD sont les suivantes :
Bloquer tous les cookies : 00000003
Haute : 00000001
Moyennement haute : 00000001
Moyenne : 00000001
Basse : 00000001
Accepter tous les cookies : 00000000
En fonction des paramètres du curseur, les valeurs de {A8A88C49-5EB2-4990-A1A2-0876022C854F} et/ou {AEBA21Fa-782A-4A90-978D-B72164C80120} seront modifiées en conséquence.
- 1E05
Autorisations pour les chaînes du logiciel (1E05) a 3 valeurs différentes (sécurité haute, basse et moyenne). Les valeurs correspondantes sont les suivantes :
haute : 00010000
moyenne : 00020000
basse : 00030000
- 1C00
Le paramètre Autorisations Java (1C00) peut prendre les cinq valeurs (binaires) suivantes :
Valeur |
Paramètre |
00 00 00 00 |
Désactiver Java |
00 00 01 00 |
Haute sécurité |
00 00 02 00 |
Sécurité moyenne |
00 00 03 00 |
Basse sécurité |
00 00 80 00 |
Personnalisée |
Si la valeur Personnalisée est sélectionnée, le paramètre utilise {7839DA25-F5FE-11D0-883B-0080C726DCBB} (situé au même emplacement dans le Registre) pour stocker les informations personnalisées dans un blob binaire.
À l'exception de la zone Poste de travail, chaque zone contient une valeur DWORD CurrentLevel, MinLevel et RecommendedLevel. La valeur MinLevel définit le paramètre minimum qui peut être utilisé avant la réception d'un message d'avertissement, CurrentLevel correspond au paramètre actuel de la zone et RecomendedLevel désigne le niveau recommandé pour la zone.
Signification des valeurs pour Minlevel, RecommendedLevel et CurrentLevel :
Valeur (hexadécimale) |
Paramètre |
0x00010000 |
Basse sécurité |
0x00010500 |
Sécurité moyennement basse |
0x00011000 |
Sécurité moyenne |
0x00012000 |
Haute sécurité |
La valeur DWORD Flags détermine si l'utilisateur est autorisé à modifier les propriétés de la zone de sécurité. Pour déterminer la valeur Flags, additionnez les numéros des paramètres appropriés. Les valeurs Flags (décimales) disponibles sont les suivantes :
Valeur |
Paramètre |
1 |
Autoriser la modification des paramètres personnalisés |
2 |
Autoriser les utilisateurs à ajouter des sites Web à cette zone |
4 |
Exiger un serveur sécurisé (https:) pour tous les sites Web |
8 |
Inclure tous les sites qui n'utilisent pas de serveur proxy |
16 |
Inclure les sites Web non répertoriés dans d'autres zones |
32 |
Ne pas afficher la zone de sécurité dans les propriétés Internet (paramètre par défaut du Poste de travail) |
64 |
Afficher la nécessité d'une vérification du serveur |
128 |
Traiter les conventions d'affectation de noms (UNC) en tant que connexions intranet |
Si vous ajoutez des paramètres aux clés HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER, ces paramètres sont cumulatifs. Si vous ajoutez des sites Web aux deux clés, seuls les sites Web répertoriés dans HKEY_CURRENT_USER sont visibles. Les sites Web répertoriés dans la clé HKEY_LOCAL_MACHINE sont toujours pris en compte en fonction de leurs paramètres, mais ils ne sont pas disponibles et ne peuvent pas être modifiés. Cette situation peut être source de confusion car un site Web ne peut être répertorié que dans une seule zone de sécurité par protocole.
Que faire ?
La plupart du temps, seuls AOL et CoolWebSearch ajoutent silencieusement des sites à la zone de confiance d'Internet Explorer. Si vous n'avez pas ajouté le domaine spécifié à la liste des sites de confiance, corrigez avec HijackThis.
|
|
|