ZHPDiag – Module O34 – BootExecute (BEX)

Pour son fonctionnement, Microsoft Windows NT utilise au démarrage une session manager (Session Manager).

L’authentification LSA décrit les parties de l’autorité de sécurité locale (LSA) que les applications peuvent utiliser pour authentifier et enregistrer les utilisateurs sur le système local. Il décrit également comment créer et appeler des packages d’authentification et des packages de sécurité. Les fonctions d’authentification LSA vous permettent d’écrire un package d’authentification ou un package d’authentification/fournisseur de support de sécurité combiné (SSP/AP).

Certains logiciels sains utilisent cette fonctionnalité pour exécuter des opérations spécifiques comme par exemple une défragmentation des disques, c’est le cas par exemple d’O&O Software (O&O Defrag) ou de Raxco Software (PerfectDisk Boot Time Defragmentation). D’autres logiciels permettent d’effectuer un nettoyage, c’est le cas par exemple de Lavasoft AB (Ad-Aware Boot Cleaner) ou de SurfRight B.V. (Hitman BootDelete)

Toutefois, une utilisation abusive de cette vulnérabilité permet l’exécution d’un programme malware lors du démarrage du système.

La recherche porte sur la clé de Base de Registres [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager], avec insertion de données dans la valeur Bootexecute.

Aperçu ZHPDiag

—\\ BootExecute (O34)
O34 – HKLM BootExecute: (autocheck autochk *) – File not found
O34 – HKLM BootExecute: (OODBS) (.O&O Software GmbH – O&O BootTimeDefrag.) — C:\Windows\system32\OODBS.exe

Action ZHPFix

O34 – HKLM BootExecute: ( {DataName} )- (…) — {FileName}

{Key} : Clé de la Base de Registres [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
{DataName} : Donnée de la valeur de la clé ‘BootExecute »

1) L’outil supprime le fichier {FileName}

Exemple de détection

O34 – HKLM BootExecute: (1028560) (…) — C:\Windows\system32\1028560.exe

Liens

* Local Security Authority Subsystem Service
* LSA Authentication (Microsoft)
* LSA Secrets