Créer des fonctionnalités cachées n’est pas toujours une bonne idée, surtout si elles représentent un risque de sécurité. Les chercheurs en sécurité de Cybellum viennent justement de trouver une telle trappe secrète dans le logiciel « Application Verifier ». Destiné aux développeurs, cet outil est présent dans toutes les versions Windows depuis la version XP et permet de chercher des bugs dans les programmes en leur injectant une DLL spécifique (bibliothèque logicielle chargée en mémoire). Une fonction non documentée – et qui existerait depuis 15 ans ! – permet toutefois de remplacer cette DLL par une autre, créé sur mesure par le développeur. Un pirate capable d’exécuter du code sur une machine pourra donc s’appuyer sur cette technique pour saborder n’importe quel processus exécuté, y compris ceux du système d’exploitation lui-même.
14 antivirus sont vulnérables
A titre d’exemple, les chercheurs se sont penchés sur les antivirus qui sont des cibles de choix car elles ont des accès privilégiés sur le système. Les chercheurs ont ainsi créé un code qui, une fois exécuté, transforme de manière spectaculaire ces applications de sécurité en affreux malware. Cela a fonctionné pour au moins 14 logiciels, dont Avast, AVG, Eset, F-Secure, Kaspersky et Norton. Les chercheurs ont démontré leur attaque dans une vidéo YouTube.
Cette technique de piratage est d’autant plus intéressante qu’elle est persistante. La DLL malveillante est associée durablement à l’application ciblée et sera automatiquement injectée à chaque exécution, même après un redémarrage de système. « L’injection de code se passe dès le début du démarrage du processus ciblé. L’attaquant obtient donc un contrôle total du processus, et celui-ci n’a aucun moyen pour se protéger », peut-on lire dans une note de blog technique. Selon les chercheurs, la seule manière d’éviter cette attaque est d’appliquer le principe des « process protégés » (« Protected Processes »). Introduit par Microsoft il y a quelques années, ce nouveau concept permet aux éditeurs de faire en sorte que seul du code signé et authentifié puisse être chargé en mémoire et exécuté. Parmi toutes les solutions antivirus testées, seul Windows Defender était conforme à cette architecture, ce qui la rendait donc insensible à cette attaque.
Selon HackerNews, Cybellum a alerté les éditeurs antivirus il y a plus de 90 jours avant la publication de la faille zero-day. A ce jour, seuls Malwarebytes et AVG auraient publié un patch.
Mise à jour le 24/03/2017: Eset confirme à son tour avoir apporté les correctifs nécessaires à ses produits pour pallier à cette attaque. Dans une note de blog, l’éditeur souligne toutefois que “la gravité de cette vulnérabilité est considérée comme étant très faible puisque les attaquants doivent avoir tous les droits d’administrateur de la machine de la victime”.
Source: note de blog Cybellum
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.