Pour gérer vos consentements :

Des trous de sécurité dans les antivirus

Où l’on reparle de ces produits antivirus qui abritent des failles permettant de contourner les mécanismes de défense de Windows… En septembre 2015, l’expert en sécurité informatique Tavis Ormandy, qui travaille au sein de l’équipe Google Project Zero, avait publié une étude à ce sujet.

Deux de ses confrères – en l’occurrence, Tomer Bitton et Udi Yavo, de la start-up israélienne enSilo, spécialisée dans la détection des attaques en temps réel – avaient approfondi la problématique.

Dans leur rapport, ils pointaient du doigt trois éditeurs (AVG, Kaspersky, McAfee), tout en suggérant que d’autres logiciels étaient probablement concernés par la vulnérabilité qu’ils avaient découverte.

La vulnérabilité en question permet, sans nécessiter de privilèges de niveau administrateur, d’exécuter du code malveillant en déjouant des technologies de type ASLR (distribution aléatoire de l’espace d’adressage) ou DEP (prévention de l’exécution des données).

Pour faire la jonction avec chacun des processus associés à une application (par exemple, plusieurs onglets dans un navigateur Web), l’antivirus leur alloue une zone mémoire avec des permissions en lecture, écriture et exécution (RWX).

Problème : dans de nombreux cas, cette zone est toujours à la même adresse. Un tiers parvenu à prendre le contrôle d’un programme et de son pointeur d’instructions peut donc facilement copier son code malveillant dans ladite zone… et l’exécuter.

Detours de Microsoft sur la sellette

La conférence Black Hat USA 2016, qui aura lieu du 30 juillet au 4 août à Las Vegas, sera, pour Tomer Bitton et Udi Yavo, l’occasion de faire le point sur l’avancée de leurs travaux.

À première vue, il y a des choses à dire : une demi-douzaine de failles ont été dénichées dans plus d’une quinzaine de produits. Mais ce sont potentiellement des milliers de logiciels qui sont affectés. Tout du moins tous ceux qui s’appuient sur la bibliothèque Microsoft Detours, destinée notamment à intercepter des fonctions d’applications et de processus, puis à en réécrire le code pour des fonctions cibles.

Les principaux antivirus exploitent cette technique dite de « hooking » pour détecter des comportements malveillants, entre autres au niveau des fonctions d’allocation de la mémoire (VirtualAlloc, VirtualProtect…). L’essentiel des programmes « intrusifs », comme ceux qui analysent les performances du système, en font aussi usage, dixit ITespresso.

Malheureusement, l’implantation des mécanismes d’injection de code depuis le noyau n’est pas toujours bien effectuée – que ce soit par import de tables, fonctions asynchrones ou modification du point d’entrée de la fonction cible.

enSilo a mis à disposition un outil baptisé AVulnerabilityChecker pour permettre à chacun de vérifier s’il existe, sur son système Windows, une application potentiellement vulnérable… et plus particulièrement un antivirus.

A lire aussi :

Antivirus DAVFI : l’autre grand gâchis de l’informatique souveraine ?

Des antivirus malveillants

Crédit photo © dgmata – Fotolia.com

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

3 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

3 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

7 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

10 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

12 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago