Prévention de l’exécution des données (DEP), distribution aléatoire de l’espace d’adressage (ASLR)… Dans quelle mesure est-il possible de contourner ces mécanismes de défense intégrés dans Windows en exploitant des failles dans les produits antivirus ?
Cette problématique a fait l’objet d’une étude approfondie publiée au mois de septembre par l’expert en sécurité Tavis Ormandy, qui travaille au sein de l’équipe Google Project Zero. Elle revient sur la table avec la découverte des chercheurs d’enSilo, start-up israélienne spécialisée dans la détection en temps réel des attaques informatiques.
Trois antivirus sont pointés du doigt : AVG, Kaspersky et McAfee. Mais il y a, selon les auteurs du rapport, de fortes chances pour que de nombreux autres logiciels soient concernés.
Pourquoi cette conviction ? Remontons aux premiers faits. En mars dernier, la solution enSilo installée sur le poste d’un client avait émis une alerte pour un conflit avec AVG. L’étude du cas avait révélé une brèche potentiellement exploitable pour compromettre le système Windows via des applications tierces.
Pour faire la jonction avec chacun des processus associés à une application (par exemple, plusieurs onglets dans un navigateur Web), l’antivirus leur alloue une zone mémoire avec des permissions en lecture, écriture et exécution (RWX). Problème : cette zone est toujours à la même adresse. Un pirate parvenu à prendre le contrôle d’une application et de son pointeur d’instructions peut donc facilement copier son programme malveillant dans ladite zone… et l’exécuter.
AVG avait été notifié le 10 mars 2015 de cette faille dans sa solution Internet Security 2015 (build 5736 avec base de signatures 8919). Le correctif était intervenu deux jours plus tard. La même alerte avait été envoyée, a posteriori, à McAfee, qui avait patché, le 20 août, son logiciel Virus scan Enterprise 8.8 (moteur 5700.7163). Kaspersky a fait de même en septembre avec Total Security 2015 (15.0.2.361). EnSilo a mis à disposition un outil baptisé AVulnerabilityChecker pour permettre à chacun de vérifier s’il existe, sur son système Windows, une application potentiellement vulnérable… et plus particulièrement un antivirus, selon ITespresso.
A lire aussi :
Panda Antivirus : une bourde provoque le crash de certains PC
L’antivirus bleu-blanc-rouge Uhuru sécurise Windows et Linux
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.