DoubleAgent : une faille dans Windows permet de s’attaquer aux antivirus

Sécurité : La société israélienne Cybellum a détecté une faille de sécurité affectant plusieurs versions de Windows. Celle-ci permet une élévation de privilège en exploitant une fonctionnalité d’Application Verifier afin de contaminer un processus avec un fichier DLL malveillant.

La société israélienne Cybellum publie les détails d’une faille de sécurité permettant une élévation de privilège au sein de Windows. Cette vulnérabilité exploite selon la société un comportement particulier au programme Application Verifier, un outil utilisé par Microsoft pour analyser le comportement des programmes.

Grâce à celui-ci, les chercheurs de Cybellum sont parvenus à injecter des fichiers DLL dans des processus fonctionnant sur la machine. Au hasard, ils ont ainsi choisi de tester leur technique sur les antivirus : ceux-ci bénéficient généralement d’un niveau de privilège élevé sur la machine. Dans sa démonstration, les chercheurs de Cybellum transforment ainsi Norton Antivirus en ransomware, via une injection de DLL malveillant.

 

La technique peut donc être assimilée à une injection DLL : les fichiers DLL, pour Dynamic Link Library, sont utilisés par Windows pour stocker les bibliothèques logicielles et fonctions dont les programmes auront besoin. Ces outils sont soumis à des mesures de protection, mais Cybellum explique être parvenu à trouver un moyen d’injecter leurs DLL dans n’importe quel processus. Cette attaque présente notamment la particularité d’être persistante et de pouvoir survivre à un reboot de la machine ou à une réinstallation de l’application.

Mais l’attaque n’est pas à la portée de tous : comme le précise le site Bleeping Computer, un attaquant qui souhaiterait avoir recours à cette technique aurait besoin de modifier les clefs de registres de la machine, et donc d’avoir accès à l’éditeur de registre Windows, ce qui nécessite généralement les droits d’administrateur sur la machine.

Cybellum explique avoir communiqué la faille en question aux différents vendeurs de logiciels antivirus, mais après 90 jours d’attente, la société publie maintenant les détails de la faille en question.

Seuls 3 antivirus ont publié un patch afin de corriger la faille sur leur programme : Trend Micro, AVG et Malwarebytes. Windows Defender, de son côté, a recours à une technologie introduite dans Windows 8.1 baptisée Protected Processes et qui vise à empêcher ce type d’attaque. Il n’est donc pas concerné par cette faille de sécurité.

DoubleAgent : une faille dans Windows permet de s’attaquer aux antivirus

Source : L’article << DoubleAgent : une faille dans Windows permet de s’attaquer aux antivirus >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

rester-informer
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

By | 2017-03-23T10:56:14+00:00 mars 23rd, 2017|Actualité|0 Comments

Leave A Comment