Sécurité IT : quand les antivirus ont des failles

Sécurité
antivirus-failles
6 17

Où l’on reparle de ces failles dans des produits antivirus qui permettent de contourner les mécanismes de défense de Windows.

Prévention de l’exécution des données (DEP), distribution aléatoire de l’espace d’adressage (ASLR)… Dans quelle mesure est-il possible de contourner ces mécanismes de défense intégrés dans Windows en exploitant des failles dans les produits antivirus ?

Cette problématique a fait l’objet d’une étude approfondie publiée au mois de septembre par l’expert en sécurité Tavis Ormandy, qui travaille au sein de l’équipe Google Project Zero.

Elle revient sur la table avec la découverte des chercheurs d’enSilo, start-up israélienne spécialisée dans la détection en temps réel des attaques informatiques.

Trois antivirus sont pointés du doigt : AVG, Kaspersky et McAfee. Mais il y a, selon les auteurs du rapport, de fortes chances pour que de nombreux autres logiciels soient concernés.

Pourquoi cette conviction ? Remontons aux premiers faits.

En mars dernier, la solution enSilo installée sur le poste d’un client avait émis une alerte pour un conflit avec AVG. L’étude du cas avait révélé une brèche potentiellement exploitable pour compromettre le système Windows via des applications tierces.

Pour faire la jonction avec chacun des processus associés à une application (par exemple, plusieurs onglets dans un navigateur Web), l’antivirus leur alloue une zone mémoire avec des permissions en lecture, écriture et exécution (RWX).

Problème : cette zone est toujours à la même adresse. Un pirate parvenu à prendre le contrôle d’une application et de son pointeur d’instructions peut donc facilement copier son programme malveillant dans ladite zone… et l’exécuter.

AVG avait été notifié le 10 mars 2015 de cette faille dans sa solution Internet Security 2015 (build 5736 avec base de signatures 8919). Le correctif était intervenu deux jours plus tard.

La même alerte avait été envoyée, a posteriori, à McAfee, qui avait patché, le 20 août, son logiciel Virus scan Enterprise 8.8 (moteur 5700.7163). Kaspersky a fait de même en septembre avec Total Security 2015 (15.0.2.361).

enSilo a mis à disposition un outil baptisé AVulnerabilityChecker pour permettre à chacun de vérifier s’il existe, sur son système Windows, une application potentiellement vulnérable… et plus particulièrement un antivirus.

Crédit photo : wk1003mike – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur