Prévention de l’exécution des données (DEP), distribution aléatoire de l’espace d’adressage (ASLR)… Dans quelle mesure est-il possible de contourner ces mécanismes de défense intégrés dans Windows en exploitant des failles dans les produits antivirus ?
Cette problématique a fait l’objet d’une étude approfondie publiée au mois de septembre par l’expert en sécurité Tavis Ormandy, qui travaille au sein de l’équipe Google Project Zero.
Elle revient sur la table avec la découverte des chercheurs d’enSilo, start-up israélienne spécialisée dans la détection en temps réel des attaques informatiques.
Trois antivirus sont pointés du doigt : AVG, Kaspersky et McAfee. Mais il y a, selon les auteurs du rapport, de fortes chances pour que de nombreux autres logiciels soient concernés.
Pourquoi cette conviction ? Remontons aux premiers faits.
En mars dernier, la solution enSilo installée sur le poste d’un client avait émis une alerte pour un conflit avec AVG. L’étude du cas avait révélé une brèche potentiellement exploitable pour compromettre le système Windows via des applications tierces.
Pour faire la jonction avec chacun des processus associés à une application (par exemple, plusieurs onglets dans un navigateur Web), l’antivirus leur alloue une zone mémoire avec des permissions en lecture, écriture et exécution (RWX).
Problème : cette zone est toujours à la même adresse. Un pirate parvenu à prendre le contrôle d’une application et de son pointeur d’instructions peut donc facilement copier son programme malveillant dans ladite zone… et l’exécuter.
AVG avait été notifié le 10 mars 2015 de cette faille dans sa solution Internet Security 2015 (build 5736 avec base de signatures 8919). Le correctif était intervenu deux jours plus tard.
La même alerte avait été envoyée, a posteriori, à McAfee, qui avait patché, le 20 août, son logiciel Virus scan Enterprise 8.8 (moteur 5700.7163). Kaspersky a fait de même en septembre avec Total Security 2015 (15.0.2.361).
enSilo a mis à disposition un outil baptisé AVulnerabilityChecker pour permettre à chacun de vérifier s’il existe, sur son système Windows, une application potentiellement vulnérable… et plus particulièrement un antivirus.
Crédit photo : wk1003mike – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…