Prévention de l’exécution des données (DEP), distribution aléatoire de l’espace d’adressage (ASLR)… Dans quelle mesure est-il possible de contourner ces mécanismes de défense intégrés dans Windows en exploitant des failles dans les produits antivirus ?
Cette problématique a fait l’objet d’une étude approfondie publiée au mois de septembre par l’expert en sécurité Tavis Ormandy, qui travaille au sein de l’équipe Google Project Zero.
Elle revient sur la table avec la découverte des chercheurs d’enSilo, start-up israélienne spécialisée dans la détection en temps réel des attaques informatiques.
Trois antivirus sont pointés du doigt : AVG, Kaspersky et McAfee. Mais il y a, selon les auteurs du rapport, de fortes chances pour que de nombreux autres logiciels soient concernés.
Pourquoi cette conviction ? Remontons aux premiers faits.
En mars dernier, la solution enSilo installée sur le poste d’un client avait émis une alerte pour un conflit avec AVG. L’étude du cas avait révélé une brèche potentiellement exploitable pour compromettre le système Windows via des applications tierces.
Pour faire la jonction avec chacun des processus associés à une application (par exemple, plusieurs onglets dans un navigateur Web), l’antivirus leur alloue une zone mémoire avec des permissions en lecture, écriture et exécution (RWX).
Problème : cette zone est toujours à la même adresse. Un pirate parvenu à prendre le contrôle d’une application et de son pointeur d’instructions peut donc facilement copier son programme malveillant dans ladite zone… et l’exécuter.
AVG avait été notifié le 10 mars 2015 de cette faille dans sa solution Internet Security 2015 (build 5736 avec base de signatures 8919). Le correctif était intervenu deux jours plus tard.
La même alerte avait été envoyée, a posteriori, à McAfee, qui avait patché, le 20 août, son logiciel Virus scan Enterprise 8.8 (moteur 5700.7163). Kaspersky a fait de même en septembre avec Total Security 2015 (15.0.2.361).
enSilo a mis à disposition un outil baptisé AVulnerabilityChecker pour permettre à chacun de vérifier s’il existe, sur son système Windows, une application potentiellement vulnérable… et plus particulièrement un antivirus.
Crédit photo : wk1003mike – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…