Prévention de l’exécution des données (DEP), distribution aléatoire de l’espace d’adressage (ASLR)… Dans quelle mesure est-il possible de contourner ces mécanismes de défense intégrés dans Windows en exploitant des failles dans les produits antivirus ?
Cette problématique a fait l’objet d’une étude approfondie publiée au mois de septembre par l’expert en sécurité Tavis Ormandy, qui travaille au sein de l’équipe Google Project Zero.
Elle revient sur la table avec la découverte des chercheurs d’enSilo, start-up israélienne spécialisée dans la détection en temps réel des attaques informatiques.
Trois antivirus sont pointés du doigt : AVG, Kaspersky et McAfee. Mais il y a, selon les auteurs du rapport, de fortes chances pour que de nombreux autres logiciels soient concernés.
Pourquoi cette conviction ? Remontons aux premiers faits.
En mars dernier, la solution enSilo installée sur le poste d’un client avait émis une alerte pour un conflit avec AVG. L’étude du cas avait révélé une brèche potentiellement exploitable pour compromettre le système Windows via des applications tierces.
Pour faire la jonction avec chacun des processus associés à une application (par exemple, plusieurs onglets dans un navigateur Web), l’antivirus leur alloue une zone mémoire avec des permissions en lecture, écriture et exécution (RWX).
Problème : cette zone est toujours à la même adresse. Un pirate parvenu à prendre le contrôle d’une application et de son pointeur d’instructions peut donc facilement copier son programme malveillant dans ladite zone… et l’exécuter.
AVG avait été notifié le 10 mars 2015 de cette faille dans sa solution Internet Security 2015 (build 5736 avec base de signatures 8919). Le correctif était intervenu deux jours plus tard.
La même alerte avait été envoyée, a posteriori, à McAfee, qui avait patché, le 20 août, son logiciel Virus scan Enterprise 8.8 (moteur 5700.7163). Kaspersky a fait de même en septembre avec Total Security 2015 (15.0.2.361).
enSilo a mis à disposition un outil baptisé AVulnerabilityChecker pour permettre à chacun de vérifier s’il existe, sur son système Windows, une application potentiellement vulnérable… et plus particulièrement un antivirus.
Crédit photo : wk1003mike – Shutterstock.com
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…