Sécurité IT : Avast rappelé à l’ordre par la patrouille Project Zero

Avast s’est gardé de toute annonce officielle concernant la faille corrigée la semaine passée dans ses solutions antivirus ; pas Tavis Ormandy.

Cet expert en sécurité informatique membre de l’équipe Project Zero – montée par Google à l’été 2014 pour détecter les vulnérabilités dans les principaux logiciels du marché – avait notifié l’éditeur tchèque de la vulnérabilité en question le 25 septembre 2015. Il aura fallu six jours pour qu’un patch soit déployé.

Le problème se trouvait dans la composante qu’Avast utilise pour analyser le trafic chiffré entrant dans les navigateurs Internet.

En cause, une mauvaise gestion des certificats X.509. Lorsqu’une signature incorrecte est détectée, leur attribut commonName (CN, qui sert à vérifier que c’est bien le bon hôte qui tente de s’authentifier) est rendu dans un cadre HTML.

Il suffit donc d’y insérer du code malveillant… en sachant toutefois que l’antivirus peut, dans certaines mesures, afficher des avertissements d’exécution du code. Les pirates préféreront donc s’appuyer sur un lien d’apparence anodine qui, lui, redirigera vers une charge utile.

La preuve de concept (PoC) et la documentation associée sont accessibles à cette adresse.

Tavis Ormandy s’était déjà distingué sur le dossier antivirus. Il avait déniché, au printemps, une faille critique dans le moteur d’émulation utilisé par les logiciels ESET pour contrôler toute code exécutable repéré lors de l’analyse des entrées/sorties de données sur le disque.

Crédit photo : wk1003mike – Shutterstock.com
(capture d’écran : Tavis Ormandy)