Sécurité IT : ESET se dépêtre d’une faille critique
ESET a corrigé une faille critique découverte dans le moteur d’émulation de ses solutions antivirus par un chercheur de l’équipe Google Project Zero.
Il s’était déjà distingué en trouvant, ces dernières années, plusieurs failles critiques dans les solutions antivirus de Sophos, puis dans celles de Microsoft : Tavis Ormandy a récidivé en ciblant cette fois les produits ESET.
Cet expert en sécurité, membre de l’équipe Project Zero chez Google, a publié les résultats de ses recherches quelques jours après les avoir communiqués à l’éditeur slovaque, qui a ainsi pu corriger la vulnérabilité au moyen d’une mise à jour de son moteur d’émulation.
C’est effectivement cette composante qui pose problème. Elle est au coeur du dispositif d’analyse d’ESET : tout code exécutable détecté lors de l’analyse des entrées/sorties de données sur le disque y est décompressé, puis testé sur plusieurs dizaines de milliers de cycles afin de déterminer s’il présente un risque pour le système.
A la fin de l’analyse, le code est associé à une signature qui simplifie ensuite sa détection. Problème : ce dispositif d’émulation, partagé par toutes les éditions d’ESET encore prises en charge*, n’est pas suffisamment robuste. Il peut facilement être contourné, avec à la clé un risque de compromission de l’ensemble d’un système informatique.
Les entrées/sorties sur un disque pouvant être déclenchées via une page Web, un périphérique USB, du stockage réseau ou encore la messagerie électronique, il existe de nombreuses portes pour faire passer des données malveillantes… et prendre la main sur le processus de scan.
Ce dernier (ekrn.exe sur Windows ; esets_daemon sur Mac et Linux) s’exécute avec un niveau très élevé de privilèges. Quiconque parvient à en prendre le contrôle peut ensuite lire, écrire et supprimer des fichiers sur le système ciblé, mais aussi installer des programmes, accéder aux périphériques et enregistrer l’activité.
En toute discrétion
Aucune action n’étant requise de la part de l’utilisateur pour déclencher l’infection, c’est la faille idéale pour diffuser un ver, c’est-à-dire un virus capable de se reproduire et de se déplacer à travers le réseau.
Dans sa documentation technique, Tavis Ormandy évoque plusieurs vecteurs de contamination. Sur le Web, il est possible de loger l’exploit dans des images ou d’utiliser le cache des applications HTML5.
Dans les logiciels de messagerie électronique, il suffit de l’envoyer en tant que pièce jointe exploitant le format MIME (Extensions multifonctions du courrier Internet). Un simple rafraîchissement de la boîte de réception suffit à lancer l’infection.
Autre possibilité : nommer l’exploit .hidden, le placer à la racine d’un volume de stockage USB, puis connecter ce dernier. La procédure s’enclenche alors, indépendamment de l’action choisie par l’utilisateur (ne rien faire, ouvrir le dossier, lancer une application…).
Selon Tavis Ormandy, la seule solution de contournement à défaut de pouvoir appliquer le correctif consiste à désactiver le scan automatique du code exécutable, ainsi que l’analyse planifiée – et ne pas non plus y procéder en mode manuel.
Dans son communiqué annonçant la résorption de la faille, ESET en minimise l’ampleur. Seule la routine d’émulation utilisée par un scanner particulier pour une famille spécifique de logiciels malveillants aurait été touchée…
* On peut citer, entre autres, NOD32 Antivirus (Windows), Cyber Security Pro (OS X), NOD 32 pour Linux, Endpoint Security (Windows, OS X) et NOD32 Business Edition.
Crédit photo : wk1003mike – Shutterstock.com