Pour gérer vos consentements :

Sécurité IT : ESET se dépêtre d’une faille critique

Il s’était déjà distingué en trouvant, ces dernières années, plusieurs failles critiques dans les solutions antivirus de Sophos, puis dans celles de Microsoft : Tavis Ormandy a récidivé en ciblant cette fois les produits ESET.

Cet expert en sécurité, membre de l’équipe Project Zero chez Google, a publié les résultats de ses recherches quelques jours après les avoir communiqués à l’éditeur slovaque, qui a ainsi pu corriger la vulnérabilité au moyen d’une mise à jour de son moteur d’émulation.

C’est effectivement cette composante qui pose problème. Elle est au coeur du dispositif d’analyse d’ESET : tout code exécutable détecté lors de l’analyse des entrées/sorties de données sur le disque y est décompressé, puis testé sur plusieurs dizaines de milliers de cycles afin de déterminer s’il présente un risque pour le système.

A la fin de l’analyse, le code est associé à une signature qui simplifie ensuite sa détection. Problème : ce dispositif d’émulation, partagé par toutes les éditions d’ESET encore prises en charge*, n’est pas suffisamment robuste. Il peut facilement être contourné, avec à la clé un risque de compromission de l’ensemble d’un système informatique.

Les entrées/sorties sur un disque pouvant être déclenchées via une page Web, un périphérique USB, du stockage réseau ou encore la messagerie électronique, il existe de nombreuses portes pour faire passer des données malveillantes… et prendre la main sur le processus de scan.

Ce dernier (ekrn.exe sur Windows ; esets_daemon sur Mac et Linux) s’exécute avec un niveau très élevé de privilèges. Quiconque parvient à en prendre le contrôle peut ensuite lire, écrire et supprimer des fichiers sur le système ciblé, mais aussi installer des programmes, accéder aux périphériques et enregistrer l’activité.

En toute discrétion

Aucune action n’étant requise de la part de l’utilisateur pour déclencher l’infection, c’est la faille idéale pour diffuser un ver, c’est-à-dire un virus capable de se reproduire et de se déplacer à travers le réseau.

Dans sa documentation technique, Tavis Ormandy évoque plusieurs vecteurs de contamination. Sur le Web, il est possible de loger l’exploit dans des images ou d’utiliser le cache des applications HTML5.

Dans les logiciels de messagerie électronique, il suffit de l’envoyer en tant que pièce jointe exploitant le format MIME (Extensions multifonctions du courrier Internet). Un simple rafraîchissement de la boîte de réception suffit à lancer l’infection.

Autre possibilité : nommer l’exploit .hidden, le placer à la racine d’un volume de stockage USB, puis connecter ce dernier. La procédure s’enclenche alors, indépendamment de l’action choisie par l’utilisateur (ne rien faire, ouvrir le dossier, lancer une application…).

Selon Tavis Ormandy, la seule solution de contournement à défaut de pouvoir appliquer le correctif consiste à désactiver le scan automatique du code exécutable, ainsi que l’analyse planifiée – et ne pas non plus y procéder en mode manuel.

Dans son communiqué annonçant la résorption de la faille, ESET en minimise l’ampleur. Seule la routine d’émulation utilisée par un scanner particulier pour une famille spécifique de logiciels malveillants aurait été touchée…

* On peut citer, entre autres, NOD32 Antivirus (Windows), Cyber Security Pro (OS X), NOD 32 pour Linux, Endpoint Security (Windows, OS X) et NOD32 Business Edition.

Crédit photo : wk1003mike – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago