D'après les informations fournies par l'équipe des chercheurs, la nouvelle faille a été trouvée dans un logiciel dénommé « Application Verifier ». Ce dernier est présent dans toutes les versions de Windows, mais en cachette. En effet, « Application Verifier » est exclusivement réservé aux développeurs, car il leur permet de chercher des bogues dans les programmes en leur injectant une DLL spécifique (bibliothèque logicielle chargée en mémoire). Les chercheurs en sécurité de Cybellum affirment également que l'« Application Verifier » est un outil ancien de 15 ans et non documenté. Il semble même que l'outil n’a jamais subi de correctifs de sécurité.
Au même titre que les développeurs, les pirates ont la possibilité d'exploiter DoubleAgent et de créer leur propre DLL qui sera ensuite injecté dans un processus. Pour ce faire, il leur suffit de créer une clé de registre ayant le même nom que l'application qui a été ciblée pour être détournée. « Les experts en sécurité soutiennent que l'injection de code se produit très tôt au lancement du processus de la victime, ce qui donne à l'attaquant un contrôle total sur le processus. Il n'existerait pour le moment aucun moyen de se protéger contre l'attaque, même les logiciels antivirus ne sont pas en mesure de détecter ou de bloquer l'attaque. »
Pour mieux étayer leurs dires, les chercheurs en sécurité affirment avoir fait leurs tests sur 14 logiciels antivirus en l'occurrence Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal et Trend Micro. L'exploitation de leur annonce montre que les tests se sont passés avec succès, confirmant ainsi le risque de piratage auquel les utilisateurs de Windows sont confrontés. La vidéo ci-après est une illustration de l'exploitation de la faille DoubleAgent pour détourner des antivirus.
Les fournisseurs des solutions antivirus en question auraient déjà été informés de la technique à la portée des pirates, et cela il y a plus de trois mois à en croire les chercheurs en sécurité de Cybellum. Cependant, on nous informe que seuls Malwarebytes, AVG et Trend-Micro ont publié un correctif, les autres fournisseurs n'ayant pas encore réagi.
Par ailleurs, les experts en sécurité précisent que la même technique utilisée pour détourner les antivirus peut bien être mise en œuvre pour infecter d'autres applications.
« Nous devons faire plus d'efforts pour détecter et prévenir ces attaques, et cesser de faire confiance aveuglément aux solutions de sécurité traditionnelles, qui , comme démontré ici, ne sont pas seulement inefficaces contre l'exploitation des failles zero-day, mais donnent également de nouvelles opportunités aux attaquants afin de créer des attaques très sophistiquées », a déclaré l'équipe de Cybellum.
Pour se protéger de l'injection de code malveillant, Cybellum invite les utilisateurs à utiliser la méthode dénommée Protected Processes. Cette dernière a été introduite dans Windows 8.1 et permet d’éviter les injections de code,cependant il n'est disponible que dans Windows Defender.
Source : Cybellum
Et vous ?
Que pensez-vous de cette nouvelle faille ?