DoubleAgent : une faille zero-day permettant d'injecter du code malveillant sur toutes les versions de Windows
En détournant les antivirus

Le , par Malick SECK, Community Manager
Les chercheurs en sécurité de la société israélienne Cybellum viennent d'annoncer avoir découvert, dans toutes les versions de Windows (de Windows XP à Windows 10), une nouvelle vulnérabilité critique qualifiée de zero-day et baptisée DoubleAgent. Selon les chercheurs, DoubleAgent donne la possibilité aux pirates d'injecter du code malveillant dans les ordinateurs cibles grâce à une technique qui permet de modifier le comportement des logiciels antivirus pour les transformer en logiciels malveillants. Ainsi, avec cette nouvelle faille zero-day, les pirates vont pouvoir prendre à distance le contrôle d’un ordinateur sous Windows.

D'après les informations fournies par l'équipe des chercheurs, la nouvelle faille a été trouvée dans un logiciel dénommé « Application Verifier ». Ce dernier est présent dans toutes les versions de Windows, mais en cachette. En effet, « Application Verifier » est exclusivement réservé aux développeurs, car il leur permet de chercher des bogues dans les programmes en leur injectant une DLL spécifique (bibliothèque logicielle chargée en mémoire). Les chercheurs en sécurité de Cybellum affirment également que l'« Application Verifier » est un outil ancien de 15 ans et non documenté. Il semble même que l'outil n’a jamais subi de correctifs de sécurité.

Au même titre que les développeurs, les pirates ont la possibilité d'exploiter DoubleAgent et de créer leur propre DLL qui sera ensuite injecté dans un processus. Pour ce faire, il leur suffit de créer une clé de registre ayant le même nom que l'application qui a été ciblée pour être détournée. « Les experts en sécurité soutiennent que l'injection de code se produit très tôt au lancement du processus de la victime, ce qui donne à l'attaquant un contrôle total sur le processus. Il n'existerait pour le moment aucun moyen de se protéger contre l'attaque, même les logiciels antivirus ne sont pas en mesure de détecter ou de bloquer l'attaque. »

Pour mieux étayer leurs dires, les chercheurs en sécurité affirment avoir fait leurs tests sur 14 logiciels antivirus en l'occurrence Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal et Trend Micro. L'exploitation de leur annonce montre que les tests se sont passés avec succès, confirmant ainsi le risque de piratage auquel les utilisateurs de Windows sont confrontés. La vidéo ci-après est une illustration de l'exploitation de la faille DoubleAgent pour détourner des antivirus.


Les fournisseurs des solutions antivirus en question auraient déjà été informés de la technique à la portée des pirates, et cela il y a plus de trois mois à en croire les chercheurs en sécurité de Cybellum. Cependant, on nous informe que seuls Malwarebytes, AVG et Trend-Micro ont publié un correctif, les autres fournisseurs n'ayant pas encore réagi.

Par ailleurs, les experts en sécurité précisent que la même technique utilisée pour détourner les antivirus peut bien être mise en œuvre pour infecter d'autres applications.

« Nous devons faire plus d'efforts pour détecter et prévenir ces attaques, et cesser de faire confiance aveuglément aux solutions de sécurité traditionnelles, qui , comme démontré ici, ne sont pas seulement inefficaces contre l'exploitation des failles zero-day, mais donnent également de nouvelles opportunités aux attaquants afin de créer des attaques très sophistiquées », a déclaré l'équipe de Cybellum.

Pour se protéger de l'injection de code malveillant, Cybellum invite les utilisateurs à utiliser la méthode dénommée Protected Processes. Cette dernière a été introduite dans Windows 8.1 et permet d’éviter les injections de code,cependant il n'est disponible que dans Windows Defender.

Source : Cybellum

Et vous ?

Que pensez-vous de cette nouvelle faille ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de SkyZoThreaD SkyZoThreaD - Membre expérimenté https://www.developpez.com
le 23/03/2017 à 15:03
Citation Envoyé par Cybellum
Microsoft has provided a new design concept for antivirus vendors called Protected Processes. The new concept is specially designed for antivirus services. Antivirus processes can be created as “Protected Processes” and the protected process infrastructure only allows trusted, signed code to load and has built-in defense against code injection attacks. This means that even if an attacker found a new Zero-Day technique for injecting code, it could not be used against the antivirus as its code is not signed. Currently no antivirus (except Windows Defender) has implemented this design. Even though Microsoft made this design available more than 3 years ago.
Je ne comprend pas vraiment si windows defender installe ses services avec ce mode... Dans ce cas, il suffirait d'activer defender sur les postes récents pour être protégé ?
Avatar de dantes94 dantes94 - Membre du Club https://www.developpez.com
le 23/03/2017 à 18:18
Cette histoire me rappelle un message d'un ancien de Mozilla qui avait il y a peu indiqué que les antivirus étaient potentiellement dangereux, car il impliquait des failles potentielles supplémentaires pour l'OS.
Ceci dit pour une fois l'antivirus de Windows se démarque positivement face à toute la concurrence.
Avatar de spawntux spawntux - Membre confirmé https://www.developpez.com
le 24/03/2017 à 15:35
Bonjour,

On est toujours dans la problematique de DLL non signé ca existe depuis toujours et de nombreux "outils" natif windows en sont victime, partant du principe ou les binaires crosoft sont souvent consideré par les AV comme sans risque ...
Offres d'emploi IT
Architecte technique des systèmes d'information H/F
Safran - Ile de France - Évry (91090)
Data scientist senior H/F
Safran - Ile de France - Magny-les-Hameaux (Saclay)
Ingénieur analyste programmeur (H/F)
Safran - Auvergne - Montluçon (03100)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil