Des failles découvertes dans les formats d'archivage
Permettant dissimulation et propagation de codes malveillants

Le , par Katleen Erna, Expert éminent sénior
Des failles découvertes dans les formats d'archivage, permettant dissimulation et propagation de codes malveillants

La semaine dernière, lors de la Black Hat (l'évènement mondial en terme de sécurité informatique, qui a lieu plusieurs fois par an, cette édition s'est déroulée à Barcelone), des chercheurs ont exposé leurs résultats à propos d'une étude concernant les formats d'archivage populaires.

Tomislav Pericin, fondateur du projet de protection de programmes RLPack, a découvert comment y cacher des programmes malins indétectables par la majorité des antivirus. Il assure cependant que la majorité des vendeurs d'antivirus ont récemment mis à jour leurs applications afin de détecter les formats d'archive compromis, comme ".rar" ou ".zip".

Durant sa présentation à la conférence, il est accompagné par Mario Vuksan (chercheur en sécurité indépendant) et Brian Karney (COO d'AccessData).

Les trois experts ont montré comment trafiquer ces formats en y insérant des codes malveillants, par exemple le ver Conflicker, qui s'exécutent ensuite sur l'ordinateur de la victime.

Beaucoup d'entreprises utilisent des solutions de sécurité de type "gateway" qui analysent les pièces jointes. Les pirates se sont aperçus qu'en compressant des fichiers dangereux (packing), ils peuvent parfois tromper les antivirus.

De plus, l'utilisation de plusieurs formats différents ajoute à la confusion et rend encore plus difficile la détection. Au final, c'est dangereux car le propriétaire de l'ordinateur risque de voir sa machine contrôlée à distance par un pirate, si une pièce jointe corrompue est ouverte.

Les vendeurs d'antivirus et ceux d'outils d'archivage ont deux solutions différentes. Ce qui fait que parfois, un utilisateur peut extraire une archive sur sa machine, alors que le logiciel de sécurité n'en est pas capable. Il faudrait donc qu'ils travaillent ensemble.

Les chercheurs ont de plus découvert au moins huit vulnérabilités empêchant la détection d'un exécutable comme Conflicker une fois qu'il est en fonction. Les vendeurs concernés auraient déployé des patchs.

Trente autre vulnérabilités, potentielles cette fois, ont été soulignées dans les produits de sécurité. Pericin et ses collègues attendent qu'elles soient fixées pour voir si les problèmes persistent.

Ils ont aussi montré comment rattacher du contenu caché dans un fichier archivé. La technique s'apparente à la stéganographie, ou à une manière d'écrire des messages secrets connus seulement de l'expéditeur et du destinataire. Au moins deux outils peuvent effectuer cette action sur un fichier ".zip".

Les chercheurs expliquent que le problème avec le stéganographie, c'est qu'elle est détectable seulement si l'on veut bien la chercher. Par exemple, si un terroriste cherche à masquer ses communications ainsi, le gouvernement saura le détecter. Mais dans le cas d'un particulier, si personne ne prête attention aux fichiers qu'il reçoit, l'usage de ce chemin couvert est possible.

Quoi qu'il en soit, les trois hommes ont rendu disponible vendredi un outil gratuit et open-source, NyxEngine, capable de repérer les codes malicieux et les contenus dissimulés dans les formats d'archivage. Il prend en charge les formats ".zip," ".rar," ".gz" et ".cab".

Source : Intervention des trois chercheurs lors de la Black Hat 2010

Soupçonniez-vous de telles vulnérabilités ?

Que faire pour utiliser des formats d'archive en toute sécurité ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de rt15 rt15 - Membre confirmé https://www.developpez.com
le 21/04/2010 à 18:41
Ça me rappelle la bonne vielle technique pour faire passer un .exe en pièce jointe (Normal pour un développement). Certaines applis de mail les refuses, mais si on les met dans un zip, pouf, ça passe (Du moins ça passait).

Donc c'est sûr qu'un antivirus un peu bêbête va chercher des signatures de virus dans le fichier zip, sauf que comme l'exe est compressé dedans, la signature est pas là. Mais bon, c'est pas non plus très nouveau le chiffrage de partie de virus pour cacher les signatures.

Quoiqu'il en soit, tant qu'aucune faille n'est trouvée dans un logiciel d'archivage permettant d'exécuter un code arbitraire lors de la décompression, je ne pense pas que ce soit dangereux. Il n'y a aucun risque a avoir des virus sur son PC tant que l'on n'est pas assez bête pour les exécuter.
Avatar de benzoben benzoben - Membre actif https://www.developpez.com
le 22/04/2010 à 9:34
Il y en a marre, encore un truc à surveiller.
Bientôt, avec le CPL on se chopera un virus rien qu'en allumant la lumière!
Offres d'emploi IT
Architecte systèmes études & scientifiques H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Ingénieur H/F
Safran - Ile de France - Moissy-Cramayel (77550)
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil