Plusieurs solutions antivirus sont affectées par une faille de conception qui permet à un attaquant d’abuser de la fonctionnalité de restauration de la quarantaine. De façon brossée, un attaquant peut provoquer l’envoi d’un fichier préalablement marqué comme dangereux vers des zones sensibles du système d’exploitation. Florian Bogner de la firme de sécurité australienne Kapsch est à l’origine du signalement de cette faille qu’il a baptisée AVGater.
À date, Trend Micro, Emsisoft, Kaspersky Labs, Malwarebytes, Zone Alarm et Ikarus ont publié des correctifs pour leurs produits antivirus. D’après Bogner, d’autres éditeurs réagiront dans les jours à venir avec des correctifs pour leurs solutions.
Comment fonctionne AVGater ?
Une image vaut mieux que mille mots et celle ci-dessous résume à souhait le fonctionnement de la faille AVGater.
Un scénario d’exploitation de la faille permet de comprendre comment la machine est huilée :
- un utilisateur se fait infecter par un logiciel malveillant ;
- le moteur de scan de la solution antivirus dont il dispose procède à la détection de la menace ;
- le fichier malveillant est déplacé vers la quarantaine ;
- l’attaquant procède à une modification de la structure d’alias des répertoires NTFS. À noter que cette opération ne nécessite pas qu’il dispose de droits d’administrateur. La commande mklink est disponible pour l’atteinte de cet objectif ;
- l’attaquant initie une opération de restauration depuis la quarantaine ;
- le fichier infecté est renvoyé à un emplacement qui dépend de celui défini par l’attaquant dans la nouvelle structure d’alias de répertoires. Pour cela l’attaquant choisit un répertoire système comme C:\Windows. À noter que l’opération de restauration se fait sans encombre parce que les permissions requises du système sont obtenues par la solution antivirus elle-même ;
- enfin, un redémarrage suffit pour que les fichiers restaurés dans le répertoire système intègrent un processus système et c’est le début des soucis.
Comme on peut le constater, l’attaque nécessite un accès physique au poste cible ; condition difficile à remplir dans bien des cas. Seulement, gare aux environnements où les ressources sont partagées (bureaux, centres de formation, etc.) parce que dans ces cas le stratagème prend toute son importance. D’après Bogner, les utilisateurs peuvent se prémunir de cette attaque en gardant leur solution antivirus à jour ; mesure qui n’est valable que pour les utilisateurs de solutions antivirus pour lesquelles des correctifs ont été publiés. Le chercheur précise enfin que dans le cas des entreprises, les administrateurs système doivent configurer leurs solutions antivirus pour empêcher une restauration depuis la quarantaine.
Source
Billet de blog
Votre avis
Qu’en pensez-vous ?
Voir aussi
Plus de 80 % des antivirus pour les particuliers testés par AV-TEST présentent des vulnérabilités, Kaspersky, Bitdefender et ESET sortent du lot
Les antivirus sont-ils efficaces ? Une étude montre que les dépenses des utilisateurs ne sont pas proportionnelles à l'efficacité de ceux-ci