AVGater : faille de conception dans les solutions antivirus
Prendre le contrôle d'un système en abusant de la restauration depuis la quarantaine

Le , par Patrick Ruiz, Chroniqueur Actualités
Les solutions antivirus disposent de plusieurs fonctionnalités qui leur sont communes, mais s’il y a bien une qui est la plus visible des utilisateurs de tous bords c’est bien celle de mise en quarantaine. Pour le lecteur non averti, la quarantaine est cette espèce de prison où l’antivirus enferme les fichiers suspects en attendant qu’une action plus appropriée soit entreprise par le possesseur du poste de travail. Dans certains cas, un fichier peut être « relâché » de cette prison, on parle alors de la fonctionnalité de « restauration de la quarantaine. »

Plusieurs solutions antivirus sont affectées par une faille de conception qui permet à un attaquant d’abuser de la fonctionnalité de restauration de la quarantaine. De façon brossée, un attaquant peut provoquer l’envoi d’un fichier préalablement marqué comme dangereux vers des zones sensibles du système d’exploitation. Florian Bogner de la firme de sécurité australienne Kapsch est à l’origine du signalement de cette faille qu’il a baptisée AVGater.

À date, Trend Micro, Emsisoft, Kaspersky Labs, Malwarebytes, Zone Alarm et Ikarus ont publié des correctifs pour leurs produits antivirus. D’après Bogner, d’autres éditeurs réagiront dans les jours à venir avec des correctifs pour leurs solutions.

Comment fonctionne AVGater ?

Une image vaut mieux que mille mots et celle ci-dessous résume à souhait le fonctionnement de la faille AVGater.


Un scénario d’exploitation de la faille permet de comprendre comment la machine est huilée :

  • un utilisateur se fait infecter par un logiciel malveillant ;
  • le moteur de scan de la solution antivirus dont il dispose procède à la détection de la menace ;
  • le fichier malveillant est déplacé vers la quarantaine ;
  • l’attaquant procède à une modification de la structure d’alias des répertoires NTFS. À noter que cette opération ne nécessite pas qu’il dispose de droits d’administrateur. La commande mklink est disponible pour l’atteinte de cet objectif ;
  • l’attaquant initie une opération de restauration depuis la quarantaine ;
  • le fichier infecté est renvoyé à un emplacement qui dépend de celui défini par l’attaquant dans la nouvelle structure d’alias de répertoires. Pour cela l’attaquant choisit un répertoire système comme C:\Windows. À noter que l’opération de restauration se fait sans encombre parce que les permissions requises du système sont obtenues par la solution antivirus elle-même ;
  • enfin, un redémarrage suffit pour que les fichiers restaurés dans le répertoire système intègrent un processus système et c’est le début des soucis.

Comme on peut le constater, l’attaque nécessite un accès physique au poste cible ; condition difficile à remplir dans bien des cas. Seulement, gare aux environnements où les ressources sont partagées (bureaux, centres de formation, etc.) parce que dans ces cas le stratagème prend toute son importance. D’après Bogner, les utilisateurs peuvent se prémunir de cette attaque en gardant leur solution antivirus à jour ; mesure qui n’est valable que pour les utilisateurs de solutions antivirus pour lesquelles des correctifs ont été publiés. Le chercheur précise enfin que dans le cas des entreprises, les administrateurs système doivent configurer leurs solutions antivirus pour empêcher une restauration depuis la quarantaine.

Source

Billet de blog

Votre avis

Qu’en pensez-vous ?

Voir aussi

Plus de 80 % des antivirus pour les particuliers testés par AV-TEST présentent des vulnérabilités, Kaspersky, Bitdefender et ESET sortent du lot
Les antivirus sont-ils efficaces ? Une étude montre que les dépenses des utilisateurs ne sont pas proportionnelles à l'efficacité de ceux-ci


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil