Plusieurs produits antivirus de la firme de sécurité ESET comportaient une vulnérabilité critique qui aurait pu entraîner une compromission du système tout entier. Un système compromis pourrait par exemple permettre la lecture, la modification ou la suppression de n’importe quel fichier sur le système indépendamment du niveau d’accréditation d’accès, l’installation de n’importe quel programme ou rootkit, l’accès à des composantes matérielles comme la caméra ou le micro, la consultation du journal d’activité du système, etc. La découverte de cette faille, désormais colmatée, a été faite par Tavis Ormandy, un ingénieur de l’équipe de sécurité de Google affectée au Projet Zero.
Ormandy rappelle que plusieurs produits antivirus embarquent des capacités d’émulation qui sont destinés à permettre aux exécutables compressés d’être lancés pendant quelques cycles avant que les signatures ne soient appliquées. « Des attaquants peuvent provoquer des E / S via navigateur web, Email, Messagerie Instantanée, partage de fichier, stockage sur le réseau, USB ou des centaines d’autres vecteurs. A chaque fois qu’un message, un fichier, une image ou toute autre donnée est reçue, il est probable que certaines données non fiables traversent le disque. Parce qu’il est si facile pour les attaquants de déclencher une émulation du code non fiable, il est extrêmement important que l’émulateur soit robuste et isolé », précise-t-il.
« Malheureusement, l’analyse de l’émulation d’ESET révèle que ce n’est pas le cas et qu’il peut être facilement compromis », continue-t-il. Dans une FAQ, il explique que toutes les plateformes sont affectées étant donné que « les signatures d’ESET sont du code exécutable qui sont décompressés dans l’environnement d’exécution depuis des fichiers DAT et NUP puis chargés comme modules », rappelant par la suite que les fichiers DAT sont partagés sur toutes les plateformes et versions.
Parmi les produits affectés figurent : ESET Smart Security for Windows, ESET NOD32 Antivirus for Windows, ESET Cyber Security Pro for OS X, ESET NOD32 For Linux Desktop, ESET Endpoint Security for Windows et OS X et enfin ESET NOD32 Business Edition.
Ce n’est pas la première fois que les chercheurs en sécurité trouvent de sérieuses vulnérabilités dans les produits antivirus. En 2012, Ormandy avaient repéré des vulnérabilités critiques dans Sophos Antivirus et l'année dernière il a trouvé une faille qui pourrait être exploitée pour désactiver à distance le moteur de protection utilisé dans de nombreux produits antimalwares de Microsoft. En 2014 également, Joxean Koret, chercheur à COSEINC, a trouvé des dizaines de vulnérabilités exploitables localement et à distance dans 14 moteurs antivirus. Plus tôt ce mois-ci, un rapport publié par le groupe de sécurité Kaspersky Labs indiquait que leurs serveurs ont été infectés depuis plusieurs mois par un malware furtif extrêmement persistant baptisé Duqu 2.0 et dont le but est de voler des informations tout en gardant un profil bas pour masquer sa présence.
Il faut dire que, contrairement à d'autres applications, les programmes antivirus peuvent présenter une très grande surface d'attaque dans la mesure où ils ont besoin d'inspecter de nombreux types de fichiers et parfois du code indépendamment du langage et de la source.
Si durant les années précédentes nous avons observé une volonté de limiter les privilèges d’accès d’applications largement utilisées (comme Google Chrome ou Adobe Reader qui utilisent des mécanismes de sandboxing), les produits antivirus quant à eux ont besoin d’être exécutés avec des privilèges d’accès élevés pour pouvoir effectivement combattre les menaces et potentielles menaces. Raison pour laquelle Carsten Eiram, chef de la recherche pour le compte de Risk Based Security, estime qu’il est très important que leur code soit solide. Il avance que 2,5% des failles observées par son entreprise l’année dernière sont issues de produits de sécurité parmi lesquels des programmes antivirus.
Des failles qui peuvent ne pas intéresser uniquement des pirates puisque le quotidien The Intercept révèle que la NSA et son homologue britannique ont usé de reverse engineering sur des produits de sécurité pour contourner leur détection, surveiller le trafic web et récolter des informations sur les utilisateurs.
Source : Google Project Zero, The Intercept
Projet Zero : un ingénieur de Google découvre une faille critique dans des produits ESET
Qui aurait pu entraîner la compromission du système
Projet Zero : un ingénieur de Google découvre une faille critique dans des produits ESET
Qui aurait pu entraîner la compromission du système
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !