Maksim Kabakou - Fotolia

D’importantes vulnérables dans de nombreux anti-virus

De nombreux logiciels de protection du poste de travail et de gestion des performances applicatives ont recours à des mécanismes d’interception des appels aux interfaces système. Mais avec des implémentations peu robustes.

Les chercheurs d’Ensilo, spécialiste de la protection contre les suites d’une intrusion, se sont penchés sur la manière dont les antivirus et aux systèmes de gestion des performances applicatives interceptent les appels aux API les plus sensibles de Windows, afin de protéger contre les actions malveillantes : « pour nos recherches, nous avons étudié plus d’une dizaine de produits de sécurité populaires. Nos découvertes étaient déprimantes – nous avons révélé six différents problèmes de sécurité et vulnérabilité différents venant de cette pratique ».

Dans la pratique, expliquent les chercheurs, « la plupart des solutions de protection contre les exploits surveillent les fonctions d’allocation de mémoire, telles que VirtualAlloc et VirtualProtect, pour tenter de détecter l’exploitation de vulnérabilités ». Ils relèvent que les librairies permettant ces interceptions, à l’instar de Detours, de Microsoft, sont assez répandues. Mais « la plupart des éditeurs de sécurité développent leurs propres moteurs de hooking ».

Pour fonctionner, ces moteurs d’interception doivent être « injectés dans le processus cible », un processus qui passe par des librairies à chargement dynamique. Et c’est l’implémentation de ces techniques d’injection et d’interception d’appels qui présente des vulnérabilités. Ensilo indique en avoir identifié 6, finalement assez répandues : elles ont été trouvées dans au moins 15 produits de sécurité. Trois moteurs de hooking « communs » sont également affectés. Ces vulnérabilités permettent à un attaquant de contourner les mécanismes de protection déployés sur un poste.

Dans un billet de blog, Udi Yavo, directeur technique d’Ensilo, explique que cela commence par la librairie Detours de Microsoft, qui serait utilisée par plus d’une centaine d’éditeurs. Microsoft a prévu un correctif pour le mois d’août. Mais des produits signés AVG, Kaspersky, McAfee, Symantec, BitDefender, ou encore Avast sont également affectés. De même que XenDesktop, de Citrix. Udi Yavo indique avoir « informé ces éditeurs au cours des derniers 8 mois. Certains n’ont corrigé que le mois dernier ».

Les recherches d’Ensilo doivent faire l’objet d’une présentation début août, lors de la prochaine édition de la conférence BlackHat.  

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)

Close