lundi 6 juillet 2020    || Inscription
BanniereNews
 
 
Un spécialiste en sécurité vient de trouver plusieurs failles critiques dans les produits ESET. Celles-ci ont été depuis corrigées mais cette nouvelle découverte montre l’intérêt qu’ont les agences de renseignement à corrompre de tels produits.

Voici quelques jours, nous évoquions sur linformaticien.com comment les agences de renseignement NSA et GCHQ avaient tenté de s’introduire dans les principaux logiciels anti-virus afin d’espionner plus facilement et plus complètement les utilisateurs. Tavis Ormandy, chercheur en sécurité pour Google, vient d’illustrer ceci au travers d’une faille dans les produits ESET. La vulnérabilité est située dans l’émulateur qui permet l’exécution de code dans un environnement de travail distinct, ceci afin de s’assurer que le code n’est pas dangereux.  Le principe de fonctionnement des produits ESET est de monitorer les E/S disque et, lorsque du code exécutable est détecté, de le faire fonctionner au travers de l’émulateur, ceci afin d’appliquer les signatures de détection.

Une attaque triviale

« Comme il est très facile pour des attaquants de déclencher l’émulation de code malicieux, il est critique que l’émulateur soit robuste et isolé. Malheureusement ce n’est pas le cas de l’émulateur ESET qui peut être compromis de manière triviale », affirme M. Ormandy sur son blog. Il précise que la vulnérabilité permet de prendre le contrôle de la machine de multiples façons et ce avec le plus haut niveau de privilège.

La plupart des produits de l’éditeur étaient concernés par cette faille, mais l’entreprise a publié un correctif en début de semaine. Aussi, les utilisateurs sont fortement incités à mettre à jour leurs produits.

Ce qui vient de se produire pour ESET n’est absolument pas une première. Sophos ou encore Microsoft ont fait l’objet de failles découvertes par M. Ormandy. De même, l’année dernière, Joxean Koret, chercheur pour Coseinc, a trouvé des dizaines de vulnérabilités exploitables localement ou à distance dans 14 moteurs anti-virus.

Comme indiqué dans l’article cité en référence, cibler des anti-virus permet d’avoir un champ d’attaque très large dans la mesure où ces produits s’exécutent avec le plus haut niveau de privilège puisque, par essence, ils doivent inspecter l’ensemble des autres applications qui fonctionnent sur le poste. Il est donc essentiel que le code de ces programmes soit particulièrement solide, ce qui n’est pas toujours le cas. Carten Eiram, patron de la recherche au sein de l’entreprise Risk Based Security, précise que 2,5% de la dizaine de milliers de vulnérabilités répertoriées dans sa base de données concerne des logiciels anti-virus.




Autres News Malwares

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 142964
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI