mardi 2 juin 2020    || Inscription
BanniereNews
 
 
Un spécialiste en sécurité vient de trouver plusieurs failles critiques dans les produits ESET. Celles-ci ont été depuis corrigées mais cette nouvelle découverte montre l’intérêt qu’ont les agences de renseignement à corrompre de tels produits.

Voici quelques jours, nous évoquions sur linformaticien.com comment les agences de renseignement NSA et GCHQ avaient tenté de s’introduire dans les principaux logiciels anti-virus afin d’espionner plus facilement et plus complètement les utilisateurs. Tavis Ormandy, chercheur en sécurité pour Google, vient d’illustrer ceci au travers d’une faille dans les produits ESET. La vulnérabilité est située dans l’émulateur qui permet l’exécution de code dans un environnement de travail distinct, ceci afin de s’assurer que le code n’est pas dangereux.  Le principe de fonctionnement des produits ESET est de monitorer les E/S disque et, lorsque du code exécutable est détecté, de le faire fonctionner au travers de l’émulateur, ceci afin d’appliquer les signatures de détection.

Une attaque triviale

« Comme il est très facile pour des attaquants de déclencher l’émulation de code malicieux, il est critique que l’émulateur soit robuste et isolé. Malheureusement ce n’est pas le cas de l’émulateur ESET qui peut être compromis de manière triviale », affirme M. Ormandy sur son blog. Il précise que la vulnérabilité permet de prendre le contrôle de la machine de multiples façons et ce avec le plus haut niveau de privilège.

La plupart des produits de l’éditeur étaient concernés par cette faille, mais l’entreprise a publié un correctif en début de semaine. Aussi, les utilisateurs sont fortement incités à mettre à jour leurs produits.

Ce qui vient de se produire pour ESET n’est absolument pas une première. Sophos ou encore Microsoft ont fait l’objet de failles découvertes par M. Ormandy. De même, l’année dernière, Joxean Koret, chercheur pour Coseinc, a trouvé des dizaines de vulnérabilités exploitables localement ou à distance dans 14 moteurs anti-virus.

Comme indiqué dans l’article cité en référence, cibler des anti-virus permet d’avoir un champ d’attaque très large dans la mesure où ces produits s’exécutent avec le plus haut niveau de privilège puisque, par essence, ils doivent inspecter l’ensemble des autres applications qui fonctionnent sur le poste. Il est donc essentiel que le code de ces programmes soit particulièrement solide, ce qui n’est pas toujours le cas. Carten Eiram, patron de la recherche au sein de l’entreprise Risk Based Security, précise que 2,5% de la dizaine de milliers de vulnérabilités répertoriées dans sa base de données concerne des logiciels anti-virus.




Autres News Malwares

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI