Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

Nouvelle charge contre les anti-virus

Publié le mardi 11 mai 2010 par Stéphane Larcher

Une entreprise de sécurité vient de démontrer une possibilité d’attaque non décelée par 34 logiciels de sécurité parmi les plus populaires.

Les logiciels de sécurité ont quelques soucis à se faire. Presque simultanément au challenge IAWACS dont nous relations hier les désastreux résultats, une société spécialisée en sécurité, Matousec, vient de découvrir une vulnérabilité dans Windows qui rend la totalité des logiciels anti-virus inopérants dans le cas d’une attaque sépcifique.

La faille exploite la manière dont les logiciels anti-virus utilise System Service Descriptor Table (SSDT) pour accéder au noyau Windows. En cause figure l’incapacité des systèmes multi-cœurs à pister les threads s’exécutant sur d’autres cœurs. Ainsi, une attaque menée dans le bon timing n’a aucune chance d’être détectée.

En effet, dès lors qu’un programme anti-virus a analysé un morceau de code et constaté qu’il ne présentait aucune menace, il va donner le feu vert pour l’exécution par le noyau. Cependant, à ce moment précis, il existe une petite fenêtre de temps où il est possible de remplacer le code autorisé par le code malicieux sans que cela soit vu par le programme d’analyse.
L’entreprise Matousec précise que comme la faille n’a rien à voir avec le processus de scanning par lui-même mais est lié à la nature propre de Windows en matière de sécurité, les tests qui ont été conduits avec 34 produits de sécurité parmi les plus populaires (Kaspersky, Norton, McAfee …) ont amené des résultats à 100%.

Les chercheurs ont précisé que l’attaque fonctionne y compris avec des comptes utilisateurs simples ne disposant pas de privilèges particuliers et avec toutes les versions de Windows. Toutefois, si l’attaque est théoriquement possible (et l’entreprise a fourni l’exploit permettant d’y parvenir), elle requiert qu’une grande quantité de code soit téléchargée sur le système et que cela ne peut fonctionner que dans le cas d’une attaque délibérée très concentrée sur une machine en particulier.

Il se pose désormais la question de la responsabilité. Peut-on considérer qu’il s’agit d’une erreur de Windows dans sa conception de la sécurité des applications ou qu’il s’agit d’une faiblesse de l’ensemble des produits de sécurité, ou plus vraisemblablement, des deux.

L’explication intégrale et le code sont disponibles à l’adresse suivante.

Source : Linformaticien