Sécurité : Les machines tournant sous Windows XP vulnérables à une faille présente dans de nombreux anti-virus

Il y a quelques jours, des chercheurs de Matousec.com ont publié une tactique d'attaque permettant de tromper les protections de la majorité des anti-virus. Un "sérieux" problème, d'après les spécialistes.

Cette technique découverte, appelée "argument-switch attack", permettrait aux attaquants d'exploiter les hooks des drivers du noyau que la pluspart des logiciels de sécurité pour rerouter les appels du système Windows (à travers le programme, pour vérifier la présence éventuelle de codes malicieux).

Un rapport propulsé par Matousec démontre de quelle manière il est possible de remplacer du code sain par du code malicieux entre l'instant ou l'antivirus autorise l'accès et le moment où le code s'exécute véritablement.

Selon les experts en sécurité informatique, pratiquement n'importe quel produit de sécurité tournant sous Windows XP pourrait être exploité de cette manière.

Matousec donne même des noms : près de trente-cinq logiciels seraient vulnérables à la tactique d'argument-switch, dont ceux de Symantec, McAfee, Trend Micro, BitDefender, Sophos, etc... (les tests ont été réalisés sur des ordinateurs 32-bits embarquant Windows XP SP3 et Vista SP1).

Rik Ferguson, cadre chez Trend Micro, a noté dans son blog que les problèmes soulevés par Matousec sont "très importants à court terme".

Du côté de McAfee par contre, on minimise la menace. "D'après nos premières recherches sur le sujet, il semble qu'il s'agisse d'une attaque compliquée loin d'être viable, réelle, et de se répandre à grande échelle. Le processus à besoin d'accès déjà existants à l'ordinateur cible, car il n'est pas capable de déjouer les antivirus seuls ni d'exécuter des malwares", a déclaré un porte-parole.

Kaspersky rejoint à peu près ce point de vue, en affirmant avoir analysé les informations publiées sur le sujet, et "conclu que le danger n'est lié qu'à certaines des fonctionnalités" de leurs produits. Avant de poursuivre : "Nos produits n'implémentent pas que des hooks de noyaux, mais aussi tout un tas d'autres technologies très sécurisées, comme les sandbox et d'autres moyens de restreindre les activités suspicieuses du noyau".

Il semblerait donc y avoir des méthodes bien plus simples pour piéger des antivirus que celle décrite par Matousec.

Mais ce n'est pas pour autant que la menace n'existe pas. Elle semble d'ailleurs difficile à enrayer et offre aux pirates de grandes opportunités d'attaque sur des systèmes de sécurité basée sur les disques.

Certains spécialistes craignent aussi que les informations révélées par Matousec ne donnent des idées à certains, pour les inclure dans des kits d'exploits. La menace se répandrait alors plus vite que prévu.

Mais beaucoup de chercheurs travaillant pour des compagnies éditrices d'antivirus se veulent rassurant. Ils rappellent que les programmes de sécurité ne son pas impuissants face à l'argument-switch, déjà parce qu'il faudrait que les hackers arrivent à placer un malware sur la machine visée, et que les scans à la demande doivent logiquement bloquer ce type de téléchargements (du moins, pour les virus connus et donc présents dans les listes de signatures).

Ils estiment également que les attaques devraient viser les machines tournant sous Windows XP 32-bits, car cet OS continue d'être largement utilisé et qu'en plus, il manque de la protection du noyau PatchGuard que Microsoft a ajouté aux versions 64-bits de XP en 2005 (puis, plus tard, sur les versions 64-Bits de Vista et Windows 7).

Ces systèmes ne seront pas les seuls visés, mais ils seront les plus touchés.

De plus, le PatchGuard de Microsoft n'a pas que des amis. Plusieurs compagnies de sécurité informatique, notamment Symantec et McAfee, se sont plaintes qu'il leur empêcherait de délivrer des fonctions clés dans leurs produits compatibles avec Vista (avant l'arrivée du PatchGuard dans Vista).

Microsoft a réagi en apportant des APi permettant aux vendeurs de faire ce qu'ils souhaitaient, mais sans atteindre le noyau.

Ces API sont apparues dans le SP1 de Vista en 2008.

De son côté, Matousec affirme que les versions 64-bits de Windows pourraient tout de même être vulnérables à la menace dans certains cas : "Cela fonctionnera contre tous les hooks de modes utilisateurs ainsi que contre tous les hooks de kernel mode s’ils sont installés, par exemple, après que PatchGuard soit désactivé".

Sources : Le document publié par Matousec ; Le blog de Rik Ferguson

Lire aussi :
McAfee propose un remboursement raisonnable et deux années supplémentaires de mises à jour aux victimes de sa bourde

Comment éradiquer cette menace, sachant que les mises à jour des drivers de noyaux des antivirus sont très périlleuses ?

Quelle ampleur pensez-vous que les attaques par argument-switch pourraient prendre ? Quel serait leur impact ?