+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Community Manager

    Avatar de Malick
    Homme Profil pro
    Auditeur
    Inscrit en
    juillet 2012
    Messages
    4 693
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Auditeur
    Secteur : Conseil

    Informations forums :
    Inscription : juillet 2012
    Messages : 4 693
    Points : 54 292
    Points
    54 292
    Billets dans le blog
    15

    Par défaut DoubleAgent : une nouvelle faille zero-day qui permet de pirater tous les logiciels tournant sous Windows

    DoubleAgent : une faille zero-day permettant d'injecter du code malveillant sur toutes les versions de Windows,
    en détournant les antivirus

    Les chercheurs en sécurité de la société israélienne Cybellum viennent d'annoncer avoir découvert, dans toutes les versions de Windows (de Windows XP à Windows 10), une nouvelle vulnérabilité critique qualifiée de zero-day et baptisée DoubleAgent. Selon les chercheurs, DoubleAgent donne la possibilité aux pirates d'injecter du code malveillant dans les ordinateurs cibles grâce à une technique qui permet de modifier le comportement des logiciels antivirus pour les transformer en logiciels malveillants. Ainsi, avec cette nouvelle faille zero-day, les pirates vont pouvoir prendre à distance le contrôle d’un ordinateur sous Windows.

    D'après les informations fournies par l'équipe des chercheurs, la nouvelle faille a été trouvée dans un logiciel dénommé « Application Verifier ». Ce dernier est présent dans toutes les versions de Windows, mais en cachette. En effet, « Application Verifier » est exclusivement réservé aux développeurs, car il leur permet de chercher des bogues dans les programmes en leur injectant une DLL spécifique (bibliothèque logicielle chargée en mémoire). Les chercheurs en sécurité de Cybellum affirment également que l'« Application Verifier » est un outil ancien de 15 ans et non documenté. Il semble même que l'outil n’a jamais subi de correctifs de sécurité.

    Au même titre que les développeurs, les pirates ont la possibilité d'exploiter DoubleAgent et de créer leur propre DLL qui sera ensuite injecté dans un processus. Pour ce faire, il leur suffit de créer une clé de registre ayant le même nom que l'application qui a été ciblée pour être détournée. « Les experts en sécurité soutiennent que l'injection de code se produit très tôt au lancement du processus de la victime, ce qui donne à l'attaquant un contrôle total sur le processus. Il n'existerait pour le moment aucun moyen de se protéger contre l'attaque, même les logiciels antivirus ne sont pas en mesure de détecter ou de bloquer l'attaque. »

    Pour mieux étayer leurs dires, les chercheurs en sécurité affirment avoir fait leurs tests sur 14 logiciels antivirus en l'occurrence Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal et Trend Micro. L'exploitation de leur annonce montre que les tests se sont passés avec succès, confirmant ainsi le risque de piratage auquel les utilisateurs de Windows sont confrontés. La vidéo ci-après est une illustration de l'exploitation de la faille DoubleAgent pour détourner des antivirus.


    Les fournisseurs des solutions antivirus en question auraient déjà été informés de la technique à la portée des pirates, et cela il y a plus de trois mois à en croire les chercheurs en sécurité de Cybellum. Cependant, on nous informe que seuls Malwarebytes, AVG et Trend-Micro ont publié un correctif, les autres fournisseurs n'ayant pas encore réagi.

    Par ailleurs, les experts en sécurité précisent que la même technique utilisée pour détourner les antivirus peut bien être mise en œuvre pour infecter d'autres applications.

    « Nous devons faire plus d'efforts pour détecter et prévenir ces attaques, et cesser de faire confiance aveuglément aux solutions de sécurité traditionnelles, qui , comme démontré ici, ne sont pas seulement inefficaces contre l'exploitation des failles zero-day, mais donnent également de nouvelles opportunités aux attaquants afin de créer des attaques très sophistiquées », a déclaré l'équipe de Cybellum.

    Pour se protéger de l'injection de code malveillant, Cybellum invite les utilisateurs à utiliser la méthode dénommée Protected Processes. Cette dernière a été introduite dans Windows 8.1 et permet d’éviter les injections de code,cependant il n'est disponible que dans Windows Defender.

    Source : Cybellum

    Et vous ?

    Que pensez-vous de cette nouvelle faille ?
    Vous avez envie de contribuer au sein du Club Developpez.com ? Contactez-nous maintenant !
    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    juillet 2013
    Messages
    524
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : juillet 2013
    Messages : 524
    Points : 1 373
    Points
    1 373

    Par défaut

    Citation Envoyé par Cybellum
    Microsoft has provided a new design concept for antivirus vendors called Protected Processes. The new concept is specially designed for antivirus services. Antivirus processes can be created as “Protected Processes” and the protected process infrastructure only allows trusted, signed code to load and has built-in defense against code injection attacks. This means that even if an attacker found a new Zero-Day technique for injecting code, it could not be used against the antivirus as its code is not signed. Currently no antivirus (except Windows Defender) has implemented this design. Even though Microsoft made this design available more than 3 years ago.
    Je ne comprend pas vraiment si windows defender installe ses services avec ce mode... Dans ce cas, il suffirait d'activer defender sur les postes récents pour être protégé ?
    La liberté est à la sociologie ce que l'instant présent est à la physique relativiste.

  3. #3
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    octobre 2016
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : octobre 2016
    Messages : 22
    Points : 52
    Points
    52

    Par défaut

    Cette histoire me rappelle un message d'un ancien de Mozilla qui avait il y a peu indiqué que les antivirus étaient potentiellement dangereux, car il impliquait des failles potentielles supplémentaires pour l'OS.
    Ceci dit pour une fois l'antivirus de Windows se démarque positivement face à toute la concurrence.

  4. #4
    Membre confirmé
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    449
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2007
    Messages : 449
    Points : 598
    Points
    598

    Par défaut Encore du vent

    Bonjour,

    On est toujours dans la problematique de DLL non signé ca existe depuis toujours et de nombreux "outils" natif windows en sont victime, partant du principe ou les binaires crosoft sont souvent consideré par les AV comme sans risque ...

Discussions similaires

  1. Réponses: 0
    Dernier message: 23/04/2015, 22h23
  2. Une nouvelle faille zero-day dans IE10 a été découverte
    Par Francis Walter dans le forum Sécurité
    Réponses: 3
    Dernier message: 28/02/2014, 08h51
  3. Nouvelle faille zero-day activement exploitée dans Adobe Reader
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 7
    Dernier message: 14/02/2013, 18h28
  4. Flash Player : nouvelle faille Zero-day critique
    Par Idelways dans le forum Flash/Flex
    Réponses: 4
    Dernier message: 19/04/2011, 00h28
  5. Flash Player : nouvelle faille Zero-day critique
    Par Idelways dans le forum Actualités
    Réponses: 0
    Dernier message: 12/04/2011, 11h10

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo