IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

DoubleAgent : une nouvelle faille zero-day qui permet de pirater tous les logiciels tournant sous Windows


Sujet :

Sécurité

  1. #1
    Community Manager

    Avatar de Malick
    Homme Profil pro
    Community Manager
    Inscrit en
    Juillet 2012
    Messages
    9 212
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Community Manager
    Secteur : Conseil

    Informations forums :
    Inscription : Juillet 2012
    Messages : 9 212
    Points : 85 093
    Points
    85 093
    Billets dans le blog
    15
    Par défaut DoubleAgent : une nouvelle faille zero-day qui permet de pirater tous les logiciels tournant sous Windows
    DoubleAgent : une faille zero-day permettant d'injecter du code malveillant sur toutes les versions de Windows,
    en détournant les antivirus

    Les chercheurs en sécurité de la société israélienne Cybellum viennent d'annoncer avoir découvert, dans toutes les versions de Windows (de Windows XP à Windows 10), une nouvelle vulnérabilité critique qualifiée de zero-day et baptisée DoubleAgent. Selon les chercheurs, DoubleAgent donne la possibilité aux pirates d'injecter du code malveillant dans les ordinateurs cibles grâce à une technique qui permet de modifier le comportement des logiciels antivirus pour les transformer en logiciels malveillants. Ainsi, avec cette nouvelle faille zero-day, les pirates vont pouvoir prendre à distance le contrôle d’un ordinateur sous Windows.

    D'après les informations fournies par l'équipe des chercheurs, la nouvelle faille a été trouvée dans un logiciel dénommé « Application Verifier ». Ce dernier est présent dans toutes les versions de Windows, mais en cachette. En effet, « Application Verifier » est exclusivement réservé aux développeurs, car il leur permet de chercher des bogues dans les programmes en leur injectant une DLL spécifique (bibliothèque logicielle chargée en mémoire). Les chercheurs en sécurité de Cybellum affirment également que l'« Application Verifier » est un outil ancien de 15 ans et non documenté. Il semble même que l'outil n’a jamais subi de correctifs de sécurité.

    Au même titre que les développeurs, les pirates ont la possibilité d'exploiter DoubleAgent et de créer leur propre DLL qui sera ensuite injecté dans un processus. Pour ce faire, il leur suffit de créer une clé de registre ayant le même nom que l'application qui a été ciblée pour être détournée. « Les experts en sécurité soutiennent que l'injection de code se produit très tôt au lancement du processus de la victime, ce qui donne à l'attaquant un contrôle total sur le processus. Il n'existerait pour le moment aucun moyen de se protéger contre l'attaque, même les logiciels antivirus ne sont pas en mesure de détecter ou de bloquer l'attaque. »

    Pour mieux étayer leurs dires, les chercheurs en sécurité affirment avoir fait leurs tests sur 14 logiciels antivirus en l'occurrence Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal et Trend Micro. L'exploitation de leur annonce montre que les tests se sont passés avec succès, confirmant ainsi le risque de piratage auquel les utilisateurs de Windows sont confrontés. La vidéo ci-après est une illustration de l'exploitation de la faille DoubleAgent pour détourner des antivirus.


    Les fournisseurs des solutions antivirus en question auraient déjà été informés de la technique à la portée des pirates, et cela il y a plus de trois mois à en croire les chercheurs en sécurité de Cybellum. Cependant, on nous informe que seuls Malwarebytes, AVG et Trend-Micro ont publié un correctif, les autres fournisseurs n'ayant pas encore réagi.

    Par ailleurs, les experts en sécurité précisent que la même technique utilisée pour détourner les antivirus peut bien être mise en œuvre pour infecter d'autres applications.

    « Nous devons faire plus d'efforts pour détecter et prévenir ces attaques, et cesser de faire confiance aveuglément aux solutions de sécurité traditionnelles, qui , comme démontré ici, ne sont pas seulement inefficaces contre l'exploitation des failles zero-day, mais donnent également de nouvelles opportunités aux attaquants afin de créer des attaques très sophistiquées », a déclaré l'équipe de Cybellum.

    Pour se protéger de l'injection de code malveillant, Cybellum invite les utilisateurs à utiliser la méthode dénommée Protected Processes. Cette dernière a été introduite dans Windows 8.1 et permet d’éviter les injections de code,cependant il n'est disponible que dans Windows Defender.

    Source : Cybellum

    Et vous ?

    Que pensez-vous de cette nouvelle faille ?

  2. #2
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    Juillet 2013
    Messages
    584
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Juillet 2013
    Messages : 584
    Points : 1 615
    Points
    1 615
    Par défaut
    Citation Envoyé par Cybellum
    Microsoft has provided a new design concept for antivirus vendors called Protected Processes. The new concept is specially designed for antivirus services. Antivirus processes can be created as “Protected Processes” and the protected process infrastructure only allows trusted, signed code to load and has built-in defense against code injection attacks. This means that even if an attacker found a new Zero-Day technique for injecting code, it could not be used against the antivirus as its code is not signed. Currently no antivirus (except Windows Defender) has implemented this design. Even though Microsoft made this design available more than 3 years ago.
    Je ne comprend pas vraiment si windows defender installe ses services avec ce mode... Dans ce cas, il suffirait d'activer defender sur les postes récents pour être protégé ?

  3. #3
    Invité
    Invité(e)
    Par défaut
    Cette histoire me rappelle un message d'un ancien de Mozilla qui avait il y a peu indiqué que les antivirus étaient potentiellement dangereux, car il impliquait des failles potentielles supplémentaires pour l'OS.
    Ceci dit pour une fois l'antivirus de Windows se démarque positivement face à toute la concurrence.

  4. #4
    Membre confirmé
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    466
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2007
    Messages : 466
    Points : 632
    Points
    632
    Par défaut Encore du vent
    Bonjour,

    On est toujours dans la problematique de DLL non signé ca existe depuis toujours et de nombreux "outils" natif windows en sont victime, partant du principe ou les binaires crosoft sont souvent consideré par les AV comme sans risque ...

Discussions similaires

  1. Réponses: 0
    Dernier message: 23/04/2015, 22h23
  2. Une nouvelle faille zero-day dans IE10 a été découverte
    Par Francis Walter dans le forum Sécurité
    Réponses: 3
    Dernier message: 28/02/2014, 08h51
  3. Nouvelle faille zero-day activement exploitée dans Adobe Reader
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 7
    Dernier message: 14/02/2013, 18h28
  4. Flash Player : nouvelle faille Zero-day critique
    Par Idelways dans le forum Flash/Flex
    Réponses: 4
    Dernier message: 19/04/2011, 00h28
  5. Flash Player : nouvelle faille Zero-day critique
    Par Idelways dans le forum Actualités
    Réponses: 0
    Dernier message: 12/04/2011, 11h10

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo