IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un bogue dans le kernel pourrait empêcher des solutions de sécurité de détecter des malwares


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    2 181
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 2 181
    Par défaut Un bogue dans le kernel pourrait empêcher des solutions de sécurité de détecter des malwares
    Un bogue dans le kernel pourrait empêcher des solutions de sécurité de détecter des malwares
    Sous Windows 2000 à Windows 10

    Les chercheurs en sécurité de la startup israélienne enSilo préviennent les éditeurs de solutions de sécurité et les développeurs de l’existence d’un bogue dans le kernel Windows. Ce dernier pourrait permettre à des cybercriminels de lancer des actions malicieuses en trompant des solutions de sécurité qui s’appuient sur une certaine API.

    Le bogue affecte une interface de bas niveau connue sous le nom de PsSetLoadImageNotifyRoutine. Il s’agit d’un mécanisme présumément utilisé par certaines solutions de sécurité pour savoir que du code a été injecté dans l’espace mémoire kernel ou utilisateur. Le problème est qu’une solution de sécurité qui se base sur les informations fournies par cette routine peut être redirigée vers un module autre que celui sur lequel il est nécessaire de garder un œil, toute chose qu’un malware pourrait exploiter pour empêcher qu’une solution antivirus ne scanne de portions de code lui appartenant en mémoire.


    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    PLOAD_IMAGE_NOTIFY_ROUTINE SetLoadImageNotifyRoutine;
    
    void SetLoadImageNotifyRoutine(
      _In_opt_ PUNICODE_STRING FullImageName,
      _In_     HANDLE          ProcessId,
      _In_     PIMAGE_INFO     ImageInfo,
      _In_     BOOLEAN         Create
    )

    Le bogue a été découvert par les chercheurs de la startup enSilo plongés dans leur exploration du Kernel Windows. Omri Misgav, chercheur chez enSilo et auteur de la découverte, affirme que toutes les versions du système d’exploitation de Windows 2000 à Windows 10 sont concernées par ce bogue. L’interface a en effet été introduite sous Windows 2000 selon ce qu’explique le chercheur et serait utilisée depuis lors par certains éditeurs de sécurité pour détecter certains types d’opérations malicieuses.

    De rares internautes font état de problèmes similaires rencontrés avec cette interface. Il semblerait bien que ce soit la première fois que des chercheurs développent de manière aussi exhaustive à son sujet. Contacté par les chercheurs d’enSilo, Microsoft aurait répondu que cet état de choses ne nécessite pas une réponse avec un correctif de sécurité comme c’est le cas dans la plupart des cas.

    Il faudrait noter qu’il s’est écoulé 17 années depuis la sortie de Windows 2000. Jusqu'ici, aucun éditeur de solution de sécurité n’a fait état de cette situation, du moins dans un billet de blog aussi détaillé, ce qui laisse penser que les développeurs d’antivirus utilisent d’autres interfaces pour pouvoir garder un œil sur les mouvements mémoire des processus d’intérêt.

    Sources : billet de blog enSilo, ThreatPost

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    le forum sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Homme Profil pro
    Consultant communication & réseaux
    Inscrit en
    Octobre 2013
    Messages
    86
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant communication & réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Octobre 2013
    Messages : 86
    Par défaut
    Etonnant !

Discussions similaires

  1. Réponses: 8
    Dernier message: 07/03/2017, 08h59
  2. Réponses: 11
    Dernier message: 08/06/2016, 18h41
  3. Réponses: 0
    Dernier message: 14/04/2015, 10h34
  4. Réponses: 2
    Dernier message: 29/07/2014, 14h12
  5. Des haut-parleurs utilisés pour détecter des gestes
    Par Hinault Romaric dans le forum Actualités
    Réponses: 23
    Dernier message: 13/05/2012, 22h14

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo