Aujourd'hui, ayant un programme antivirus ne suffit pas pour être sûr, comme il s'avère. Une nouvelle étude réalisée par la société de sécurité Cybellum a mis au jour une grave vulnérabilité zero-day qui permet à des attaquants de prendre le contrôle des programmes antivirus installés sur un système Windows. Selon les chercheurs, le défaut est présent dans toutes les versions Windows existantes, à partir de Windows XP tout le chemin jusqu'à Windows 10 la plus récente construction.
Cybellum dit le zero-day peut prendre "le plein contrôle sur les principaux antivirus et anti-virus de la prochaine génération", ajoutant que "au lieu de se cacher et de fuir l'antivirus, les attaquants peuvent désormais directement agression et de détourner le contrôle de l'antivirus".
en relation: CVE-2016-7855 Bug Flash Exploités dans des attaques limitées
L'attaque est déclenchée lorsque des acteurs malveillants d'injecter du code dans le programme AV, exploitant ainsi le zero-day en question. La vulnérabilité et l'attaque qu'il déclenche ont été surnommé DoubleAgent, car il tourne l'agent de sécurité AV de l'utilisateur dans un agent malveillant, chercheurs expliquent. DoubleAgent donne littéralement l'illusion que l'AV en place protège le système en fait il a été abusé par des éléments malveillants.
L'attaque profite d'une vulnérabilité de 15 ans. Le pire est qu'il est encore patché par la plupart des fournisseurs AV touchés, ce qui signifie qu'elle pourrait être déployée dans des attaques dans la nature contre les individus et les organisations.
Une fois que l'attaquant a pris le contrôle de l'antivirus, il peut commander à effectuer des opérations malveillantes au nom de l'attaquant. Parce que l'antivirus est considéré comme une entité de confiance, toute opération malveillante fait par elle serait considérée comme légitime, donner à l'attaquant la possibilité de contourner tous les produits de sécurité dans l'organisation.
Selon les chercheurs Cybellum, un certain nombre de grandes solutions répandue AV sont affectées, comme Avast, AVG, Avira, Bitdefender, TrendMicro, Confortable, CAS, Kaspersky, F-Secure, Malwarebytes, McAffee, Panda, Norton, Quick Heal.
La vulnérabilité a déjà été identifiée dans certains AV:
- Avast – CVE-2017-5567
- AVG – CVE-2017-5566
- Avira – CVE-2017-6417
- Bitdefender – CVE-2017-6186
- TrendMicro – CVE-2017-5565
Comment peut-DoubleAgent Exploit travail?
La faille exploite un outil légitime offert par Microsoft dans Windows et appelé "Microsoft Application Verifier", qui est conçu pour aider les développeurs à localiser les bugs dans leurs applications. L'outil peut être compromise pour prendre la place du vérificateur standard avec un personnalisé, destiné à aider l'attaquant à détourner l'application.
La société a déjà été en contact avec les fournisseurs AV touchés. Malheureusement, seulement deux des sociétés ont publié un correctif (Malwarebytes et AVG).
en relation: CVE-2017-3881 affecte plus de 300 Commutateurs Cisco
Tristement, la capacité de DoubleAgent d'injecter du code, même après un redémarrage du système, il est très difficile à enlever.
Une fois une technique de persistance est bien connue, produits de sécurité mis à jour leurs signatures en conséquence. Donc, une fois la persistance est connue, il peut être détecté et atténué par la sécurité products.Being une nouvelle technique de persistance, Agent Double contourné DE, NGAV et d'autres solutions finaux, et donnant une capacité de l'attaquant d'exécuter son attaque détectée sans limite de temps.
De plus amples détails techniques sont disponibles sur le blog de Cybellum poste.