Une astuce astucieuse transforme les logiciels antivirus en fléaux imparables d’effacement des données

Une Astuce Astucieuse Transforme Les Logiciels Antivirus En Fléaux Imparables

Pourquoi c’est important : les programmes antivirus et antimalware sont généralement les types de logiciels les plus fiables installés sur un PC. Exploitant ce statu quo bien connu, un chercheur en sécurité a créé un outil d’effacement des données potentiellement capable d’effacer toutes les données présentes sur un système.

Ou Yair, chercheur en sécurité chez SafeBreach, a découvert de multiples vulnérabilités « zero-day » qui pourraient transformer les outils de détection et de réponse des terminaux (EDR) et antivirus (AV) en « essuie-glaces de nouvelle génération », une nouvelle menace potentielle affectant des centaines de millions de systèmes de terminaux. (y compris les PC grand public) partout dans le monde.

Un essuie-glace est un logiciel malveillant destructeur conçu pour effacer ou corrompre des fichiers sur un système compromis, au point de rendre inutile tout effort pour récupérer lesdits fichiers. Les essuie-glaces doivent avoir un accès complet à un système de fichiers pour faire leurs sales actions, le même type d’accès dont ont besoin par coïncidence les programmes antivirus et EDR pour agir rapidement contre une menace nouvellement détectée.

Comme l’a expliqué Yair, « il y a deux événements principaux lorsqu’un EDR supprime un fichier malveillant »: d’abord, le logiciel de protection identifie un fichier comme malveillant, puis il le supprime. L’objectif de Yair était d’essayer de faire quelque chose entre ces deux événements, en utilisant un point de jonction (un type de lien symbolique présent dans le système de fichiers NTFS) pour diriger l’outil EDR vers un chemin différent.

Une astuce astucieuse transforme les logiciels antivirus en fleaux imparables

Le chercheur recherchait des vulnérabilités dites du temps de vérification au temps d’utilisation (TOCTOU), en utilisant un programme de type Mimikatz caché comme une fausse imitation du ndis.sys Driver réseau Windows. La première tentative de redirection du lien ndis.sys d’origine (C:\Windows\system32\drivers\ndis.sys) vers le faux a échoué, car certains programmes EDR ont empêché l’accès au programme Mimikatz après l’avoir détecté comme une menace.

Yair a encore développé sa technique, en gardant le fichier malveillant ouvert et en forçant l’antivirus à demander un redémarrage pour le supprimer. C’était l’ouverture que le chercheur attendait : en manipulant le Registre et en redémarrant, le nouvel Aikido Wiper – ainsi nommé par son créateur – pouvait supprimer des répertoires entiers, voire même la racine du disque système (C:\) sans avoir besoin de avoir des privilèges d’administrateur.

Yair a testé son Aikido Wiper contre 11 solutions de sécurité, découvrant que 50% d’entre eux étaient vulnérables à la nouvelle technique. L’antivirus vulnérable comprenait Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus et AVG Antivirus, tandis que d’autres solutions (Palo Alto, Cylance, CrowdStrike, McAfee et BitDefender, entre autres) n’étaient pas exploitables.

Le chercheur a signalé les failles qu’il a découvertes à tous les fournisseurs impliqués au cours des derniers mois, et les entreprises ont répondu en publiant des correctifs pour leurs solutions EDR vulnérables.