DoubleAgent: une attaque qui transforme l’anti-virus en agent malveillant

Cybellum a identifié une nouvelle faille de sécurité. Celle-ci a déjà affecté plusieurs versions de systèmes d’exploitation Windows en exploitant une vulnérabilité de type zero-day ; de plus, elle a contaminé de nombreux processus avec des fichiers DLL malveillants.

Pour information, Cybellum est une société israélienne spécialisée en cyber-sécurité

Une attaque capable de transformer un logiciel antivirus en ransomware

Cybellum a récemment publié les détails d’une vulnérabilité qui a permis une élévation de privilège au sein des systèmes d’exploitation Windows.

Selon la société, ladite faille a exploité le comportement d’un outil d’analyse des comportements de Microsoft : Application Verifier.

Grâce à ce dernier, les ingénieurs de Cybellum ont pu introduire des fichiers DLL (Dynamic Link Library) dans des processus fonctionnant sur des ordinateurs.

Pour réaliser cela, ils ont testé leurs techniques sur des logiciels antivirus car leur niveau de privilège est très élevé. C’est ainsi qu’avec une injection de fichiers DLL malveillants, ils ont pu transformer un logiciel antivirus en ransomware.

Les fichiers DLL sont généralement utilisés par les systèmes d’exploitation pour stocker les fonctions et les bibliothèques logicielles dont ont besoin les programmes.

Bien que ces outils soient soumis à d’importantes mesures de protection, les chercheurs de Cybellum ont réussi à y indroduire des fichiers DLL malveillants.

En plus de pouvoir « résister » à une réinstallation de l’application ou à un reboot de l’ordinateur, cette attaque présente également la particularité d’être persistante.

Le grand public n’est pas en mesure de réaliser une telle attaque

Par chance, tout le monde n’est pas en mesure de réaliser cette attaque ; en effet, elle nécessite d’avoir accès aux éditeurs des registres des systèmes d’exploitation et d’être en possession de clés de régistres de l’ordinateur (en d’autres termes, il faut disposer des droits d’administrateur).

Les ingénieurs de Cybellum ont publié les détails de la faille et ont informé les développeurs de logiciels antivirus ; toutefois, seuls Malwarebytes, AVG et Trend Micro ont corrigé le problème.

De leur côté, les développeurs de Windows Defender ont introduit une nouvelle technologie (Protected Processes) dans Windows 8.1.

Poster un Commentaire

Soyez le premier à commenter !

Me notifier des
wpDiscuz