[MAJ] Des failles logées dans vos antivirus les transforment en outils malveillants

Publié le

Rien n’est 100% infaillible, encore moins en informatique. Des spécialistes en cybersécurité l’ont récemment prouvé en modifiant le fonctionnement d’antivirus. Des chercheurs de Rack911 Labs ont identifié des failles dans ces logiciels qui, une fois exploitées, les transforment en véritable outil malveillant.

MAJ du 7 Mai 2020 : Cet article a été mis à jour avec l’ajout d’informations détaillées de la part d’Avast qui a fait valoir son droit de réponse.

Comment est-ce possible ?

Pour protéger une machine, un antivirus a besoin d’accéder à un certain niveau de privilèges d’administration. Ces privilèges administrateur sont utiles à plusieurs niveaux pour :

  • Former un bouclier protecteur contre les virus
  • Placer des objets suspects en quarantaine
  • Supprimer des éléments malveillants

Lorsqu’un antivirus détecte un fichier malveillant, ce dernier est placé en quarantaine ou supprimé automatiquement. L’inconvénient c’est qu’il y a une latence entre la détection et l’action de suppression. Rack911 Labs a découvert qu’il était possible de créer un lien entre le fichier malveillant et un autre fichier de l’ordinateur en profitant de cette latence. L’antivirus va alors supprimer les deux fichiers, et ce, quel que soit le niveau de la protection d’accès. Mais à quoi cela peut-il bien servir me direz-vous ?

Le problème est le suivant : si un hacker infiltre le système et qu’il parvient à y déposer des éléments malveillants dans le but de créer des liens symboliques avec d’autres fichiers vitaux pour la stabilité du système, il pourra supprimer ces fichiers en utilisant l’antivirus. Ainsi, l’antivirus devient un véritable outil de suppression qui peut faire planter la machine ou tout bonnement faire tomber des barrières de protection.

Tous les OS de bureau sont concernés par ces failles. Il est possible d’exploiter ces vulnérabilités sur un ordinateur Windows, macOS ou Linux comme le montrent les vidéos de démonstrations mises en ligne par les chercheurs.

Les leaders du marché de la sécurité ne sont pas épargnés

Qu’il soit gratuit ou payant, un antivirus est censé protéger le système. Ces vulnérabilités étaient présentes dans la plupart des antivirus du marché y compris les plus populaires tels que Kaspersky, Bitdefender, McAfee, ESET, Norton, Avast, Avira, Panda, Comodo, Sophos, Microsoft et bien d’autres encore.

Elles affectent les plus gros acteurs du marché de la cybersécurité. Rack911 Labs a commencé ses investigations en 2018. Depuis, les chercheurs ont alerté les éditeurs concernés qui ont pour la plupart corrigé les vulnérabilités. Rack911 Labs ne précise pas les éditeurs et produits qui sont toujours touchés. Pour l’heure, on ne sait pas si cet exploit a déjà été utilisé.

Cette affaire prouve encore une fois que les antivirus peuvent être vulnérables comme tous les autres logiciels à des attaques très dangereuses. Elle remet aussi en question le niveau de privilèges à accorder aux programmes quels qu’ils soient.

Que faire ?

La plupart des éditeurs de solutions en sécurité ont déjà colmaté les failles incriminées, mais cela suffira-t-il à rassurer les utilisateurs. Les éditeurs de sécurité n’ont pas communiqué de façon claire sur ce problème et se sont probablement contentés de rajouter quelques lignes dans les journaux des améliorations et corrections apportées au fil des mises à jour. Un peu de transparence aiderait les utilisateurs à y voir plus clair, encore plus lorsqu’ils mettent la main à la poche pour améliorer leur protection.

Droit de réponse d’Avast

De son côté, la société Avast Software qui édite les antivirus Avast et AVG a tenu à clarifier certains points avec Logitheque par courriel. Elle confirme que Rack911 Labs l’a informée de la vulnérabilité pour AVG Antivirus (macOS) en mars 2019. Des correctifs ont été appliqués en avril 2019. Cependant, Avast précise que les versions Windows d’Avast et AVG Antivirus n’ont pas été impactées “à sa connaissance”. Voici la réponse détaillée d’Avast à ce sujet :

« La vulnérabilité de AVG Antivirus pour Mac OS décrite par Rack911Labs nous a été signalée en mars 2019, et nous avons publié le correctif adéquat en avril 2019. En ce qui concerne Avast et AVG Antivirus (gratuit et payant) pour Windows, à notre connaissance, ils ne sont pas et n’ont pas été affectés par cette vulnérabilité. En cas de tentative de compromission, les vérifications effectuées par Avast File Shield détecteraient et empêcheraient en effet l’attaque. Par conséquent, pour que l’attaque fonctionne, un cybercriminel devrait adopter une stratégie d’ingénierie sociale sur l’appareil de l’administrateur, afin de pouvoir étendre son action malveillante. L’administrateur devrait alors exécuter ensuite une analyse particulière, tandis que l’attaquant devrait désactiver la protection de l’antivirus (File Shield), qui autrement détecterait le logiciel malveillant. Nous avons déployé des contrôles supplémentaires pour empêcher ce type d’ingénierie sociale. En outre, nous avons répondu à Rack911Labs pour leur faire part de notre point de vue, en savoir plus sur leurs conclusions et clarifier certains éléments. »

AVAST – Communication par courriel

Nos recommandations

Pour notre part, nous vous recommandons de redoubler de prudence sur la toile et de mettre à jour vos protections. Internet et notamment les mails frauduleux sont plus que jamais des portes d’entrées incontournables pour enclencher des attaques ciblées comme celle que nous venons de décrire. Soyez également vigilants lorsque que vous utilisez des périphériques USB ayant été manipulés par des tiers.

Article publié initialement le 22 avril 2020 et réactualisé le 7 mai 2020 pour ajouter la réponse d’Avast.

Source : Rack911 Labs

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet