16/12/2024

Actu CybersécuritéLogiciel - OS

Windows : 6 antivirus populaires détournés pour supprimer des fichiers légitimes

Un chercheur en sécurité de chez SafeBreach a découvert une vulnérabilité qui affecte plusieurs solutions de protection pour Windows ! En exploitant cette vulnérabilité, il est possible de faire en sorte que l'antivirus efface n'importe quel fichier de la machine, y compris un fichier système.

À l'occasion de l'événement Black Hat Europe, le chercheur en sécurité Or Yair, de l'entreprise SafeBreach, a dévoilé sa dernière trouvaille qui permet d'abuser du fonctionnement classique des antivirus. Quand un fichier malveillant est détecté par un antivirus, celui-ci est placé en quarantaine ou supprimé. Grâce à ce nouvel exploit, il est parvenu à faire en sorte que l'antivirus efface un fichier pourtant légitime ! Et voilà, votre antivirus prend la forme d'un wiper...!

En règle générale, l'antivirus détecte le fichier malveillant puis le supprime pour protéger l'utilisateur. Ici, l'objectif va être d'agir juste après la détection du fichier et avant qu'il ne soit supprimé dans le but de créer un lien symbolique vers un autre fichier dans le but de supprimer le fichier ciblé, et non le fichier détecté initialement. Autrement dit, il y a une opportunité entre le moment où la menace est détectée et le moment où est elle est supprimée.

Sur 11 solutions testées, 6 ont supprimé le mauvais fichier. Puisque l'antivirus dispose de privilèges élevés sur la machine locale, cette technique est tout à fait capable d'effacer un fichier système.

Des solutions populaires affectées

Cette nouvelle technique baptisée Aïkido fonctionne avec des solutions populaires : Microsoft Defender, Microsoft Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus et AVG Antivirus. A l'inverse, les solutions suivantes ne sont pas tombées dans le panneau : Palo Alto XDR, Cylance, CrowdStrike, McAfee et Bitdefender.

Antivirus qui devient un véritable wiper

Désormais, les éditeurs ont fait le nécessaire pour que cette vulnérabilité ne puisse plus être exploitée donc nous vous encourageons à mettre à jour votre solution de sécurité afin de bénéficier de la dernière version.

Le rapport complet est disponible sur le site de SafeBreach.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.