En s’appuyant sur un tour de passe-passe, il est possible de détourner les privilèges d’accès d’un logiciel antivirus pour réaliser des actions destructrices sur un ordinateur.
Basés à Las Vegas, les chercheurs en sécurité de Rack911 Labs méritent d’être davantage connus. Depuis 2018, ils ont creusé le sillon des liens symboliques entre fichiers, une fonction qui permet de créer un fichier qui pointe vers un autre fichier. Cette technique assez basique existe sur tous les principaux systèmes d’exploitation. En la combinant avec les logiciels antivirus, les experts ont trouvé des failles intéressantes.
En effet, les logiciels antivirus exécutent généralement leurs analyses de fichiers avec les privilèges administrateur. S’ils trouvent un fichier malveillant, celui-ci sera effacé ou mis en quarantaine. Mais il y a toujours un peu de temps qui s’écoule entre la détection et la suppression. Les chercheurs de Rack911 Labs ont découvert qu’il était parfois possible, durant ce laps de temps, de créer un lien symbolique depuis le fichier malveillant vers un autre fichier de l’ordinateur. L’antivirus va alors supprimer ce fichier, quelle que soit sa protection d’accès.
Par conséquent, il suffit qu’un pirate arrive à infiltrer un système et à déposer un fichier malveillant de test (eicar.com.txt par exemple) pour pouvoir effacer n’importe quel fichier, avec l’aide involontaire de l’antivirus. Il pourrait par exemple pointer vers des fichiers de l’antivirus et, ainsi, le désactiver. Il pourrait aussi pointer vers des fichiers essentiels du système d’exploitation pour faire planter la machine.
Ces attaques destructives fonctionnaient aussi bien sur Windows, que Linux et macOS. Les chercheurs ont d’ailleurs mis en ligne six vidéos de démonstration pour le prouver, sur YouTube.
Ce qui est encore plus étonnant, c’est que presque tous les antivirus étaient vulnérables à ce type de faille : Kaspersky, McAfee, Eset, Bitdefender, Avira, F-Secure, Sophos, Microsoft, WebRoot, Comodo, FireEye, Panda, Norton, Avast, etc. « La plupart des éditeurs d’antivirus ont mis à jour leurs produits, quelques malheureuses exceptions mises à part », soulignent les chercheurs de Rack911 Labs, sans préciser lesquelles.
Ils ne sont toutefois pas les seuls à explorer ce domaine. Les chercheurs en sécurité de la société française Almond ont également trouvé des failles de ce genre, mais en se limitant au système Windows. Parmi les produits épinglés figurent McAfee, Symantec, Pulse et F-Secure. Bref, c’est un vaste sujet qui montre, une fois de plus, qu’il est risqué de donner trop de privilèges à certains logiciels… y compris les antivirus.
source : 01net