AVGater : faille de conception dans les solutions antivirus


Avec AVGater, on aura vraiment tout vu ! Voyez que maintenant même un virus mis en quarantaine par votre solution antivirus peut être déplacé et infecté le système et ce par des moyens qui sont en plus relativement simples.

Nous allons donc voir ici comment AVGater arrive à s’échapper de la mise en quarantaine afin de rejoindre le système et comment tenter d’éviter l’infection, c’est parti ! Les pirates ne cesseront jamais de nous surprendre, preuve en est aujourd’hui avec AVGater qui se fout bien du comment du pourquoi car quoi qu’il arrive, il infectera votre système. Mais comment cela est-il possible et pourquoi sommes-nous toujours impuissants face à cette attaque ? Tout d’abord, il faut savoir que chaque antivirus possède des caractéristiques de fonctionnement qui leur sont communes comme la fonctionnalité de mise en quarantaine. Voyons ensemble pour les plus novices d’entre nous de quoi il retourne.

À la base, cette fonctionnalité est tout à fait intéressante et très utile car elle met de côté tous les fichiers susceptibles d’être infecté en attendant une action humaine. On appelle cela la mise en quarantaine, ainsi les fichiers douteux envoyés en quarantaine ne sont pas actifs et ne risquent en général pas d’infecter votre ordinateur car ils sont dans une sorte de prison d’où ils ne peuvent s’échapper. Dans certains cas, un fichier peut être « relâché » de cette prison, on parle alors de la fonctionnalité de « restauration de la quarantaine.

Mais on le sait désormais plusieurs solutions antivirus sont affectées par une faille de conception qui permet à un attaquant d’abuser de la fonctionnalité de restauration de la quarantaine. Le hacker peut de façon brossé, provoquer l’envoi d’un fichier préalablement marqué comme dangereux vers des zones sensibles du système d’exploitation. À l’heure où nous communiquons, plusieurs fournisseurs de logiciels antivirus ont déjà effectuait des correctifs par le moyen de mises à jour et bientôt ce sera toutes les solutions antivirus. En attendant soyez sur vos gardes et ne restaurez aucun fichier de la quarantaine sans être sûrs, un conseil supprimez-les immédiatement.

Pour plus de précisions, nous allons voir comment le pirate procède pour implanter AVGater dans votre système et vous allez voir que le système est bien huilé. Première étape, l’utilisateur est infecte par un logiciel malveillant et ce par n’importe quel moyen. Ensuite, l’antivirus va faire son travail et jouer son rôle de protecteur en détectant et en mettant de côté dans la prison de l’antivirus, le dossier de mise en quarantaine.

L’attaquant procède ensuite à une modification de la structure d’alias des répertoires NTFS. À noter que cette opération ne nécessite pas qu’il dispose de droits d’administrateur. La seule commande mklink est disponible pour l’atteinte de cet objectif, c’est cela qui rend AVGater très dangereux. L’attaquant initie alors une opération de restauration depuis la quarantaine, le fichier infecté est ainsi renvoyé à un emplacement qui dépend de celui définit par l’attaquant dans la nouvelle structure d’alias de répertoires. Pour cela, l’attaquant choisit un répertoire système, à noter que l’opération de restauration se fait sans encombre parce que les permissions requises du système sont obtenues par la solution antivirus elle-même. Enfin, un redémarrage suffit pour que les fichiers restaurés dans le répertoire système intègrent un processus système et c’est le début des soucis.

Mais on voit que l’on peut être sauvé car cette attaque nécessite tout de même le fait d’être physiquement présent au poste cible, qui reste une condition difficile à remplir dans de nombreux cas. Toutefois, gare aux environnements où les ressources sont partagées car dans ces cas le stratagème prend toute son importance. Un dernier conseil, maintenez bien à jour vos solutions antivirus et configurez vos solutions antivirus afin d’empêcher une restauration de la quarantaine.

 

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Propulsé par WordPress.com.

Retour en haut ↑

%d blogueurs aiment cette page :