02-03-2016, 07:21
<r><SIZE size="150"><s></s>Pour pouvoir faire leur travail de protection et de détection de malware, les logiciels de sécurité disposent tous d’un certain nombre de techniques plus ou moins intrusives. Parmi elles figurent le « hooking », un ensemble de techniques informatiques permettant d’injecter du code dans un processus.<br/>
<br/>
Cela n’a rien d’extraordinaire à priori et ce n’est pas forcément malveillant. C’est une technique même couramment utilisée avec des fichiers DLL pour ajouter des fonctionnalités ou des comportements qui n’étaient pas prévus dans le code d’origine. « Les éditeurs de solutions de sécurité ont besoin de ces techniques, notamment pour inspecter les appels de fonctions. Mais le problème, c’est qu’elles sont souvent mal implémentées », nous explique Tomer Bitton, vice-président recherche chez EnSilo, une société spécialisée en sécurité.<br/>
<br/>
Avec son collègue Udi Yavo, il a décortiqué une douzaine de solutions de sécurité: antivirus, pare-feu réseaux, pare-feu personnels… Résultat: tous étaient vulnérables à l’exploitation potentielle par un pirate, sur tous les systèmes Windows et sans grande difficulté. « Au total, nous avons découvert six failles différentes, dont quatre très critiques, permettant d’exécuter du code arbitraire. De plus, le pirate n’a même pas besoin d’un accès administrateur, <B><s></s>les privilèges de l’utilisateur sont suffisants<e></e></B> », poursuit Tomer Bitton, qui en a profité pour faire la démonstration à l’aide d’un fichier PDF piégé.<br/>
<br/>
La plupart d’entre eux ont depuis apporté des correctifs. Mais pas tous, c’est pourquoi ils n’ont pas cité les noms des logiciels analysés. On en connait au moins trois: AVG Internet Security 2015, Kaspersky Total Security 2015 et McAfee Virus Scan Enterprise.<br/>
<br/>
Au travers des contacts qu’ils ont eu avec les éditeurs, les deux chercheurs ont été surpris de constater que les développeurs des logiciels ne travaillent pas forcément en liens étroits avec les analystes de malware. C’est dommage, car ces derniers connaissent pourtant bien les problèmes liés au « hooking ». Le processus de développement de ces éditeurs est donc clairement perfectible.<br/>
<br/>
Ce n’est pas la première fois que les éditeurs de solutions de sécurité soient épinglés de cette sorte. Durant les derniers mois, ils ont été nombreux a être exposés par le chercheur Tavis Ormandy de Google, qui a trouvé des failles chez Avast, Comodo, AVG, Kaspersky, Malwarebytes, Trend Micro et FireEye. <br/>
<br/>
<U><s></s><B><s></s>Sources :<e></e></B><e></e></U> 01.net<e></e></SIZE></r>
<br/>
Cela n’a rien d’extraordinaire à priori et ce n’est pas forcément malveillant. C’est une technique même couramment utilisée avec des fichiers DLL pour ajouter des fonctionnalités ou des comportements qui n’étaient pas prévus dans le code d’origine. « Les éditeurs de solutions de sécurité ont besoin de ces techniques, notamment pour inspecter les appels de fonctions. Mais le problème, c’est qu’elles sont souvent mal implémentées », nous explique Tomer Bitton, vice-président recherche chez EnSilo, une société spécialisée en sécurité.<br/>
<br/>
Avec son collègue Udi Yavo, il a décortiqué une douzaine de solutions de sécurité: antivirus, pare-feu réseaux, pare-feu personnels… Résultat: tous étaient vulnérables à l’exploitation potentielle par un pirate, sur tous les systèmes Windows et sans grande difficulté. « Au total, nous avons découvert six failles différentes, dont quatre très critiques, permettant d’exécuter du code arbitraire. De plus, le pirate n’a même pas besoin d’un accès administrateur, <B><s></s>les privilèges de l’utilisateur sont suffisants<e></e></B> », poursuit Tomer Bitton, qui en a profité pour faire la démonstration à l’aide d’un fichier PDF piégé.<br/>
<br/>
La plupart d’entre eux ont depuis apporté des correctifs. Mais pas tous, c’est pourquoi ils n’ont pas cité les noms des logiciels analysés. On en connait au moins trois: AVG Internet Security 2015, Kaspersky Total Security 2015 et McAfee Virus Scan Enterprise.<br/>
<br/>
Au travers des contacts qu’ils ont eu avec les éditeurs, les deux chercheurs ont été surpris de constater que les développeurs des logiciels ne travaillent pas forcément en liens étroits avec les analystes de malware. C’est dommage, car ces derniers connaissent pourtant bien les problèmes liés au « hooking ». Le processus de développement de ces éditeurs est donc clairement perfectible.<br/>
<br/>
Ce n’est pas la première fois que les éditeurs de solutions de sécurité soient épinglés de cette sorte. Durant les derniers mois, ils ont été nombreux a être exposés par le chercheur Tavis Ormandy de Google, qui a trouvé des failles chez Avast, Comodo, AVG, Kaspersky, Malwarebytes, Trend Micro et FireEye. <br/>
<br/>
<U><s></s><B><s></s>Sources :<e></e></B><e></e></U> 01.net<e></e></SIZE></r>
<t></t>
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
