Des failles « symlink race » découverts dans 28 solutions de sécurité antivirus
Les chercheurs spécialisés des laboratoires de sécurité informatique RACK911 Labs, dans un de leur récent rapport ont déclaré avoir découvert dans plus de 28 antivirus les plus très populaires, un bug de type « symlink race ».
Cet article va aussi vous intéresser : Le fournisseur de solution antivirus a-t-il violé les règles de protection des données personnelles
Mais aujourd’hui, il semblerait que la majorité de ces bugs ont été corrigés par les fournisseurs de ces différentes solutions antivirus.
Selon les chercheurs de RACK911, les failles de sécurité pouvaient être utilisées par les cybermalveillants pour effacer certains fichiers utilisés par l’outil de sécurité ou même par le système d’exploitation, rendant sur coup unitilisable le terminal visé. Ces bugs sont appelés par les chercheurs « Symlink race ». En pratique, cette vulnérabilité crée un lien entre le programme malveillant et le programme légitime, de sorte que l’utilisateur exécute les deux et effectue des actions avec le programme malveillant en lieu et place du programme légitime et à l’insu de ce dernier. « Les vulnérabilités de type « Symlink race » sont souvent utilisées pour lier des fichiers malveillants à des éléments de plus haut niveau de privilèges, ce qui entraîne des attaques de type élévation de privilèges. C’est un problème très réel et ancien avec les systèmes d’exploitation qui permettent des processus concurrents », argumente le Dr Bontchev, un membre du Laboratoire national de virologie informatique de l’Académie des sciences bulgare. Il ajoutera : « On a constaté que de nombreux programmes en souffraient dans le passé. ».
L’équipe des laboratoires RACK911 a signifié qu’elle menait des études sur la question depuis 2018. Le rapport qui a été produit la semaine dernière a été donc le fruit de 2 année de recherches. C’est alors qu’ils ont pu découvrir que les 28 outils, fonctionnant sur les systèmes, Windows, Mac et Linux étaient tous vulnérables, à ces failles de sécurité. Ils ont ainsi informé tous les fournisseurs pour leurs permettre de trouver des correctifs à ce problème. Cependant, l’équipe de chercheurs a déclaré que : « La plupart des éditeurs d’antivirus ont réparé leurs produits, à quelques exceptions près ». Certains fournisseurs n’ont pas manqué de soulever de façon officielle leur vulnérabilité à la faille de sécurité à travers des communiqués alors que certains ont simplement colmater leur faille dans le silence tota, évitant d’attirer l’attention. Par ailleurs, les chercheurs n’ont pas voulu mentionner les noms des solutions non encore corrigées.
En outre, ce qui a été retenu dans cette histoire, c’est que les antivirus sont généralement vulnérables à ce genre de failles de sécurité. Et cela à cause de leur mode de fonctionnement. Lorsque l’antivirus analyse en fichier, il y a un temps court entre le moment où le fichier est analyser et jugé malveillant et le moment où il est supprimé. Durant ce laps de temps, les attaques se fondant sur une telle faille de sécurité consisteront à remplacer le fichier malveillant par un lien symbolique qui le fera passer pour un fichier légitime généralement celui auquel il est lié. Pour cela, lorsque l’antivirus essaie de se débarrasser des fichiers malveillants détectés, il supprime ses propres fichiers où certains fichiers importants liés au système d’exploitation. Cela a été démontré par les chercheurs en sécurité qui l’ont présenté à travers des scripts de démonstration. « Lors de nos tests sur Windows, MacOS et Linux, nous avons pu facilement supprimer des fichiers importants liés au logiciel antivirus qui le rendait inefficace et même supprimer des fichiers clés du système d’exploitation qui provoqueraient une corruption importante nécessitant une réinstallation complète du système d’exploitation », ont signifié les experts de RACK911.
Même si la faille a été corrigée sur la majorité des produits concernés, il n’en demeure pas moins que les chercheurs continuent de mettre en garde : « Ne vous y trompez pas, l’exploitation de ces failles était assez triviale et les auteurs de logiciels malveillants chevronnés n’auront aucun problème à armer les tactiques décrites dans ce billet de blog ».
De son côté, le Dr Bontchev, estime que de telles attaques, auraient pu être plus dangereuse « si elles réécrivaient les fichiers, ce qui pourrait être faisable, et conduiraient à une prise de contrôle totale du système attaqué. ». Mais ce cas de figure ne sera pas si simple à réaliser.
Accédez maintenant à un nombre illimité de mot de passe :