Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

DoubleAgent – Une injection de code indétectable et instoppable par les antivirus

Une équipe de chercheurs en sécurité israéliens ont découvert une nouvelle faille dans TOUTES les versions de Windows (de XP à Windows 10) qui permet à un attaquant de prendre le contrôle total d’une machine.

La faute à une fonctionnalité âgée 15 ans, non documentée, baptisée « Application Verifier« . Il s’agit d’un outil Windows qui charge des DLL comme processus pour permettre aux développeurs de rapidement les tester et détecter leurs erreurs de développement.

Mais simplement en créant une clé de registre portant le même nom que l’application à détourner, l’attaquant peut injecter dans n’importe quel processus légitime, sa propre DLL custom et ainsi faire ce qu’il souhaite comme installer une backdoor ou un malware, détourner des permissions, récupérer la main sur des sessions d’autres utilisateurs…etc.

Avec cette faille baptisée DoubleAgent (Agent double), les chercheurs ont réussi à corrompre des antivirus pour que ces derniers se comportent comme des ransomwares et se mettent à chiffrer des données sur le disque dur. Pour cette démonstration, ils se sont attaqués aux antivirus, mais il faut bien comprendre que cette injection peut se faire sur n’importe quel programme, y compris sur Windows lui-même.

Ils auraient pu tout aussi bien se contenter de désactiver ces antivirus, de les rendre « aveugles » aux malwares, de les utiliser comme proxy pour lancer des attaques en local, d’y faire transiter du trafic malicieux incognito, de s’en servir pour exfiltrer des données ou mener des attaques DDoS. Tout est possible, tout est imaginable !

Évidemment, les éditeurs d’antivirus ont été informés de ce problème il y a plus de 90 jours sur un principe de coordinated disclosure, mais seuls Malwarebytes et AVG ont sorti un patch pour le moment. Et ce patch corrige le problème en basculant sur une architecture plus récente qu’ »Application Verifier » baptisée « Protected Processes », mais comme cette dernière a été introduite par Microsoft à partir de Windows 8.1 au niveau de Windows Defender, tous les OS n’en sont pas encore protégés.

Si le sujet vous intéresse, les chercheurs israéliens ont mis en ligne un proof of concept sur Github et publié quelques articles sur leur blog.

Source


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +



Un korbenaute trouve son nouveau job via Laou et ça c’est cool

— Article sponsorisé par Laou (mais basé sur des faits réels) —

Salut les amis, vous vous souvenez de mes articles concernant le service Laou ? Et bien j’ai appris récemment qu’au moins un de mes lecteurs (les meilleurs lecteurs du monde à la base donc ils ont un bonus en charisme) a trouvé un nouveau travail grâce à ça. Et ça fait vraiment, mais alors vraiment, plaisir.

Lorsqu’un de mes tutos permet de débloquer une situation ou que je fais découvrir un nouveau site, ça fait zizir et j’ai l’impression d’avoir été utile de manière concrète. Mais si quelqu’un trouve un travail grâce à une de mes infos c’est forcément encore mieux. Parce que l’impact sur la vie de la personne en question est beaucoup plus grand. D’ailleurs, aider les gens à trouver un emploi a toujours été une de mes envies, raison pour laquelle j’ai lancé RemixJobs dès 2010 (longtemps site de référence pour le recrutement web et informatique). Et si ce dernier vient de mourir de sa belle mort, il est possible que je vous réserve l’une ou l’autre surprise sur le sujet bientôt.

Laou recherche d'emploi dans le numérique

Tout ça pour en revenir à Laou. Pour les nouveaux venus je rappelle qu’il s’agit d’une plateforme de recrutement spécialisée dans l’IT en région. Si vous voulez découvrir le travail en province et/ou quitter le stress de la capitale, Laou vous aidera non seulement à trouver un nouvel emploi sur mesure, mais prendra aussi un tas de « soucis » à sa charge : vous trouver un logement, trouver un boulot à votre conjoint, gérer le déménagement, vous faire découvrir votre ville d’adoption … Et cerise sur le gâteau tous les frais sont à la charge de votre futur employeur.

Maintenant la partie la plus cool de l’histoire. Elle concerne Steven, développeur fullstack de 25 ans.

Sans trop entrer dans des détails perso, Steven est originaire du sud de la France et était monté à Paris pour se faire une expérience pro. Il n’y arrive pas vraiment et a un peu de mal à s’y faire un cercle d’amis. Du coup il se dit que Laou pourrait être une option et qu’il va essayer de trouver son boulot rêvé : gameplay developper dans le secteur du jeu vidéo. Sans succès dans un premier temps, car sans expérience c’est tout de suite plus compliqué.

Quitter Paris en 2020 avec Laou

En discutant un peu avec Charlotte, la personne en charge de son dossier, il se rend compte qu’il est plus important pour lui de quitter Paris et d’avoir un cadre de vie adapté que de trouver l’intitulé de boulot exact qu’il recherche. Il est prêt à faire ses classes avant. Et là BAM tout décolle, il reçoit plusieurs propositions dans diverses régions de l’hexagone.

Après plusieurs échanges et un suivi, régulier Laou lui paie une nuit d’hôtel pour lui permettre de rencontrer ce qui sera son futur employeur, be-ys. En plus c’est situé à Clermont-Ferrand #AuvergneRepresent. Juste pour vous situer un peu le dévouement de Laou, le train de Steven est arrivé avec 3 heures de retard à Clermont, et pour s’assurer que tout se passerait bien pour lui, Charlotte était à la gare, de nuit, juste pour l’accueillir. C’est ça le service Laou, du sur mesure et de la flexibilité.

Service Settlesweet

Une fois le contrat signé c’est au tour de Settlesweet de prendre le relais. Settlesweet est le partenaire de Laou pour tout ce qui se touche à la recherche de logement, ce sont eux qui prennent en charge cet aspect de A à Z. Le principe est simple : leur algorithme va analyser une quinzaine de sites d’annonces selon vos critères personnalisés afin de vous trouver le logement le plus adapté à vos envies.

Ensuite, un Home Matcher dédié à votre recherche se chargera de prendre rendez-vous pour les visites et de déposer vos candidatures, le tout en vous tournant les pouces. Settlesweet est entièrement gratuit pour les déménagements dans le cadre d’un nouvel emploi ou d’une mutation. 

Au final il se sera passé quelques mois entre la lecture de mon article et son premier jour de travail. Ce qui est plutôt pas mal, surtout en considérant la pandémie qui a retardé beaucoup de choses. J’espère que Steven lira cet article et qu’il n’hésitera pas à nous partager avec ses mots la manière dont il a vécu tout le processus, ça ferait plaisir !


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +


Réponses notables

  1. @Korben logiquement, encore une fois cela devrait pouvoir être évité si le compte utilisé n’a pas de droits d’administration ? :smirk:

  2. En effet,après, à voir si il y a moyen de patcher Windows pour éviter ce genre d’utilisation détourné, mais j’en doute.

    Donc la meilleure solution, c’est de ne pas avoir de compte admin, mais même, si cet outil est chargé dans un logiciel tout ce qu’il y a de plus normal (donc qu’on souhaite installer), bah on finira par lui donner un accès admin quoi qu’il arrive…

  3. Capte rien à cette News …

    Une injection de code indétectable et instoppable par les antivirus
    … mais seuls Malwarebytes et AVG ont sorti un patch pour le moment.

    Je rêve ou le POC montre que Norton détecte la menace ? …
    WTF!

  4. Je comprends pas l’article qui dit d’un côté que toutes les versions de windows sont touchées par cette faille et que d’un autre à partir de windows 8.1 avec Defender, La bascule vers l’archi “Protected Processes” permet d’être protégé.

    Peut-on avoir un éclaircissement stp?

    Merci

  5. Cette architecture “Protected Processes” à priori permettrait de faire en sorte que seulement du code signé puisse être injecté. Defender a du implémenter cette architecture ce qui le rend insensible à cette attaque (on ne peut pas lui injecter du code non signé) mais je ne crois pas pour autant qu’il puisse détecter ce genre d’attaque sur d’autres programmes. Et comme la plupart de ceux-ci ne sont pas forcément conforme à cette architecture, toutes les version de Windows sont bien vulnérables.

  6. Je ne suis pas expert, mais ce que je comprends à l’article c’est que tout les OS Windows mettent à disposition l’architecture ’“Application Verifier” et que depuis Windows 8.1 une nouvelle architecture appelée “Protected Processes”, non vulnérable à cette attaque, co-existe avec la première. Par conséquent l’archi “Application Verifier” est une archi “legacy” laissée en place dans le cadre d’une rétro-compatibilité (peut-être pour supporter les modes de lancement introduits sous Windows Vista si je ne me trompe pas). Logiquement, il suffirait d’un patch pour Windows 8.x et supérieur qui désactiverait “Application Verifier” et une campagne de mise à jour vers ces versions de Windows qui n’utiliseraient plus que le “Protected Processes”. Me trompe-je?

  7. J’ai compris comme toi :wink:
    Il suffit donc de désactiver Application Verifier, qui ne sert plus à grand chose après Win 8.1…

    Si tonton pouvait confirmer ?

Continuer la discussion sur Korben Communauté

5 commentaires supplémentaires dans les réponses

Participants