Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

DoubleAgent – Une injection de code indétectable et instoppable par les antivirus

Une équipe de chercheurs en sécurité israéliens ont découvert une nouvelle faille dans TOUTES les versions de Windows (de XP à Windows 10) qui permet à un attaquant de prendre le contrôle total d’une machine.

La faute à une fonctionnalité âgée 15 ans, non documentée, baptisée « Application Verifier« . Il s’agit d’un outil Windows qui charge des DLL comme processus pour permettre aux développeurs de rapidement les tester et détecter leurs erreurs de développement.

Mais simplement en créant une clé de registre portant le même nom que l’application à détourner, l’attaquant peut injecter dans n’importe quel processus légitime, sa propre DLL custom et ainsi faire ce qu’il souhaite comme installer une backdoor ou un malware, détourner des permissions, récupérer la main sur des sessions d’autres utilisateurs…etc.

Avec cette faille baptisée DoubleAgent (Agent double), les chercheurs ont réussi à corrompre des antivirus pour que ces derniers se comportent comme des ransomwares et se mettent à chiffrer des données sur le disque dur. Pour cette démonstration, ils se sont attaqués aux antivirus, mais il faut bien comprendre que cette injection peut se faire sur n’importe quel programme, y compris sur Windows lui-même.

Ils auraient pu tout aussi bien se contenter de désactiver ces antivirus, de les rendre « aveugles » aux malwares, de les utiliser comme proxy pour lancer des attaques en local, d’y faire transiter du trafic malicieux incognito, de s’en servir pour exfiltrer des données ou mener des attaques DDoS. Tout est possible, tout est imaginable !

Évidemment, les éditeurs d’antivirus ont été informés de ce problème il y a plus de 90 jours sur un principe de coordinated disclosure, mais seuls Malwarebytes et AVG ont sorti un patch pour le moment. Et ce patch corrige le problème en basculant sur une architecture plus récente qu’ »Application Verifier » baptisée « Protected Processes », mais comme cette dernière a été introduite par Microsoft à partir de Windows 8.1 au niveau de Windows Defender, tous les OS n’en sont pas encore protégés.

Si le sujet vous intéresse, les chercheurs israéliens ont mis en ligne un proof of concept sur Github et publié quelques articles sur leur blog.

Source


Imprimante 3D XYZ de noyau industriel de X5SA d’utilisation de maison de prix de bureau de prix usine de Tronxy | Gearbest France

32 % de réduction Imprimante 3D XYZ de noyau industriel de X5SA d’utilisation de maison de prix de bureau de prix usine de Tronxy, la vente se termine bientôt. Découvrez des boutiques de qualité à prix abordable chez Gearbest!


Réponses notables

  1. @Korben logiquement, encore une fois cela devrait pouvoir être évité si le compte utilisé n’a pas de droits d’administration ? :smirk:

  2. En effet,après, à voir si il y a moyen de patcher Windows pour éviter ce genre d’utilisation détourné, mais j’en doute.

    Donc la meilleure solution, c’est de ne pas avoir de compte admin, mais même, si cet outil est chargé dans un logiciel tout ce qu’il y a de plus normal (donc qu’on souhaite installer), bah on finira par lui donner un accès admin quoi qu’il arrive…

  3. Capte rien à cette News …

    Une injection de code indétectable et instoppable par les antivirus
    … mais seuls Malwarebytes et AVG ont sorti un patch pour le moment.

    Je rêve ou le POC montre que Norton détecte la menace ? …
    WTF!

  4. Je comprends pas l’article qui dit d’un côté que toutes les versions de windows sont touchées par cette faille et que d’un autre à partir de windows 8.1 avec Defender, La bascule vers l’archi “Protected Processes” permet d’être protégé.

    Peut-on avoir un éclaircissement stp?

    Merci

  5. Cette architecture “Protected Processes” à priori permettrait de faire en sorte que seulement du code signé puisse être injecté. Defender a du implémenter cette architecture ce qui le rend insensible à cette attaque (on ne peut pas lui injecter du code non signé) mais je ne crois pas pour autant qu’il puisse détecter ce genre d’attaque sur d’autres programmes. Et comme la plupart de ceux-ci ne sont pas forcément conforme à cette architecture, toutes les version de Windows sont bien vulnérables.

  6. Je ne suis pas expert, mais ce que je comprends à l’article c’est que tout les OS Windows mettent à disposition l’architecture ’“Application Verifier” et que depuis Windows 8.1 une nouvelle architecture appelée “Protected Processes”, non vulnérable à cette attaque, co-existe avec la première. Par conséquent l’archi “Application Verifier” est une archi “legacy” laissée en place dans le cadre d’une rétro-compatibilité (peut-être pour supporter les modes de lancement introduits sous Windows Vista si je ne me trompe pas). Logiquement, il suffirait d’un patch pour Windows 8.x et supérieur qui désactiverait “Application Verifier” et une campagne de mise à jour vers ces versions de Windows qui n’utiliseraient plus que le “Protected Processes”. Me trompe-je?

  7. J’ai compris comme toi :wink:
    Il suffit donc de désactiver Application Verifier, qui ne sert plus à grand chose après Win 8.1…

    Si tonton pouvait confirmer ?

Continuer la discussion sur Korben Communauté

5 commentaires supplémentaires dans les réponses

Participants