Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

DoubleAgent – Une injection de code indétectable et instoppable par les antivirus

Une équipe de chercheurs en sécurité israéliens ont découvert une nouvelle faille dans TOUTES les versions de Windows (de XP à Windows 10) qui permet à un attaquant de prendre le contrôle total d’une machine.

La faute à une fonctionnalité âgée 15 ans, non documentée, baptisée « Application Verifier« . Il s’agit d’un outil Windows qui charge des DLL comme processus pour permettre aux développeurs de rapidement les tester et détecter leurs erreurs de développement.

Mais simplement en créant une clé de registre portant le même nom que l’application à détourner, l’attaquant peut injecter dans n’importe quel processus légitime, sa propre DLL custom et ainsi faire ce qu’il souhaite comme installer une backdoor ou un malware, détourner des permissions, récupérer la main sur des sessions d’autres utilisateurs…etc.

Avec cette faille baptisée DoubleAgent (Agent double), les chercheurs ont réussi à corrompre des antivirus pour que ces derniers se comportent comme des ransomwares et se mettent à chiffrer des données sur le disque dur. Pour cette démonstration, ils se sont attaqués aux antivirus, mais il faut bien comprendre que cette injection peut se faire sur n’importe quel programme, y compris sur Windows lui-même.

Ils auraient pu tout aussi bien se contenter de désactiver ces antivirus, de les rendre « aveugles » aux malwares, de les utiliser comme proxy pour lancer des attaques en local, d’y faire transiter du trafic malicieux incognito, de s’en servir pour exfiltrer des données ou mener des attaques DDoS. Tout est possible, tout est imaginable !

Évidemment, les éditeurs d’antivirus ont été informés de ce problème il y a plus de 90 jours sur un principe de coordinated disclosure, mais seuls Malwarebytes et AVG ont sorti un patch pour le moment. Et ce patch corrige le problème en basculant sur une architecture plus récente qu’ »Application Verifier » baptisée « Protected Processes », mais comme cette dernière a été introduite par Microsoft à partir de Windows 8.1 au niveau de Windows Defender, tous les OS n’en sont pas encore protégés.

Si le sujet vous intéresse, les chercheurs israéliens ont mis en ligne un proof of concept sur Github et publié quelques articles sur leur blog.

Source



Surfshark : dévorez le Black Friday à pleines dents [bon plan]

— Article en partenariat avec Surfshark —

Aujourd’hui je vous partage un très bon plan à l’occasion du Black Friday qui arrive sous peu. En effet le fournisseur de VPN Surfshark s’est fendu d’une offre défiant pas mal de concurrents avec une réduction de 83% + 3 mois offerts. Vous payerez donc moins de 2.3€/mois durant 27 mois, TVA incluse, imbattable (ou pas loin) ! L’offre est temporaire donc pour sécuriser votre surf à moindres frais ne tardez pas !

Faisons un petit tour de l’outil pour les petits nouveaux qui ne connaissent pas encore Surfshark. Il s’agit tout simplement de l’un des VPN les plus solides du marché à l’heure actuelle. Pas forcément celui qui vient à l’esprit tout de suite, mais un outsider aux dents aiguisées qui commence à faire parler de lui en bien, et cela autant pour ses fonctionnalités que sa fiabilité.

Interface Surfshark

Le débit en download comme en upload est dans la moyenne des autres gros VPN du marché, ce qui vous permettra de streamer vos catalogues Netflix sans trop de soucis.

Surfshark possède actuellement autour des 3200 serveurs répartit dans 65 pays, chacun disposant de DNS privé et adapté au P2P. C’est moins que d’autres services établis depuis des années, mais la liste s’allonge plutôt vite (plus de 1000 ajouts rien que sur l’année en cours). À ce rythme il n’y aura plus de différence très bientôt.

Par défaut le protocole utilisé sera IKEv2/IPsec (que vous pouvez le modifier pour OpenVPN ou WireGuard si vous préférez). Niveau petit plus il propose également une fonctionnalité, nommée MultiHop, qui permet de se connecter via plusieurs pays afin d’augmenter la confidentialité et la sécurité. Il s’agit d’une option de double VPN, ce qui se ressentira forcément un peu sur la vitesse de connexion.

Surfshark IKEv2/IPsec

Je pourrai encore citer le bouton Kill Switch, le mode camouflage (qui brouille les pistes même pour votre FAI), le chiffrage des données via l’algorithme AES-256-GCM ou encore un système de liste blanche (split tunneling). Cette dernière est plutôt pratique pour les sites et applications qui ne supportent pas les connexions VPN (les applis bancaires par exemple), vous pourrez malgré tout vous y connecter sans avoir à couper/remettre en marche le VPN.

À ne pas négliger, l’interface assez minimaliste et très simple à prendre en main. Si vous n’êtes pas trop geek et/ou que c’est le premier outil du genre que vous utilisez, foncez ! C’est super simple.

Le MultiHop de Surfshark

Est-ce que je vous ai dit que l’offre vous permet en plus de connecter un nombre illimité d’appareils et sans limites de bandes passantes ? Que toutes les plateformes sont supportées (macOS, Linux, Windows, Android, iOS, FireTV, Apple TV, Chrome, Firefox, PlayStation …) ? Qu’il dispose d’un anti-pub/anti-tracker intégré ?

Niveau des paiements c’est plutôt complet aussi par rapport à certains concurrents. Vous pouvez régler via une CB classique (ou, mieux une carte Curve), PayPal, Amazon Pay, Google Pay ou encore les méthodes de paiements en ligne comme Sofort et Direct Debit. Petite cerise sur le gâteau, Surfshark accepte depuis quelques jours (fin novembre 2020) le paiement en crypto. Bitcoin, Ethereum, Ripple & co vous sont proposés via les services CoinGate et CoinPayments.

Bref pour profiter de l’offre Black Friday de Surfshark c’est par ici.

Encore merci à Surfshark de soutenir korben.info !


Réponses notables

  1. @Korben logiquement, encore une fois cela devrait pouvoir être évité si le compte utilisé n’a pas de droits d’administration ? :smirk:

  2. En effet,après, à voir si il y a moyen de patcher Windows pour éviter ce genre d’utilisation détourné, mais j’en doute.

    Donc la meilleure solution, c’est de ne pas avoir de compte admin, mais même, si cet outil est chargé dans un logiciel tout ce qu’il y a de plus normal (donc qu’on souhaite installer), bah on finira par lui donner un accès admin quoi qu’il arrive…

  3. Capte rien à cette News …

    Une injection de code indétectable et instoppable par les antivirus
    … mais seuls Malwarebytes et AVG ont sorti un patch pour le moment.

    Je rêve ou le POC montre que Norton détecte la menace ? …
    WTF!

  4. Je comprends pas l’article qui dit d’un côté que toutes les versions de windows sont touchées par cette faille et que d’un autre à partir de windows 8.1 avec Defender, La bascule vers l’archi “Protected Processes” permet d’être protégé.

    Peut-on avoir un éclaircissement stp?

    Merci

  5. Cette architecture “Protected Processes” à priori permettrait de faire en sorte que seulement du code signé puisse être injecté. Defender a du implémenter cette architecture ce qui le rend insensible à cette attaque (on ne peut pas lui injecter du code non signé) mais je ne crois pas pour autant qu’il puisse détecter ce genre d’attaque sur d’autres programmes. Et comme la plupart de ceux-ci ne sont pas forcément conforme à cette architecture, toutes les version de Windows sont bien vulnérables.

  6. Je ne suis pas expert, mais ce que je comprends à l’article c’est que tout les OS Windows mettent à disposition l’architecture ’“Application Verifier” et que depuis Windows 8.1 une nouvelle architecture appelée “Protected Processes”, non vulnérable à cette attaque, co-existe avec la première. Par conséquent l’archi “Application Verifier” est une archi “legacy” laissée en place dans le cadre d’une rétro-compatibilité (peut-être pour supporter les modes de lancement introduits sous Windows Vista si je ne me trompe pas). Logiquement, il suffirait d’un patch pour Windows 8.x et supérieur qui désactiverait “Application Verifier” et une campagne de mise à jour vers ces versions de Windows qui n’utiliseraient plus que le “Protected Processes”. Me trompe-je?

  7. J’ai compris comme toi :wink:
    Il suffit donc de désactiver Application Verifier, qui ne sert plus à grand chose après Win 8.1…

    Si tonton pouvait confirmer ?

Continuer la discussion sur Korben Communauté

5 commentaires supplémentaires dans les réponses

Participants