DoubleAgent "“ Une injection de code indétectable et instoppable par les antivirus

Une équipe de chercheurs en sécurité israéliens ont découvert une nouvelle faille dans TOUTES les versions de Windows (de XP à Windows 10) qui permet à un attaquant de prendre le contrôle total d'une machine.

La faute à une fonctionnalité âgée 15 ans, non documentée, baptisée "Application Verifier". Il s'agit d'un outil Windows qui charge des DLL comme processus pour permettre aux développeurs de rapidement les tester et détecter leurs erreurs de développement.

Mais simplement en créant une clé de registre portant le même nom que l'application à détourner, l'attaquant peut injecter dans n'importe quel processus légitime, sa propre DLL custom et ainsi faire ce qu'il souhaite comme installer une backdoor ou un malware, détourner des permissions, récupérer la main sur des sessions d'autres utilisateurs...etc.

Avec cette faille baptisée DoubleAgent (Agent double), les chercheurs ont réussi à corrompre des antivirus pour que ces derniers se comportent comme des ransomwares et se mettent à chiffrer des données sur le disque dur. Pour cette démonstration, ils se sont attaqués aux antivirus, mais il faut bien comprendre que cette injection peut se faire sur n'importe quel programme, y compris sur Windows lui-même.

Ils auraient pu tout aussi bien se contenter de désactiver ces antivirus, de les rendre "aveugles" aux malwares, de les utiliser comme proxy pour lancer des attaques en local, d'y faire transiter du trafic malicieux incognito, de s'en servir pour exfiltrer des données ou mener des attaques DDoS. Tout est possible, tout est imaginable !

http://korben.info/wp-content/uploads/2017/03/capture-decran-2017-03-22-11-19-02-650x427.jpg

Évidemment, les éditeurs d'antivirus ont été informés de ce problème il y a plus de 90 jours sur un principe de coordinated disclosure, mais seuls Malwarebytes et AVG ont sorti un patch pour le moment. Et ce patch corrige le problème en basculant sur une architecture plus récente qu'"Application Verifier" baptisée "Protected Processes", mais comme cette dernière a été introduite par Microsoft à partir de Windows 8.1 au niveau de Windows Defender, tous les OS n'en sont pas encore protégés.

Si le sujet vous intéresse, les chercheurs israéliens ont mis en ligne un proof of concept sur Github et publié quelques articles sur leur blog.

Source

Promo: Apprenez toutes les bases du Développement Web en langue Française pour 15 €

Le Développement Web de A à Z: HTML, CSS, Javascript, jQuery, Bootstrap, PHP, MySQL, WordPress

Cette formation de près de 40h est LA formation la plus complète que vous pouvez trouver en ligne.
Tout ce que vous devez connaître pour débuter ou booster votre carrière de développeur Web se trouve ici : HTML, CSS, JavaScript, jQuery, Bootstrap, PHP, MySQL, WordPress"¦

Vous apprendrez en réalisant des projets concrets de A à Z avec le formateur.

Rejoignez près de 3,000 participants qui ont déjà suivi cette formation, l'une des mieux notée sur Udemy (4.6/5) !

L'achat vous donne un accès à vie à tout le contenu et il dispose d'une garantie de 30 jours.

Profitez de l'offre à 15€

Cet article merveilleux et sans aucun égal intitulé : DoubleAgent – Une injection de code indétectable et instoppable par les antivirus ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Voir l'article complet