Un chercheur de la société spécialisée en cybersécurité Safebreach a trouvé un moyen d’exploiter les processus de fonctionnement des logiciels antivirus de Microsoft, SentinelOne, Avast, AVG et TrendMicro pour les transformer en effaceurs de données.
Les « Wipers » sont des malwares qui corrompent ou effacent délibérément les données sur les systèmes qu’ils ont réussi à compromettre. L’objectif est que les victimes de ces logiciels malveillants ne puissent pas récupérer leurs données une fois effacées. Le chercheur dont nous parlons aujourd’hui, Or Yair, a eu l’idée d’utiliser les systèmes de sécurité présents sur nos machines pour contourner leur surveillance et les utiliser comme « effaceurs », grâce aux accès privilégiés dont profitent ces antivirus. Cette utilisation détournée est d’autant plus efficace que l’effacement de fichiers est un comportement attendu de ce type de logiciels. En effet, lorsqu’ils détectent une menace, les antivirus la placent en quarantaine ou la suppriment. Cette preuve de concept a été baptisée « Aïkido », s’inspirant de l’art martial japonais qui est utilisé pour retourner les mouvements des adversaires contre eux-mêmes. Le chercheur en sécurité explique que cette méthode est basée sur la vulnérabilité du temps de vérification au temps d’utilisation. Concrètement, une solution antivirus va d’abord déterminer qu’un fichier est malveillant, pour ensuite le supprimer. La faille ici exploitée consiste à insérer un chemin alternatif après la détection du malware pour ensuite conduire à la suppression d’un fichier légitime à la place du fichier malveillant. Les fichiers système peuvent ainsi être visés.
Pour tester la vulnérabilité des logiciels de protection, Or Yair a testé l’exploit contre 11 outils antivirus sous Windows : Microsoft Defender, Microsoft Defender for Endpoint, SnetinelOne EDR, TrendMicro Apex One, Avast Antivirus, AVG Antivirus, Palo Alto XDR, Cylance, CrowdStrike, MacAfee et BitDefender. Comme vous pouvez le voir sur l’image ci-dessous, les six premiers antivirus sont « tombés dans le piège » tendu par SafeBreach. Une faille jusqu’alors inexploitée (zero-Day) qui entrainait une vulnérabilité du système entre juillet et août 2022. Tous les antivirus ont depuis publié des correctifs de sécurité. Nous vous encourageons donc tous les utilisateurs des logiciels antivirus cités à vérifier qu’ils profitent bien des dernières mises à jour en date.
Les « Wipers » ne sont pas nouveaux et sont régulièrement utilisés dans les cyberguerres par les États. La démarche de SafeBreach était ici de concevoir un malware de nouvelle génération capable de supprimer n’importe quel fichier système sans avoir à implémenter de code, le rendant indétectable. Une réussite dans la mesure où les chercheurs ont trouvé une faille 0-day que les hackers ne pourront plus exploiter.
Une vulnérabilité qui touchait plus de 50 % des antivirus testés, exposant ainsi des centaines de millions d’appareils dans le monde entier. SafeBreach rappelle que toutes les solutions antivirus n’ont pas pu être testées et que leurs découvertes doivent servir d’alerte pour les entreprises qui développent ces solutions de protection. Une démarche proactive qui s’inscrit dans le cadre d’une course sans fin contre des hackers toujours plus créatifs.
Source : SafeBreach