De nombreux antivirus Windows présentaient la même vulnérabilité
mar, 15/12/2015 - 11:30
Surprenant... Un billet de blog de la société israélienne éditrice de solutions de sécurité enSilo, repéré par notre confrère NextImpact nous apprend que de nombreux anti-virus majeurs du marché présentaient la même vulnérabilité. Plutôt paradoxal de la part de logiciels de protection :-)
Microsoft a fait et continue de faire d'importants efforts pour renforcer la sécurité de ses systèmes Windows. Parmi ceux-ci viennent ASLR et DEP dans le noyau, depuis Windows Vista.
ASLR pour Address Space Layout Randomization, fait des allocations mémoires à des adresses choisies au hasard, afin que les malwares aient beaucoup plus de mal à trouver des données importantes en mémoire.
DEP, pour Data Execution Prevention, empêche l'exécution d'instructions CPU dans les zones mémoires ne devant contenir que des données.
ASLR et DEP sont donc des éléments de sécurité importants, mais encore faut-il que les logiciels les exploitent correctement, ce que l'on peut se penser en droit s'attendre de la part de logiciels de sécurité.
Pourtant enSilo, à la suite d'une collision d'un de ses produits avec l'antivirus AVG, collision signalée par un client de la société, s'est rendue compte que les antivirus AVG, McAfee et KAspersky allouaient tous une zone mémoire à adresse constante, avec les permissions RWX, lecture, écriture et exécution. Une zone mémoire qui de fait devient potentiellement attaquable.
enSilo ne précise toutefois pas une chose. Si une collision d'un de ses logiciels s'est produite avec l'un des antivirus cités, c'est peut-être parce que le logiciel en question se comporte lui aussi de la même manière ;-) Allez savoir... :-)
Les éditeurs des antivirus concernés ont tous patchés rapidement leurs produits lorsqu'enSilo leur a fait part de la vulnérabilité.
Une vulnérabilité qui n'était pas que théorique, puisqu'en septembre dernier, un chercheur du Project Zero de Google avait publié un exploit sur une vulnérabilité similaire impliquant une page mémoire à emplacement prévisible dans un logiciel Kaspersky.