Bulletin d'alerte DOUBLE AGENT : la faille qui se joue (même) des anti-virus

Blog

Une équipe de chercheurs en sécurité israéliens de la société Cybellum, a mis en lumière une nouvelle faille dans TOUTES les versions de Windows (de XP à Windows 10) permettant à un cybercriminel de prendre le contrôle total d'une machine.

Blog

Bulletin d'alerte DOUBLE AGENT : la faille qui se joue (même) des anti-virus

► Comment se présente-t-il ? 

 

 

La faille est logée dans une fonctionnalité âgée 15 ans, nommée "Application Verifier".
Cet outil Windows charge des DLL comme processus pour permettre aux développeurs de les tester rapidement et de détecter d’éventuelles erreurs de développement.

Cependant en créant une clé de registre portant le même nom que l'application à détourner, l'attaquant peut injecter dans n'importe quel processus légitime, sa propre DLL custom et prendre le contrôle total de la machine. Il peut entre-autres, installer une porte dérobée (backdoor) ou un logiciel malveillant (malware), détourner des permissions, prendre la main sur les sessions d'autres utilisateurs...etc.

Pour démontrer la gravité de la faille de sécurité identifiée, les chercheurs ont réussi à injecter du code dans des antivirus et à les corrompre pour que ces derniers se comportent comme des rançongiciels et se mettent également à chiffrer les fichiers présents sur le disque dur des ordinateurs.
Ils auraient tout aussi bien pu se contenter de désactiver ces antivirus, ou de les rendre "aveugles" aux virus, mener des attaques DDoS, les utiliser comme proxy pour lancer des attaques sur le réseau local, y déployer du code malveillant, ou s'en servir pour exfiltrer des données.
Notons que la démonstration aurait pu être faite avec n’importe quel programme, y compris Windows lui-même !

14 éditeurs d’antivirus ont été notifiés il y a plus de 90 jours afin d’apporter les patchs utiles pour colmater la faille :

  • AVG
  • Malwarebytes
  • Avast
  • Avira
  • Bitdefender
  • Trend Micro
  • Comodo
  • ESET
  • F-Secure
  • Kaspersky
  • McAfee
  • Panda
  • Quick Heal
  • Norton

A notre connaissance, seuls AVG, Kaspersky, Trend Micro and Malwarebytes ont apporté les corrections nécessaires à cette date.

 

 

 

> Pourquoi est-ce inquiétant ? 

La faille révélée par la société Cybellum est désormais publique et les codes pour l’exploiter disponibles au sein de la communauté cybercriminelle.
La majorité des éditeurs d’anti-virus tardent à rendre les patchs disponibles.
Si à cette heure, aucune attaque et aucun sinistre exploitant cette faille ne sont encore à déplorer, il y a fort à parier que la situation se dégradera rapidement.
Nous prévoyons une première vague cybercriminelle dans les jours à venir compte tenu de la simplicité de l’ingénierie à mettre en place pour la mener.

► Que faire pour se prémunir ? 

 

 

Si votre anti-virus a été patché, effectuez une mise à jour sans délai !

Si l’éditeur de votre anti-virus n’a pas encore résolu le problème et patché son logiciel, il n’y a rien à faire.

Dans tous les cas, veillez à effectuer régulièrement la sauvegarde de vos serveurs et de vos postes de travail en conservant un minimum de trois versions de fichier.

  • Vous avez été victime d'une attaque cybercriminelle, un doute sur l'efficacité de votre dispositif de sauvegarde ? 

Etre rappelé par un conseiller

► Que faire en cas de survenance d’une telle attaque ?

Si vous pensez que votre poste est infecté (message d'erreur du bloc note ou de word lors de la tentative d'ouverture de la pièce jointe, alerte de l'antivirus, fonctionnement ralenti ou comportement anormal), éteignez immédiatement votre ordinateur et débranchez-le du réseau informatique.

 

  • Procédez à une restauration complète de votre poste, image système et données, à partir d'une sauvegarde saine (version préalable à la date de réception du virus).
  • Changez le mot de passe de votre station de travail et optez pour un mot de passe composé d'un minimum de 8 caractères (lettres, chiffres et signes) 
  • Alertez les autorités compétentes. Ces démarches permettent non seulement de mesurer l'ampleur des dommages causés mais surtout de dégager votre responsabilité en cas de poursuites judiciaires éventuelles de tiers. Déposez également une plainte auprès de la police. Idéalement, cela doit être fait au commissariat de la ville où le crime a été commis. Cette plainte sera produite comme preuve auprès de créanciers éventuels.

Pour signaler une attaque cybercriminelle ou une escroquerie en France : 
L'Office Central de Lutte contre la Cybercriminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC) : http://www.pointdecontact.net/partenaires/oclcticou par courrier ou téléphone : 
SDLC / OCLCTIC
101, rue des 3 Fontanots
92000 NANTERRE
01 47 44 97 55

 

 

 

En Belgique : https://meldpunt.belgie.be