• Votre panier est vide.

  • LOGIN

Des chercheurs démontrent comment l’EDR et l’antivirus peuvent être utilisés contre les utilisateurs


Certains articles de veille peuvent faire l'objet de traduction automatique.


12 décembre 2022Ravie LakshmananDétection des terminaux / Sécurité des données

Des vulnérabilités de sécurité très graves ont été révélées dans différents produits de détection et de réponse aux terminaux (EDR) et antivirus (AV) qui pourraient être exploitées pour les transformer en effaceurs de données.

« Cet essuie-glace fonctionne avec les autorisations d’un utilisateur non privilégié, mais a la capacité d’effacer presque tous les fichiers d’un système, y compris les fichiers système, et de rendre un ordinateur complètement impossible à démarrer », a déclaré Or Yair, chercheur chez SafeBreach Labs. a dit. « Il fait tout cela sans implémenter de code qui touche les fichiers cibles, ce qui le rend totalement indétectable. »

Les logiciels EDR, de par leur conception, sont capables d’analyser en permanence une machine à la recherche de fichiers potentiellement suspects et malveillants, et de prendre les mesures appropriées, telles que les supprimer ou les mettre en quarantaine.

L’idée, en un mot, est de tromper les produits de sécurité vulnérables en supprimant les fichiers et répertoires légitimes du système et de rendre la machine inutilisable en utilisant des chemins spécialement conçus.

La cyber-sécurité

Ceci est réalisé en profitant de ce qu’on appelle un point de jonction (aka soft link), où un répertoire sert d’alias à un autre répertoire sur l’ordinateur.

Autrement dit, entre la fenêtre dans laquelle le logiciel EDR identifie un fichier comme malveillant et tente de supprimer le fichier du système, l’attaquant utilise une jonction pour pointer le logiciel vers un chemin différent, comme le lecteur C:.

L’approche, cependant, n’a pas entraîné d’effacement, car les EDR ont empêché tout accès ultérieur à un fichier après qu’il a été signalé comme malveillant. De plus, si le fichier malveillant était supprimé par l’utilisateur, le logiciel était assez intelligent pour détecter la suppression et s’empêcher d’agir dessus.

La solution ultime est arrivée sous la forme d’un outil d’essuyage, surnommé Aïkidoqui déclenche la suppression privilégiée en créant un fichier malveillant dans un répertoire leurre et en ne lui accordant aucune autorisation, obligeant les EDR à reporter la suppression jusqu’au prochain redémarrage.

Compte tenu de ce nouvel intervalle d’attaque, tout ce qu’un adversaire a à faire est de supprimer le répertoire contenant le fichier malveillant, de créer une jonction pour pointer vers le répertoire cible à supprimer et de redémarrer le système.

Une militarisation réussie de la technique pourrait entraîner la suppression de fichiers système tels que des pilotes, empêchant le démarrage du système d’exploitation. Il peut également être abusé pour supprimer tous les fichiers des répertoires des utilisateurs administrateurs.

Sur 11 produits de sécurité testés, six se sont révélés vulnérables à l’exploit d’effacement du jour zéro, incitant les fournisseurs à publier des mises à jour pour remédier à la lacune –

« L’essuie-glace exécute ses actions malveillantes en utilisant l’entité la plus fiable du système – l’EDR ou l’AV », a déclaré Yair. « Les EDR et les AV ne s’empêchent pas de supprimer des fichiers. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

Voir aussi :

décembre 12, 2022

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)