L'attaque "Doubleagent" (non corrigible) peut détourner tous les systèmes d'exploitation Windows
Une équipe de chercheurs en sécurité de Cybellum, une société israélienne de prévention de vulnérabilité zero-day, a découvert une nouvelle vulnérabilité Windows qui pourrait permettre aux pirates de prendre le contrôle total de votre ordinateur.
La nouvelle technique d'injection de code "DoubleAgent", fonctionne sur toutes les versions des systèmes d'exploitation Microsoft Windows, à partir de Windows XP jusqu'à la dernière version de Windows 10.
Ce qui est pire? DoubleAgent exploite une fonctionnalité légitime non documentée de Windows appelée « Application Verifier » qui ne peut pas être corrigée.
Application Verifier est un outil de vérification d'exécution qui charge les DLL (bibliothèque de liens dynamiques) dans des processus à des fins de tests, cela permet aux développeurs de détecter et de corriger rapidement les erreurs de programmation dans leurs applications.
L'exploit de vérificateur d'application Microsoft non corrigible
La vulnérabilité réside dans la façon dont cet outil Application Verifier gère les DLL. Selon les chercheurs, dans le cadre du processus, les DLL sont liées aux processus cibles dans une entrée de Registre Windows, mais les attaquants peuvent remplacer la vraie DLL par une malveillante.
En créant simplement une clé de Registre Windows avec le même nom que l'application qu'il veut détourner, un attaquant peut fournir sa propre DLL personnalisé qu'il désire injecter dans un processus légitime dans n'importe quelle application.
Une fois la DLL personnalisée injectée, l'attaquant peut prendre le contrôle total du système et effectuer des actions malveillantes, telles que l'installation de backdoors et de logiciels malveillants persistants, le détournement des autorisations de tout processus de confiance existant, voire le détournement des sessions d'autres utilisateurs
Voici comment les chercheurs de Cybellum disent comment fonctionne de cette attaque :
DoubleAgent donne à l'attaquant la possibilité d'injecter n'importe quelle DLL dans n'importe quel processus.L'injection de code se produit très tôt au cours de la procédure, donnant à l'attaquant un contrôle total sur le processus et aucun moyen pour le processus de se protéger.
Utilisation de l'attaque "DoubleAgent" pour prendre le contrôle total de l'antivirus
Afin de montrer l'attaque DoubleAgent, l'équipe a détourné les applications antivirus "qui sont la principale défense sur les systèmes pour empêcher tout malware de s'exécuter" en utilisant leur technique et les transformer en logiciels malveillants.
L'équipe a été en mesure de corrompre l'application antivirus en utilisant l'attaque DoubleAgent et obtenir du logiciel de sécurité d'agir comme un ransomware de chiffrement de disque.
L'attaque fonctionne sur toutes les versions du système d'exploitation Windows de Windows XP à Windows 10 et est difficile à bloquer car le code malveillant peut être réinjecté dans le processus légitime ciblé après le redémarrage du système - Grâce à la clé de registre persistante.
Les chercheurs ont déclaré que la plupart des produits de sécurité d'aujourd'hui sur le marché sont sensibles aux attaques DoubleAgent. Voici la liste des produits de sécurité concernés:
Avast (CVE-2017-5567) AVG (CVE-2017-5566) Avira (CVE-2017-6417) Bitdefender (CVE-2017-6186) Trend Micro (CVE-2017-5565) Comodo ESET F-Secure Kaspersky Malwarebytes McAfee Panda Quick Heal Norton
Après avoir détourné le logiciel anti-virus, les attaquants peuvent également utiliser l'attaque DoubleAgent pour désactiver le produit de sécurité, ce qui le rend aveugle aux cybers attaques et aux logiciels malveillants, en utilisant le produit de sécurité comme proxy pour lancer des attaques sur l'ordinateur local ou sur le réseau, il élève le niveau de privilège de tous les codes malveillants, de la dissimulation de trafic malveillant ou l'exfiltration de données, l'endommagement du système d'exploitation ou l'apparition d'un déni de service.
Remarque: les chercheurs de Cybellum se sont concentrés uniquement sur les programmes antivirus, bien que l'attaque DoubleAgent puisse fonctionner avec n'importe quelle application, même avec le système d'exploitation Windows lui-même.
De nombreux antivirus sont toujours non protégés même après 90 jours de divulgation
Cybellum a indiqué que la compagnie avait rapporté l'attaque de DoubleAgent à tous les fournisseurs anti-virus affectés il y a plus de 90 jours .
Les chercheurs de Cybellum ont travaillé avec certaines entreprises anti-virus pour remédier au problème, mais jusqu'à présent, seuls Malwarebytes et AVG ont publié un patch, tandis que Trend-Micro a prévu de le lancer prochainement.
Donc, si vous utilisez l'une des trois applications mentionnées ci-dessus, vous êtes fortement conseillé de faire la mise à jour dès que possible.
Comme solution, les chercheurs notent que la plus simple pour les fournisseurs d'antivirus est de passer de l'application Verifier à une nouvelle architecture appelée Protected Processes.
Le mécanisme de protection des processus, protège les services anti-malware contre de telles attaques en ne permettant pas à d'autres applications d'injecter du code non signé, mais ce mécanisme n'a été implémenté que dans Windows Defender, introduit par Microsoft dans Windows 8.1*.
Cybellum a également fourni une démonstration vidéo de l'attaque DoubleAgent, montrant comment ils ont transformé une application antivirus en un ransomware qui crypte les fichiers jusqu'à ce que vous payez.
La société a également publié un code de preuve de concept (PoC) sur GitHub , et deux billets de blog (1 et 2) détaillant l'attaque DoubleAgent.
Source: TheHackerNews
* Pour en savoir plus sur le mécanisme de protection Protected Processes dans Windows 8.1 voir : msdn.microsoft.com/fr-fr/library/windows/desktop/dn313124(v=vs.85)