Lors du Black Hat Europe 2022, un chercheur en sécurité informatique a prouvé qu'il était possible de détourner les principaux antivirus du marché pour les transformer en wiper, des malwares capables d'effacer des fichiers légitimes sur les PC ciblés.

Chaque année se tiennent les conférences Black Hat, qui réunissent de nombreux experts en sécurité informatique, issus d'agences gouvernementales, d'entreprises spécialisées sans oublier les hackers les plus respectés du milieu.

L'édition européenne de 2022, qui s'est tenue à Londres du 5 au 8 décembre, a été l'occasion de mettre en évidence une preuve de concept (proof of concept ou POC) assez étonnante. En effet, Or Yair, un chercheur en sécurité informatique de SafeBreach, a démontré comment il était possible de détourner des solutions antivirus pour effacer ou supprimer définitivement des fichiers légitimes sur votre PC. 

Comme vous le savez peut-être, Avast, Microsot Defender ou encore AVG ont en commun qu'ils peuvent automatiquement supprimer ou mettre en quarantaine des fichiers identifiés comme malveillants. C'est justement sur ce principe même que repose la faille exploitée par Or Yair. L'objectif est simple : amener votre antivirus à supprimer un fichier légitime au lieu d'un document corrompu. 

A lire également : Sécurité – ces hackers exploitaient une faille critique d’Internet Explorer pour déployer des malwares

Pousser les antivirus à supprimer des fichiers légitimes

Pour ce faire, le chercheur va viser un mécanisme qui n'est pas soumis à l'obtention de privilèges : les jonctions. Via des attaques de type TOCTOU (Time-of-check to Time-of-use), le pirate va chercher à s'intercaler entre les étapes de détection et de suppression du fichier. 

Voici un exemple simple :

• le pirate veut supprimer un pilot situé dans le dossier /Windows/Systems32/Drivers
• Il copie ce dossier, mais dans /temp (modifiable sans privilèges)
• Dans ce dossier, le pirate créé un fichier malveillant répondant au même nom que le pilote
• Après que l'antivirus ait détecté le fichier, mais juste avant sa suppression, le pirate l'enlève de /temp avant de mettre en place une jonction vers le dossier d'origine
• Le pilote est alors effacé à la place du fichier malveillant

6 antivirus sur 11 vulnérables à cette faille

Seulement et comme l'explique Or Yair, les antivirus ont tendance à empêcher la suppression d'un fichier malveillant après sa création. Pour contourner ce mécanisme, il a conditionné l'opération de suppression à un redémarrage. En effet, les antivirus conservent une liste des fichiers à supprimer après un reboot. Et fait important, ils traitent également les jonctions. Le tour est joué.

D'après le chercheur, sur onze logiciels testés, six étaient vulnérables, parmi Defender, Defender for Endpoint, SentinelOne EDR, Trend Micro Apex One, Avast Antivirus et AVG Antivirus. Notez bien que ces failles ont été corrigées depuis leur signalement durant l'été 2022 par Microsoft, Trend Micro, Avast et AVG.

Source : Silicon