Un logiciel antivirus répandu pourrait être utilisé à mauvais escient comme essuie-glace. Cela permettait aux attaquants de supprimer parfois des fichiers système importants.

Un chercheur en sécurité a trouvé un moyen d’utiliser un logiciel antivirus populaire comme essuie-glace. Cela permet parfois aux attaquants de supprimer des fichiers système importants. Les solutions de sécurité couramment utilisées de Microsoft, Avast et AVG étaient également vulnérables à la vulnérabilité.

Logiciel antivirus utilisé à mauvais escient comme essuie-glace

Les cybercriminels ont parfois recours à ce qu’on appelle des essuie-glaces. Il s’agit d’un type spécial de logiciel malveillant qui permet de supprimer ou d’endommager les données des systèmes compromis. Dans le même temps, les attaquants peuvent empêcher la restauration des données en écrasant les zones de mémoire utilisées par les données.

Mais il existe d’autres outils présents sur pratiquement tous les systèmes utilisateur imaginables qui peuvent supprimer des fichiers de manière tout aussi fiable. Un chercheur en sécurité de SafeBreach a trouvé un moyen d’abuser des logiciels courants de détection et de réponse aux terminaux (EDR) et antivirus (AV) à cette fin.

Les solutions de sécurité de Microsoft, SentinelOne, TrendMicro, Avast et AVG offrent une soi-disant «protection en temps réel‘, qui est constamment à la recherche de fichiers malveillants en arrière-plan. S’il en trouve un, il le supprime afin qu’il ne puisse plus endommager le système.

Comme le rapporte BleepingComputer, le chercheur a eu l’idée d’intervenir dans ce processus. En effectuant des changements entre la détection et la suppression, il voulait détourner l’attention du logiciel antivirus vers une autre voie.

Une attaque contre des fichiers système importants

Ainsi le chercheur en sécurité en a nommé un sous le nom «imiter le chat » Malware connu que toutes les solutions de sécurité détectent de manière fiable et l’enregistrent sous le chemin « C:tempWindowsSystem32driversndis.sys“.

Pour empêcher le logiciel antivirus de supprimer le fichier immédiatement, il a enregistré le descripteur. En d’autres termes, il les a laissés ouverts afin que d’autres programmes ne puissent pas y apporter de modifications.

Le logiciel antivirus respectif invite alors l’utilisateur à redémarrer le système. Cela libère enfin le handle afin que le processus de suppression puisse avoir lieu. La commande pour ce faire est placée sous une valeur de registre appelée PendingFileRenameOperations.

Cependant, comme le note le chercheur, Windows supprime le fichier après le redémarrage »aveugle“. Un réexamen n’aura donc pas lieu. Le système ne fait que suivre »aveuglément les jonctions“.

Ainsi il était possible de supprimer le répertoire «C:temp » pour supprimer et un raccourci de « C:temp » sur « C: » créer. Le résultat de ceci était qu’après un redémarrage, le fichier système « C:WindowsSystem32driversndis.sys » a été éliminé.

Cela a permis au logiciel antivirus d’être utilisé à mauvais escient pour causer d’immenses dommages à un système cible. Le processus permet aux attaquants de supprimer des fichiers pour lesquels l’utilisateur du système n’a en fait aucun droit de modifier.

Les logiciels antivirus de Microsoft, Avast et AVG sont également concernés

Le chercheur en sécurité a versé ses découvertes dans un outil d’effacement, qu’il «Essuie-glaces Aïkido » appelé. Des tests avec 11 solutions de sécurité différentes ont montré que les logiciels EDR et antivirus populaires tels que Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus et AVG Antivirus étaient vulnérables.

Après que le chercheur a informé les fabricants concernés de la vulnérabilité entre juillet et août 2022, tous ont maintenant publié les corrections correspondantes. Une mise à jour vers la dernière version du logiciel respectif est donc recommandée.

Les solutions de sécurité Palo Alto, Cylance, CrowdStrike, McAfee et BitDefender n’ont pas été affectées par le problème.