Tous les antivirus Windows vicitimes d'une faille les rendant inopérants
—
Une société spécialisée dans la sécurité, Matousec, a découvert un nouveau type d'attaque permettant à n'importe quel virus l'exploitant de passer sans problème entre les mailles de tous les antivirus.
Matousec avait, en 2007, publié un article mettant en cause la mauvaise qualité des pilotes développés via le Kernel Mode Driver Framework (KMDF) et installés par tous les principaux produits de sécurité pour Windows.
Aujourd'hui, la société met en évidence une méthode d'attaque nommée argument-switch ou KHOBE (Kernel Hook Bypassing Engine) basée justement sur ce qu'elle avait découvert en 2007. Cette méthode exploite les appels qui sont fait au noyau (kernel, en anglais) du système d'exploitation qui sont pourtant surveillés par les antivirus.
Lorsqu'un virus débarque sur votre ordinateur il utilise les appels au noyau Windowspour communiquer avec lui (lecture, écriture, etc). Si l'antivirus détecte, à ce moment là, un comportement dangereux il bloque le programme (virus) à l'origine de cet appel.
Le principe de l'attaque KHOBE est simple, le virus utilise deux processus ; le premier fait tout d'abord un appel sans danger auprès du système d'exploitation, il est alors déclaré sain par l'antivirus qui laisse l'appel passer vers le kernel. A ce même moment, l'autre processus modifie l'appel qui a été autorisé par l'antivirus et celui-ci est transmis au noyau de Windowsqui l'exécute.
La société a effectué les recherches sur cette attaque avec Windows XP Service Pack 3 et Windows Vista Service Pack 1 tous deux 32 bits, mais elle assure que toutes les versions de Windows sont concernées, y compris Windows 7. Elle précise que les plateformes 64 bits ne sont pas une limitation pour ce type d'attaque.
Matousec a testé cette attaque avec les produits suivants et les résultats sont accablants.
| Nom et version du produit | Resultat |
|---|---|
| 3D EQSecure Professional Edition 4.2 | VULNERABLE |
| avast! Internet Security 5.0.462 | VULNERABLE |
| AVG Internet Security 9.0.791 | VULNERABLE |
| Avira Premium Security Suite 10.0.0.536 | VULNERABLE |
| BitDefender Total Security 2010 13.0.20.347 | VULNERABLE |
| Blink Professional 4.6.1 | VULNERABLE |
| CA Internet Security Suite Plus 2010 6.0.0.272 | VULNERABLE |
| Comodo Internet Security Free 4.0.138377.779 | VULNERABLE |
| DefenseWall Personal Firewall 3.00 | VULNERABLE |
| Dr.Web Security Space Pro 6.0.0.03100 | VULNERABLE |
| ESET Smart Security 4.2.35.3 | VULNERABLE |
| F-Secure Internet Security 2010 10.00 build 246 | VULNERABLE |
| G DATA TotalCare 2010 | VULNERABLE |
| Kaspersky Internet Security 2010 9.0.0.736 | VULNERABLE |
| KingSoft Personal Firewall 9 Plus 2009.05.07.70 | VULNERABLE |
| Malware Defender 2.6.0 | VULNERABLE |
| McAfee Total Protection 2010 10.0.580 | VULNERABLE |
| Norman Security Suite PRO 8.0 | VULNERABLE |
| Norton Internet Security 2010 17.5.0.127 | VULNERABLE |
| Online Armor Premium 4.0.0.35 | VULNERABLE |
| Online Solutions Security Suite 1.5.14905.0 | VULNERABLE |
| Outpost Security Suite Pro 6.7.3.3063.452.0726 | VULNERABLE |
| Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION | VULNERABLE |
| Panda Internet Security 2010 15.01.00 | VULNERABLE |
| PC Tools Firewall Plus 6.0.0.88 | VULNERABLE |
| PrivateFirewall 7.0.20.37 | VULNERABLE |
| Security Shield 2010 13.0.16.313 | VULNERABLE |
| Sophos Endpoint Security and Control 9.0.5 | VULNERABLE |
| ThreatFire 4.7.0.17 | VULNERABLE |
| Trend Micro Internet Security Pro 2010 17.50.1647.0000 | VULNERABLE |
| Vba32 Personal 3.12.12.4 | VULNERABLE |
| VIPRE Antivirus Premium 4.0.3272 | VULNERABLE |
| VirusBuster Internet Security Suite 3.2 | VULNERABLE |
| Webroot Internet Security Essentials 6.1.0.145 | VULNERABLE |
| ZoneAlarm Extreme Security 9.1.507.000 | VULNERABLE |