Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Les solutions antivirales représentent une cible lucrative pour les exploitations de masse.

Par Rédaction, secuobs.com
Le 23/01/2006


Résumé : Peut-on craindre une exploitation massive des failles récemment identifiées dans différentes solutions antivirales leader sur ce marché ?



Peut-on craindre une exploitation massive des failles récemment identifiées dans différentes solutions antivirales leader sur ce marché ?

On est en droit de se poser la question à la simple évocation des impacts de ces failles, contournements de la politique de sécurité & accès au système en tout genre. Les systèmes de sécurité sont aujourd'hui en première ligne face aux attaques et la tendance actuelle montre qu'ils ne sont pas exempts de vulnérabilités potentielles.

En atteste cette récente faille sur les produits de la marque Symantec qui permet de provoquer un débordement de tampon ("Buffer Overflow") via une librairie en charge de la décompression des archives de type "RAR". Ce débordement peut être exploité afin de faire exécuter du code arbitraire par la machine faillible avec les risques probables de compromission de son système d'exploitation que cela comporte.

Cette première faille dont le bulletin de sécurité a été publié le mois dernier pourrait tout à fait être combinée avec une faille plus récente qui affecte la solution "NortonSystemWorks" et permet de cacher malicieusement des fichiers aux utilisateurs réguliers via la fonctionnalité de corbeille protégée ("Protected Recycle Bin") dans le répertoire "C:\Recycler\Nprotect" avec la même méthodologie que celle employée par les "Rootkit" afin de cacher la présence d'un intrus sur
votre système.

Symantec n'est pas le seul concerné puisque la tendance montre également que lorsqu'une faille est découverte notamment sur les librairies de décompression de fichiers, on peut l'appliquer à presque l'entiéreté des solutions du marché de la lutte antivirale. La réponse des éditeurs à ces problèmes est d'ailleurs source à polémique puisque si des sociétés comme F-Secure joue relativement franc jeu, d'autres passent leur correctif sous silence afin de "garder" le mythe (commercial ?) de la perfection de leur solution.

Un système compromis par un logiciel installé pour le protéger, ça fait tâche non ? L'hypocrisie est de mise, aucune solution n'est infaillible dans le temps, il est juste de bon ton de vous faire croire que c'est le cas surtout pour des "experts" du domaine.

On note également le peu de considération apportée aux avertissements qui leur sont envoyés, les responsables préfèrent expliquer que leur programme utilise des méthodes heuristiques "efficaces" afin d'identifier les exploitations sans prendre en compte que si le code de ce programme est erroné, il ne sera pas apte à les détecter et représentera un vecteur d'initialisation en lui même. Couplé à l'utilisation régulière de techniques de codage dites "faibles", l'ensemble n'est pas propice à la confiance des utilisateurs.

Exploitation transparente, impacts non dédaignables entraînant une haute compromission du système, solutions incriminées en ligne de mire,l'ensemble des éléments techniques nécessaire à une exploitation globale automatisée de type "vers" (worm) est réuni pour un cocktail explosif. A partir du moment où un ou plusieurs programmeurs seront suffisamment motivés pour le faire, on assistera alors à une première du genre pour des produits non estampillés Microsoft.

"Le plus dur, c'est pas la chute, c'est l'atterrissage"