D'Avast à Windows Defender, cet exploit permet de faire supprimer à votre antivirus... des fichiers inoffensifs

Publié le 13 décembre 2022 à 17h40

Une vulnérabilité présente dans certains antivirus très utilisés permettait d'empêcher la suppression d'un fichier malveillant et d'entraîner celle d'un fichier légitime.

De nombreuses solutions antivirus peuvent être trompées et supprimer des fichiers tout à fait légitimes des systèmes qu'elles sont censées protéger, selon une preuve de concept publiée par Or Yair, un chercheur en sécurité de la société SafeBreach.

Un fichier inoffensif supprimé à la place du fichier dangereux

Or Yair explique que la vulnérabilité est liée à une catégorie de bug bien connu, le time-of-check to time-of-use (TOCTOU). En exploitant cette faille, du code peut devenir capable d'insérer un chemin alternatif après la détection d'un malware afin de conduire à la suppression d'un fichier légitime plutôt qu'à celle du fichier malveillant. D'après son rapport, il est même possible que des fichiers système soient supprimés de la sorte.

L'expert qui a étudié cette vulnérabilité l'appelle Aïkido, en référence à l'art martial japonais fondé sur l'exploitation des mouvements et de la force des adversaires pour les retourner contre eux. L'analogie prend en effet tout son sens lorsque l'on comprend la manière dont l'exploit fonctionne.

Windows Defender, Avast, AVG et Trend Micro ont corrigé la faille de sécurité

La faille de sécurité existe sur plusieurs antivirus populaires, dont Windiows Defender, Defender for Endpoint, SentinelOne EDR, Avast, AVG et Trend Micro. Également testés, McAfee et BitDefender ne sont apparemment pas concernés par ce problème.

Or Yair souligne que dans le cas de Windows Defender, Aïkido supprime des dossiers entiers, et pas uniquement des fichiers. La preuve de concept a été présentée à l'occasion de la conférence sur la sécurité Black Hat Europe 2022, et les éditeurs de logiciels antivirus ont déjà pu développer des correctifs pour combler cette vulnérabilité.

Microsoft lui a attribué l'identifiant CVE-2022-37971 et répare le bug dans la version 1.1.19700.2 de Microsoft Malware Protection Engine. Un patch a également été déployé par Trend Micro (Hotfix 23573, Patch_b11136) ainsi que par Avast et AVG (mise à jour 22.10).

Source : Neowin , Safebreach

Bitdefender

moodEssai 30 jours
devices3 à 10 appareils
phishingAnti-phishing inclus
local_atmAnti-ransomware inclus
groupsContrôle parental inclus

9.5 / 10

9.5 /10

Voir l'offre

Norton 360

moodEssai 14 jours
devices10 appareils
phishingAnti-phishing inclus
local_atmAnti-ransomware inclus
groupsContrôle parental inclus

9.3 / 10

9.3 /10

Voir l'offre

Par Alexandre Schmid

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Articles d'Alexandre Schmid

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Krypton_80

« Attention à ces 6 antivirus qui peuvent supprimer des fichiers a votre insu ! »

« La faille de sécurité existe sur plusieurs antivirus populaires, dont Windows Defender, Avast, AVG et Trend Micro. Également testés, McAfee et BitDefender ne sont apparemment pas concernés par ce problème. »

Et donc, quels sont les 2 autres?

Felaz

Bonjour, nous avons rajouté le tableau de SafeBreach présentant les 6 AV concernés et les avons également précisé dans l’article. Merci pour la vigilance

Bombing_Basta

Avira, Norton, Kaspersky… Que des petits qui manquent à l’appel de ce « test »

Squeak

D’un coté, c’est une bonne chose de démontrer à des éditeurs comment exploiter la faille pour leur permettre de corriger leurs outils, ce qu’ils ont déjà pu faire visiblement. Malgré le fait que cette conférence s’appelle Black Hat, il s’agit avant tout ici de hacking éthique, ce qui aide véritablement à combattre les hackers malveillants.

pinkfloyd

Je viens d’avoir une maj de ESET, peut être lié a cette faille…

bennukem

Supprimer un antivirus, même leurs propres éditeurs n’y étaient pas arrivés. Félicitations

Kriz4liD

Vu que c’est une faille critique , et de plus est prensente chez plusieurs éditeurs , le mec a dû empocher une sacrée belle somme !

Jolan

Excellent ! (même si ce n’est pas vraiment cela).

LeChien

Ce truc est patché depuis longtemps. N’importe qui un petit peu concerné par les mises à jour aura déjà appliqué le correctif au milieu d’autres.

En entreprise, c’est encore autre chose. Le patch de trend par exemple ne date pas d’hier et était de toute façon critique pour plusieurs points : s’il n’est pas encore appliqué aujourd’hui dans une boîte ça craint.

Tout ça pour dire que cet article est un peu trop au présent de l’indicatif pour être honnête.

arnaques_tutoriels_aide_informatique_tests

C’est pas pour rien si il y a ces outils de hack gratuits sur le net…c’est probablement les memes personnes derriere…dans certains cas.