lundi 10 mai 2010

Des antivirus incapables de détecter une attaque du kernel

Infecter un ordinateur semble facile. C’est ce que laisse à penser la société Matousec (spécialisée dans la sécurité).

Elle vient de publier les résultats d’une attaque qu’elle a menée sur la majorité des antivirus (sous Windows XP SP3 et Vista SP1).

Aucun n’a été capable de bloquer l’infiltration. Cette attaque baptisée KHOBE (Kernel Hook Bypassing Engine) se fait en deux temps : un premier appel au kernel est repéré par l’antivirus qui le laisse passer car il est anodin.

Mais aussitôt après, un second appel (cette fois malveillant) est envoyé avant que l’antivirus redevienne vigilant. En fait, cette attaque ne remet pas en cause directement les antivirus. Elle pointe du doigt une faille dans ces systèmes d’exploitation de Microsoft qui permet de leurrer les appels au noyau.

Mais pour Eric Filiol, directeur de recherche à l'ESIEA,"les antivirus sont aussi responsables car pour simplifier leur travail ils se reposent sur un mécanisme de hook ssdt (crochetage de ressources noyau). Donc, si ce mécanisme est faible (du à l'OS), toute application utilisant cet appel sera vulnérable. Cela prouve une fois de plus que les antivirus doivent évoluer et faire un peu mieux que d'exploiter des techniques simples".

Aucun commentaire:

Enregistrer un commentaire