Antivirus

Les chercheurs ont révélé des faiblesses de sécurité importantes dans les applications logicielles populaires qui pourraient être utilisées de manière abusive pour désactiver leurs protections et prendre le contrôle des applications autorisées pour effectuer des opérations néfastes au nom du malware afin de vaincre les défenses anti-ransomware.

Les attaques jumelles, détaillé par des universitaires de l’Université du Luxembourg et de l’Université de Londres, visent à contourner la fonction de dossier protégé offerte par les programmes antivirus pour crypter les fichiers (alias « Cut-and-Mouse ») et à désactiver leur protection en temps réel en simulant le « clic de souris » ” (alias “Ghost Control”).

« Les fournisseurs de logiciels antivirus offrent toujours des niveaux de sécurité élevés, et ils sont un élément essentiel dans la lutte quotidienne contre les criminels » mentionné Prof. Gabriele Lenzini, scientifique en chef au Centre interdisciplinaire pour la sécurité, la fiabilité et la confiance de l’Université du Luxembourg. “Mais ils sont en concurrence avec des criminels qui ont maintenant de plus en plus de ressources, de pouvoir et de dévouement.”

auditeur de mot de passe

En d’autres termes, les lacunes des logiciels d’atténuation des logiciels malveillants ne pourraient pas simplement permettre à un code non autorisé de désactiver leurs fonctions de protection, les défauts de conception de la solution de dossiers protégés fournie par les fournisseurs d’antivirus pourraient être abusés par, par exemple, un ransomware pour modifier le contenu des fichiers à l’aide d’une écriture provisionnée. accéder au dossier et crypter les données des utilisateurs, ou un wipeware pour détruire irrévocablement les fichiers personnels des victimes.

Dossiers protégés Autoriser utilisateurs pour spécifier les dossiers qui nécessitent une couche de protection supplémentaire contre les logiciels destructeurs, bloquant ainsi potentiellement tout accès dangereux aux dossiers protégés.

“Un petit ensemble d’applications sur liste blanche se voit accorder des privilèges pour écrire dans des dossiers protégés”, ont déclaré les chercheurs. “Cependant, les applications en liste blanche elles-mêmes ne sont pas protégées contre une utilisation abusive par d’autres applications. Cette confiance est donc injustifiée, puisqu’un malware peut effectuer des opérations sur des dossiers protégés en utilisant des applications en liste blanche comme intermédiaires.”

Antivirus

Un scénario d’attaque conçu par les chercheurs a révélé qu’un code malveillant pouvait être utilisé pour contrôler une application de confiance comme le Bloc-notes pour effectuer des opérations d’écriture et crypter les fichiers de la victime stockés dans les dossiers protégés. À cette fin, le ransomware lit les fichiers dans les dossiers, les crypte en mémoire et les copie dans le presse-papiers du système, après quoi le ransomware lance Notepad pour écraser le contenu du dossier avec les données du presse-papiers.

Pire encore, en utilisant Paint en tant qu’application de confiance, les chercheurs ont découvert que la séquence d’attaque susmentionnée pouvait être utilisée pour écraser les fichiers de l’utilisateur avec une image générée aléatoirement afin de les détruire définitivement.

L’attaque Ghost Control, d’autre part, pourrait avoir de graves conséquences, car la désactivation de la protection contre les logiciels malveillants en temps réel en simulant des actions utilisateur légitimes effectuées sur l’interface utilisateur d’une solution antivirus pourrait permettre à un adversaire de supprimer et d’exécuter tout programme malveillant. depuis un serveur distant sous leur contrôle.

Sur les 29 solutions antivirus évaluées au cours de l’étude, 14 d’entre elles se sont révélées vulnérables à l’attaque Ghost Control, tandis que les 29 programmes antivirus testés se sont révélés exposés à l’attaque Cut-and-Mouse. Les chercheurs n’ont pas nommé les fournisseurs qui ont été touchés.

Antivirus

Au contraire, les résultats rappellent que même les solutions de sécurité explicitement conçues pour protéger les actifs numériques des attaques de logiciels malveillants peuvent elles-mêmes souffrir de faiblesses, allant ainsi à l’encontre de leur objectif même. Alors même que les fournisseurs de logiciels antivirus continuent de renforcer leurs défenses, les auteurs de logiciels malveillants ont faufilé ces barrières grâce à des tactiques d’évasion et d’obfuscation, sans parler du contournement de leur détection comportementale en utilisant des entrées contradictoires via des attaques d’empoisonnement.

«La composabilité sécurisée est un problème bien connu dans l’ingénierie de la sécurité», ont déclaré les chercheurs. « Les composants qui, pris isolément, offrent une certaine surface d’attaque connue génèrent une surface plus large lorsqu’ils sont intégrés dans un système. Les composants interagissent les uns avec les autres et avec d’autres parties du système créent une dynamique avec laquelle un attaquant peut également interagir et de différentes manières. qui n’avaient pas été prévues par le concepteur.”



Leave a Reply