Un ingénieur de Google a découvert une vulnérabilité critique sur de nombreux produits antivirus de l’entreprise spécialiste de la cyber-sécurité ESET. Rapidement corrigée, cette faille facile à exploiter met en danger l’ensemble d’un réseau informatique, car les attaquants disposent de nombreuses manières de l’exploiter.

Faiblesse de l’émulateur des antivirus ESET

Juste avant la découverte de cette faille, un nouveau scandale avait éclaté concernant la surveillance exercée par les agences de renseignement du Royaume-Uni et des États-Unis. Un rapport avait été publié, révélant que ces deux entités avaient pratiqué du reverse engineering (ingénierie inverse) sur les produits de plusieurs éditeurs de solutions de sécurité à la recherche de vulnérabilités. La démarche leur aurait permis d’en trouver et de développer en conséquence des moyens de contourner les dispositifs de détection de malwares.

 

Dans le cas d’ESET, la vulnérabilité débusquée par Tavis Ormandy se situe dans l’émulateur des produits. Le rôle de cet élément dans un programme antivirus consiste à déplacer tout code exécutable suspect dans un espace sécurisé où il est exécuté sans compromettre le reste du système. Il marque ensuite ce code par une signature spécifique afin qu’il soit facilement reconnaissable.

L’émulateur doit donc être particulièrement puissant et parfaitement isolé afin d’éviter tout risque lors de son analyse d’un code potentiellement malveillant.

Une vulnérabilité qui touche toutes les solutions ESET

Or, l’ingénieur en sécurité a montré que l’émulateur d’ESET était relativement simple à détourner si des hackers exploitant des privilèges élevés pour lancer une émulation de code à distance.

Concrètement, l’exécution de commandes arbitraires sur le disque par d’éventuels cybercriminels est possible via un ver informatique à propager entre les postes individuels, aux clés USB et autres périphériques connectés aux ordinateurs, via la messagerie électronique, via les sites Internet à partir du navigateur, etc.

Toutes les solutions de la firme étaient affectées : les produits Smart Security pour Windows, NOD32 Antivirus pour Windows, Cyber Security Pro pour Mac OS X, NOD32 pour Linux Desktop, Endpoint Security pour Windows et OS X et NOD32 Business Edition.

Maintenant que la brèche a été colmatée grâce à une mise à jour du moteur de balayage, aux utilisateurs de la télécharger et de l’installer dans les meilleurs délais. La société tient à rassurer ses clients dans un communiqué : la faille n’a touché qu’une routine d’émulation relative à un scanner spécifique dédié à un type de malwares bien précis ; le moteur d’émulation principal est donc resté intact.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *