C’est en analysant la manière dont les éditeurs utilisaient l’hameçonnage pour injecter du code dans un processus afin d'intercepter, de surveiller ou de modifier des appels d’API potentiellement sensibles que les chercheurs d’enSilo, une entreprise spécialisée dans la protection contre l'exfiltration de données, ont découvert six failles de sécurité courantes dans une quinzaine de produits. La plupart des failles repérées par enSilo permettent aux pirates de contourner facilement les mesures d’atténuation de Windows ou d’applications tierces destinées justement à empêcher l’exploitation des vulnérabilités ou de rendre leur exploitation plus complexe. « D'autres failles permettent aux pirates de ne pas être repérés sur les ordinateurs des victimes ou d'injecter du code malveillant pendant l’exécution d’un processus sur la machine », ont déclaré les chercheurs de enSilo dans un rapport envoyé par courriel, lequel sera publié aujourd’hui.
Le « hooking » ou hameçonnage est une technique couramment utilisée par les éditeurs de solutions antivirus pour surveiller des comportements potentiellement malveillants, mais il est également utilisé pour empêcher l’exploitation de vulnérabilités, dans la virtualisation, le suivi des performances et les applications de sandboxing. Certains programmes malveillants sont également capables d’accrocher des processus de navigation Internet pour lancer des attaques dites « Man-in-the-Browser ». Parmi les produits affectés par les failles identifiées par les chercheurs de enSilo, la plupart sont des programmes antivirus, mais ceux-ci ont également mis en évidence une vulnérabilité dans un moteur d’hameçonnage commercial développé par Microsoft et utilisé par plus de cent autres éditeurs de logiciels.
Les principaux éditeurs de sécurité concernés
Des produits d’AVG, Kaspersky Lab, McAfee/Intel Security, Symantec, Trend Micro, Bitdefender, Citrix, Webroot, Avast, Emsisoft et Vera Security sont concernés par les failles identifiées par enSilo. Certains de ces éditeurs ont déjà livré des correctifs, mais le développement de patchs est compliqué, parce qu’il faut souvent recompiler chaque produit individuellement. Selon enSilo, « Microsoft devrait livrer des correctifs pour son moteur de hooking, Microsoft Detours, en août ». De son côté, Bitdefender a fait savoir qu'il avait réglé le problème le 19 janvier et que son correctif avait été livré aux clients concernés. Symantec dit avoir résolu ce problème en mars et Vera Security a déclaré que les modifications visant à atténuer les risques « étaient en production depuis un certain temps déjà ». Les chercheurs prévoient de publier les détails techniques des vulnérabilités lors de la prochaine conférence Black Hat 2016 qui se tiendra à Las Vegas du 30 juillet au 4 août.
Ce n'est pas la première fois que l’on trouve ce type de failles dans les produits antivirus. L'an dernier, les chercheurs d’enSilo avaient constaté que des produits de sécurité d'Intel, Kaspersky Lab et AVG donnaient accès à une page en mémoire avec des autorisations permettant la lecture, l’écriture et l'exécution de processus en mode utilisateur. La faille avait permis à des attaquants de contourner les protections anti-exploitation, en particulier la mise en espace d'adressage aléatoire (Address Space Layout Randomization - ASLR) et la prévention d'exécution des données (Data Execution Prevention - DEP) pour les applications de tierces parties. En fait, cette première découverte a motivé ce plus gros travail de recherche sur les implémentations d’hameçonnage utilisées dans les différents produits. Il est difficile d'estimer le nombre de systèmes vulnérables, mais dans la mesure où le moteur Microsoft Detours fait partie des logiciels concernés, les chercheurs de enSilo pensent que des centaines de milliers d'utilisateurs pourraient être affectés. Selon eux, la vulnérabilité Detours existe depuis au moins huit ans. « Les entreprises et les clients qui utilisent ces logiciels devraient demander aux éditeurs de corriger leurs produits ou de leur fournir les patchs disponibles », ont conseillé les chercheurs de enSilo.