C’est le chercheur et ingénieur en sécurité Tavis Ormandy de Google qui a identifié la faille critique dans les produits de l’éditeur Kaspersky Lab. Il en a révélé l’existence sur Twitter avant de transmettre les détails du bogue à Kaspersky. Le message publié sur Twitter inclut une capture d'écran montrant la calculatrice de Windows (calc.exe) s'exécuter dans le process de l'antivirus de Kaspersky. « Cela fonctionne très bien avec les versions 15 et 16 », a-t-il écrit en parlant des éditions 2015 et 2016 des produits Kaspersky. Le chercheur ne précise pas si la faille concerne uniquement les produits antivirus de Kaspersky ou si elle affecte également les produits Internet Security et Total Security du vendeur.
L’ouverture de calc.exe avec un processus différent est couramment utilisée par les chercheurs en sécurité pour visualiser l’exécution effective de code par des exploits. La méthode prouve que si une faille permet à des attaquants distants d'exécuter calc.exe, elle peut également permettre l'exécution de code malveillant. Selon Tavis Ormandy, la vulnérabilité affectant l'antivirus de Kaspersky peut être exploitée à distance, sans aucune interaction de l'utilisateur et avec des privilèges System. « C’est aussi grave que ça en a l’air », a-t-il ajouté dans un autre message. À un utilisateur de Twitter qui lui demandait si la faille pouvait être exploitée par la réception d'un paquet de données, par la visualisation d’une image sur Twitter ou en visitant un site Web créé par l'attaquant, le chercheur a répondu : « oui, à tout cela ».
Un logiciel antivirus vulnérable comme les autres
Dans un communiqué envoyé par courriel hier, un représentant de Kaspersky Lab a déclaré que la vulnérabilité était due à un débordement de pile logicielle et que celle-ci avait été corrigée dans les 24 heures après réception du rapport du chercheur. Le correctif a déjà été distribué aux clients via des mises à jour automatiques. « Nous améliorons nos stratégies d'atténuation afin de prévenir l'exploitation de bogues potentiels dans nos logiciels et nous utilisons déjà des technologies anti-exploitation comme l’ASLR (Address Space Layout Randomization) et le DEP (Data Execution Prevention) », a déclaré le représentant de Kaspersky. « Kaspersky Lab a toujours encouragé l'évaluation de ses solutions par des chercheurs indépendants. Leurs efforts constants nous aident à rendre nos solutions plus efficaces, plus productives et plus fiables ».
Même si cela semble paradoxal, la probabilité qu'un produit conçu pour protéger les ordinateurs contre les attaques comporte lui-même des vulnérabilités pouvant être exploitées pour pirater ces mêmes ordinateurs n’est pas nulle. Tous les logiciels, même les programmes antivirus, sont susceptibles d’avoir des failles.