Plusieurs produits antivirus de la firme de sécurité Eset ont été affectés par une vulnérabilité critique facile à exploiter, pouvant compromettre l’ensemble d’un système informatique. La découverte de la faille, qui a été corrigée, est intervenue juste après la publication d’un rapport indiquant que les agences de renseignement du Royaume-Uni et des États-Unis avaient pratiqué du reverse engineering sur des produits antivirus pour débusquer des vulnérabilités et trouver des solutions pour contourner les systèmes de détection.
Découverte par Tavis Ormandy, un ingénieur en sécurité de Google, la vulnérabilité était située dans l’émulateur des produits Eset. Ce composant antivirus est chargé de déballer et d'exécuter le code potentiellement malveillant dans un environnement sécurisé afin de l’analyser. Les produits de cet éditeur surveillent les données entrantes et les opérations sortantes au niveau des disques et s’ils détectent un code exécutable, ils le font tourner dans l'émulateur pour marquer le code par une signature qui permettra ensuite de le détecter. « Des attaquants peuvent très facilement déclencher une émulation de code, et il est extrêmement important d’avoir un émulateur robuste et bien isolé », a déclaré l’ingénieur de Google dans blog. « Malheureusement, l'analyse de l'émulation Eset a montré que ce n’était pas le cas et que l’émulateur pouvait être facilement détourné ».
NOD32 Business Edition également concerné
La vulnérabilité trouvée par Tavis Ormandy permettait à un attaquant distant d'exécuter des commandes arbitraires en disposant des privilèges système les plus élevés. La faille est particulièrement dangereuse car elle peut être exploitée de nombreuses manières, y compris en se connectant simplement à un site Web à partir d’un navigateur, ou en téléchargeant un message dans un client de messagerie local, ou encore en branchant une clé USB dans un ordinateur, plus d’autres méthodes pouvant déclencher des opérations sur le disque. « Parce qu'elle est tellement facile à exploiter, la faille peut être utilisée pour créer un ver informatique qui se propage d'un ordinateur à un autre, y compris en passant par des clés USB, selon l’ingénieur. La vulnérabilité affecte les solutions Smart Security pour Windows, NOD32 Antivirus pour Windows, Cyber Security Pro pour Mac OS X, NOD32 pour Linux Desktop, Endpoint Security pour Windows et OS X et NOD32 Business Edition.
En début de semaine, l’entreprise de sécurité a livré une mise à jour de son moteur de balayage pour corriger la faille, et les utilisateurs sont invités à mettre à jour leurs produits. « La vulnérabilité a été découverte dans la routine d'émulation utilisée par un scanner particulier pour une famille spécifique de logiciels malveillants et n'a pas eu d'incidence sur le moteur d'émulation principal », a précisé Eset dans un communiqué envoyé par courriel.
Le monde de la sécurité en alerte
Ce n’est pas la première fois que les chercheurs en sécurité trouvent de graves vulnérabilités dans les produits antivirus. En 2012, Tavis Ormandy avait déjà trouvé des vulnérabilités critiques dans Sophos Antivirus et l’an dernier il a trouvé une faille pouvant être exploitée pour désactiver à distance le moteur de protection utilisé par de nombreux produits antimalwares de Microsoft. L'an dernier également, Joxean Koret, chercheur pour l’entreprise privée Coseinc basée à Singapour, qui fournit des services de sécurité très spécialisés, a trouvé des dizaines de vulnérabilités exploitables localement et à distance dans 14 moteurs antivirus.
En début de semaine également, le site The Intercept a rapporté qu’en 2008, le Government Communications Headquarters (GCHQ), le service de renseignements électronique du gouvernement britannique, avait déposé une demande de renouvèlement de mandat l’autorisant à faire de l’ingénierie inverse sur les produits antivirus de Kaspersky Lab afin d’y chercher des failles. The Intercept indique par ailleurs que, selon les documents secrets divulgués par l'ancien consultant de la NSA Edward Snowden, l’agence de sécurité nationale américaine s’est également intéressée aux produits antivirus pour contourner leur détection.
Plus tôt ce mois-ci, Kaspersky Lab avait déclaré que certains de ses systèmes internes avaient été infectés avec une nouvelle version d'un outil de cyberespionnage sophistiqué, Duqu 2.0. Les assaillants, que l’éditeur soupçonne fortement d’être soutenus par un État, ont essayé de voler la propriété intellectuelle de Kaspersky, y compris des informations sur ses dernières technologies et sur ses enquêtes en cours. « Ce n’est ni nouveau ni surprenant que les agences de renseignement pratiquent l’ingénierie inverse sur les produits de sécurité pour y trouver des vulnérabilités, et des moyens pour contourner leurs mécanismes de protection », a déclaré le chercheur en vulnérabilité Carsten Eiram. « Cependant, il est assez préoccupant de voir qu’elles visent également les entreprises de sécurité pour voler leur propriété intellectuelle ».
MAJ : Selon un communiqué de presse d'Eset, la vulnérabilité a été corrigée. Reste à télécharger la mise à jour.