 |
|
|
| |
| SECURITE |
| Quand l'antivirus est hacké pour lancer des attaques... |
| Une démonstration de la technique du cross application scripting utilise comme cobaye involontaire la solution Trend Micro, et comme victime non moins consentante... Internet Explorer.
(07/06/2004) |
|
Une démonstration de hacking rapportée récemment par notre confrère français Réseaux&Télécoms (lire l'article en date du 04/06/2004) met le doigt sur une éventualité plutôt gênante pour les départements informatiques d'entreprise : placés dans certains contextes bien particuliers, les logiciels d'antivirus pourraient être utilisés comme des têtes de pont pour lancer des attaques
en direction d'environnements serveurs tiers par le biais d'Internet...
Réalisée par un développeur indépendant, cette démonstration qui fait appel à la technique du cross application scripting exploite comme moyens d'action (et à titre d'exemple) le moteur de script de notification html de l'antivirus Trend Micro, associé à la signature générique de sécurité "eicar". Sa victime : le navigateur Internet Explorer.
L'objectif de ce travail ? Prouver qu'il est possible d'exploiter un antivirus, tel que Trend Micro, comme intermédiaire pour orchestrer des attaques en masse. Pour Réseaux&Télécoms, les programmes cherchant à tirer partie des propriétés de diffusion d'un outil possédant des privilèges élevés seraient heureusement encore assez rares. Une remarque plutôt rassurante.
Cette information intervient alors que plusieurs failles de sécurité critiques ont été récemment mises à jour au sein de solutions d'antivirus, et ceci durant les deux derniers mois écoulés. En avril, deux vulnérabilités ont ainsi été découvertes dans Symantec/Norton Internet Security - l'une exploitant le contrôleur ActiveX du logiciel, l'autre tirant partie d'une fonction de type heap overflow. Ces deux failles permettraient potentiellement de prendre la main à distance sur les systèmes concernés.
En mai, c'était autour des produits F-Secure Anti-Virus d'être pointés du doigt. A la différence de
Symantec/Norton Internet Security, le problème proviendrait dans le cas de la technologie F-Secure du module vérifiant le contenu des archives (LHA) : cette couche souffrirait d'un buffer overflow. Une fonction qui pourrait être exploitée afin de bloquer - puis redémarrer - le module en question, et provoquer ainsi un déni de service de la machine. |
|
|
|
|
|
|
Dossier 
