D'Avast à Windows Defender, cet exploit permet de faire supprimer à votre antivirus... des fichiers inoffensifs

13 décembre 2022 à 17h40
10
© Pixabay / geralt
© Pixabay / geralt

Une vulnérabilité présente dans certains antivirus très utilisés permettait d'empêcher la suppression d'un fichier malveillant et d'entraîner celle d'un fichier légitime.

De nombreuses solutions antivirus peuvent être trompées et supprimer des fichiers tout à fait légitimes des systèmes qu'elles sont censées protéger, selon une preuve de concept publiée par Or Yair, un chercheur en sécurité de la société SafeBreach.

Un fichier inoffensif supprimé à la place du fichier dangereux

Or Yair explique que la vulnérabilité est liée à une catégorie de bug bien connu, le time-of-check to time-of-use (TOCTOU). En exploitant cette faille, du code peut devenir capable d'insérer un chemin alternatif après la détection d'un malware afin de conduire à la suppression d'un fichier légitime plutôt qu'à celle du fichier malveillant. D'après son rapport, il est même possible que des fichiers système soient supprimés de la sorte.

L'expert qui a étudié cette vulnérabilité l'appelle Aïkido, en référence à l'art martial japonais fondé sur l'exploitation des mouvements et de la force des adversaires pour les retourner contre eux. L'analogie prend en effet tout son sens lorsque l'on comprend la manière dont l'exploit fonctionne.

© SafeBreach
© SafeBreach

Windows Defender, Avast, AVG et Trend Micro ont corrigé la faille de sécurité

La faille de sécurité existe sur plusieurs antivirus populaires, dont Windiows Defender, Defender for Endpoint, SentinelOne EDR, Avast, AVG et Trend Micro. Également testés, McAfee et BitDefender ne sont apparemment pas concernés par ce problème.

Or Yair souligne que dans le cas de Windows Defender, Aïkido supprime des dossiers entiers, et pas uniquement des fichiers. La preuve de concept a été présentée à l'occasion de la conférence sur la sécurité Black Hat Europe 2022, et les éditeurs de logiciels antivirus ont déjà pu développer des correctifs pour combler cette vulnérabilité.

Microsoft lui a attribué l'identifiant CVE-2022-37971 et répare le bug dans la version 1.1.19700.2 de Microsoft Malware Protection Engine. Un patch a également été déployé par Trend Micro (Hotfix 23573, Patch_b11136) ainsi que par Avast et AVG (mise à jour 22.10).

Alexandre Schmid

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (10)

Krypton_80
« Attention à ces 6 antivirus qui peuvent supprimer des fichiers a votre insu ! »<br /> « La faille de sécurité existe sur plusieurs antivirus populaires, dont Windows Defender, Avast, AVG et Trend Micro. Également testés, McAfee et BitDefender ne sont apparemment pas concernés par ce problème. »<br /> Et donc, quels sont les 2 autres?
Felaz
Bonjour, nous avons rajouté le tableau de SafeBreach présentant les 6 AV concernés et les avons également précisé dans l’article. Merci pour la vigilance
Bombing_Basta
Avira, Norton, Kaspersky… Que des petits qui manquent à l’appel de ce « test »
Squeak
D’un coté, c’est une bonne chose de démontrer à des éditeurs comment exploiter la faille pour leur permettre de corriger leurs outils, ce qu’ils ont déjà pu faire visiblement. Malgré le fait que cette conférence s’appelle Black Hat, il s’agit avant tout ici de hacking éthique, ce qui aide véritablement à combattre les hackers malveillants.
pinkfloyd
Je viens d’avoir une maj de ESET, peut être lié a cette faille…
bennukem
Supprimer un antivirus, même leurs propres éditeurs n’y étaient pas arrivés. Félicitations
Kriz4liD
Vu que c’est une faille critique , et de plus est prensente chez plusieurs éditeurs , le mec a dû empocher une sacrée belle somme !
Jolan
Excellent ! (même si ce n’est pas vraiment cela).
LeChien
Ce truc est patché depuis longtemps. N’importe qui un petit peu concerné par les mises à jour aura déjà appliqué le correctif au milieu d’autres.<br /> En entreprise, c’est encore autre chose. Le patch de trend par exemple ne date pas d’hier et était de toute façon critique pour plusieurs points : s’il n’est pas encore appliqué aujourd’hui dans une boîte ça craint.<br /> Tout ça pour dire que cet article est un peu trop au présent de l’indicatif pour être honnête.
arnaques_tutoriels_aide_informatique_tests
C’est pas pour rien si il y a ces outils de hack gratuits sur le net…c’est probablement les memes personnes derriere…dans certains cas.
Voir tous les messages sur le forum