La nouvelle tendance ? Des logiciels antivirus exploités pour lancer une attaque avec élévation des privilèges

Comment les cybercriminels peuvent pénétrer un réseau ou un ordinateur si celui-ci dispose d’un logiciel de sécurité pour empêcher cela ? Certains attaquants connaissent la réponse : il faut attaquer le logiciel en question utilisé pour sécuriser le réseau et l’ordinateur. C’est ce scénario qui a pris vie avec l’antivirus ZoneAlarm et qui est devenu la victime d’une attaque très intelligente visant une vulnérabilité, comme l’a rapporté Illuminant, une entreprise de test de pénétration et de consulting en cybersécurité.

L’exploit est déclenché si Windows dispose d’une version vulnérable des services .Net, créant une faille dans le système où les processus à faibles privilèges se voient attribuer un accès au niveau système. Cet accès est bien plus élevé que le compte de l’utilisateur administrateur lorsqu’il s’agit des tâches liées à la performance du système. Normalement, ce genre d’exploit n’est pas possible, mais en tirant parti de l’antivirus ZoneAlarm installé, le logiciel se transforme en backdoor pour une attaque d’élévation des privilèges utilisant les services .Net pour prendre le contrôle.

N’importe quel produit antimalware normal est conçu pour s’installer profondément dans Windows, pour repousser correctement les malwares. Néanmoins, le revers de la médaille fait que ce processus installe l’antimalware comme un programme avec des privilèges plus élevés que les autres logiciels de l’ordinateur. C’est comme cela que le bug d’élévation des privilèges est possible car le privilège utilisateur du processus antimalware est délibérément hérité de l’exploit.

« C’est une vilaine piqure de rappel pour l’industrie des logiciels de sécurité. Les concepteurs de ce genre de programme doivent être extrêmement attentifs à la sécurité de leur propre logiciel, au risque de voir leur produit devenir la vulnérabilité qui permet la propagation de cyber-attaques plutôt que l’outil de défense contre elles » a expliqué Matija Siljak, co-fondateur d’Illumant.

Cette attaque particulière a été nommée OwnDigo et est le premier genre d’attaque à utiliser le privilège d’un produit antivirus commun déjà installé pour créer cette élévation non-autorisée.

« Dans le cas présent, ce sont les services de ZoneAlarm qui ont été exploités. Mais la méthodologie est applicable à bien d’autres programmes. WCF est largement utilisé dans les applications .NET et les chercheurs indiquent que de nombreuses autres implémentations ne sont pas sécurisées correctement. Dans les faits, d’autres chercheurs ont récemment publié des vulnérabilités similaires, » a ajouté Siljak.

Le concepteur de l’antivirus ZoneAlarm a été informé du bug OwnDigo et travaille actuellement à la résolution du problème. Illuminant a révélé avec beaucoup de responsabilité cette nouvelle découverte très importante car elle pourrait être le début d’une nouvelle tendance où le logiciel lui-même entendu comme la sécurité de l’ordinateur se retrouve être la surface d’attaque même abusée par les auteurs des virus et des cybercriminels.

D’autres vendeurs d’antimalwares doivent vérifier la sécurité de leurs produits, pour éviter une situation comme celle de l’antivirus ZoneAlarm. Il serait bien évidemment contre-productif que l’industrie antimalware crée des logiciels qui deviennent eux-mêmes le relais pour des attaques de pénétration de réseaux normalement sécurisés et privés.