Les chercheurs en sécurité de la société israélienne Cybellum ont découvert une vulnérabilité critique permettant de prendre le contrôle d’un ordinateur sous Windows à distance. Le 0-Day est baptisé “DoubleAgent“.
L’exploit DoubleAgent s’en prend à l’outil Application Verifier de Microsoft (datant de 15 ans, légitime et non documenté, NDLR), que les développeurs utilisent pour détecter et corriger les bogues dans leurs applications. Les développeurs doivent charger une DLL (bibliothèque de liens dynamiques) dans leurs applications pour les vérifier, et les chercheurs de la firme israélienne Cybellum Technologies LTD ont découvert que des pirates informatiques pouvaient utiliser l’outil pour injecter leurs propres DLL plutôt que celle fournie par Microsoft.
Grâce à cette technique, il est notamment possible de détourner les applications antivirus et de les transformer en logiciels malveillants dans le but de prendre le contrôle d’une machine vulnérable. Cette nouvelle technique d’injection fonctionne sur l’ensemble de l’écosystème Windows, de Windows XP jusqu’à Windows 10 inclut.
Les chercheurs ont notifié les sociétés antivirus il y a trois mois afin que leurs applications soient sensibles à la technique :
- Avast (CVE-2017-5567)
- AVG (CVE-2017-5566)
- Avira (CVE-2017-6417)
- Bitdefender (CVE-2017-6186)
- Trend Micro (CVE-2017-5565)
- Comodo
- ESET
- F-Secure
- Kaspersky
- Malwarebytes
- McAfee
- Panda
- Quick Heal
- Norton
La vidéo de démonstration est édifiante et montre comment un logiciel antivirus peut être détourné et servir à injecter un ransomware qui chiffre tous les fichiers utilisateur d’une machine :
Notons que Cybellum a concentré ses efforts sur les programmes antivirus, mais que la technique pourrait fonctionner avec n’importe quelle application installée sur un ordinateur Windows, et même avec le système d’exploitation Windows lui-même (et donc encore plus de victimes potentielles).
“DoubleAgent donne à l’attaquant la possibilité d’injecter n’importe quelle DLL dans n’importe quel processus actif sur une machine Windows. L’injection de code se produit très tôt au cours de la procédure, donnant à l’attaquant un contrôle total sur le processus et aucun moyen pour le processus de se protéger.”, déclarent les chercheurs de Cybellum.
Seule solution de protection actuellement valable, passer l’application Microsoft Verifier en processus protégé via un logiciel antivirus afin de l’isoler du système… (fonction introduite dans Windows Defender à partir de Windows 8.1).
La société Cybellum a également publié une preuve de concept (PoC) sur GitHub, ainsi que deux billets de blog détaillant l’attaque DoubleAgent (ici et ici).