Cybersécurité

Une faille fait basculer les antivirus du côté obscur

La Black Hat Europe a donné lieu à la présentation d’une vulnérabilité permettant de détourner plusieurs antivirus pour en faire des wipers.

Et si les meilleurs malwares étaient… les antivirus ? Il y avait, au programme de la Black Hat Europe 2022, une session touchant à ce sujet. Plus précisément, au détournement de ces logiciels – EDR inclus – pour en faire des wipers.

 

 

Ces souches malveillantes – qui émaillent notamment le conflit russo-ukrainien – n’exploitent pas toutes la même méthode de destruction. Les plus « basiques » suppriment des éléments. Dans le contexte de Windows, ça ne signifie pas « effacer », mais simplement invoquer la fonction DeleteFile(). Laquelle libère, dans la table d’allocation (MFT), l’entrée correspondante.

 

 

Les wipers majeurs, de DoubleZero à Shamoon en passant par CaddyWiper, vont plus loin. Après l’opération de suppression, ils écrivent un nouveau fichier à la même entrée MFT, ce qui efface l’ancien. D’autres écrivent directement sur le disque comme s’il s’agissait d’un périphérique.

 

 

Double problème. D’une part, l’une et l’autre technique exigent des privilèges. De l’autre, reposant sur un processus (le wiper) qui utilise les API Windows, elles laissent des traces.

 

 

Un fichier pour un autre : le potentiel destructeur des jonctions

Les antivirus/EDR ont de commun qu’ils peuvent automatiquement supprimer (ou mettre en quarantaine) des fichiers identifiés comme malveillants. C’est sur cette fonctionnalité que repose le détournement. Le principe : faire en sorte que cette opération s’applique à un autre fichier que celui qu’elle est censée toucher.

Veille-cyber

Recent Posts

VPN : un outil indispensable pour protéger vos données

VPN : un outil indispensable pour protéger vos données Le VPN, ou « Virtual Private…

8 heures ago

Cybersécurité et PME : les risques à ne pas sous-estimer

Cybersécurité et PME : les risques à ne pas sous-estimer On pense souvent que seules…

2 jours ago

Phishing : comment reconnaître une attaque et s’en protéger efficacement

Comment reconnaître une attaque de phishing et s’en protéger Le phishing ou « hameçonnage »…

5 jours ago

Qu’est-ce que la cybersécurité ? Définition, enjeux et bonnes pratiques en 2025

Qu’est-ce que la cybersécurité ? Définition, enjeux et bonnes pratiques en 2025 La cybersécurité est…

5 jours ago

Cybersécurité : Vers une montée en compétence des établissements de santé grâce aux exercices de crise

Cybersécurité : les établissements de santé renforcent leur défense grâce aux exercices de crise Face…

1 semaine ago

L’IA : opportunité ou menace ? Les DSI de la finance s’interrogent

L'IA : opportunité ou menace ? Les DSI de la finance s'interrogent Alors que l'intelligence…

2 semaines ago

This website uses cookies.