Plus tôt dans l’année, une faille a été détectée par la société de sécurité enSilo dans plusieurs antivirus. Avertis, les éditeurs concernés ont tous corrigé la brèche depuis plusieurs mois. Cependant, le type de vulnérabilité est intéressant et montre comment certains mécanismes de sécurité de Windows peuvent être contournés.
La société israélienne enSilo, qui produit des outils de prévention contre les attaques informatiques, a repéré au printemps dernier une faille pratiquement commune à trois antivirus parmi les plus connus : AVG, McAfee et Kaspersky. Selon enSilo, la faille était critique : elle permettait à un pirate de viser une zone précise de la mémoire pour y retrouver à coup sûr des informations qui, une fois exploitée, pouvaient permettre de contourner certains mécanismes de défense intégrés à Windows.
Une même faille dans trois antivirus différents, tous mis à jour
La faille a été découverte en mars dernier quand l’un des produits de l’éditeur a détecté un souci dans une installation de la suite AVG Internet Security 2015. Un peu plus tard, le même problème a été trouvé dans les versions 2015 MR2 de Kaspersky Antivirus et Internet Security, ainsi que dans la version 8.8 de McAfee VirusScan Enterprise, d’Intel Security. À chaque fois, les produits se servaient d’une plage mémoire fixe – et donc prévisible – avec les permissions RWX (Read, Write, Execute).
Or, placer certaines informations sur une plage fixe casse l’une des protections les plus importantes dans Windows depuis Vista, à savoir l’ASLR (Address Space Layout Randomization). Ce mécanisme permet de placer en mémoire des éléments importants à des adresses choisies au hasard pour que les malwares ne sachent pas où chercher. Une autre protection, la DEP (Data Execution Prevention), empêche également l’exécution de code depuis des plages mémoires contenant des données. Là encore, la faille dans les produits de sécurité permettait de la contourner.
Dans tous les cas, cette brèche de sécurité a déjà été corrigée. AVG l’avait colmatée deux jours après avoir été averti par enSilo, tandis qu’Intel Security a diffusé un correctif le 26 août. Kaspersky a pris plus de temps et a mis à jour ses produits en septembre, mais non sans remercier copieusement enSilo, en particulier son attitude jugée « responsable ». Les détails de la faille ont en effet été transmis de manière discrète et n’ont jamais été révélés au public.
Windows, ses défenses et les logiciels tiers
La faille est en tout cas intéressante car elle illustre une situation connue depuis longtemps sous Windows : l’augmentation du nombre de mécanismes de sécurité ne peut compenser les libertés que prennent parfois les entreprises qui décident de développer leurs produits d’une manière dommageable pour l’utilisateur. C’est un constat valable par tous les éléments qui obtiennent des droits importants sous Windows, comme les antivirus justement, ainsi que les pilotes résidant (au moins partiellement) en espace noyau, comme les pilotes graphiques.
C’est d’ailleurs l’avis d’enSilo : « Ce type de vulnérabilité démontre clairement les problèmes dans l’écosystème de la sécurité. D’un côté, Microsoft investit lourdement dans des défenses, protections et améliorations pour renforcer son système contre les dangers. De l’autre, il y aura toujours une certaine forme de supervision dans les applications. Malheureusement, ce sont précisément les applications tierces vulnérables qui peuvent compromettre ces mêmes défenses ».
Ce sujet de réflexion est déjà ancien, mais explique les tentations des éditeurs de certains systèmes d’exploitation vers des environnements beaucoup plus contrôlés, comme ceux permis par les boutiques d’applications. Il existe de fait un curseur délicat entre la sécurité d’un côté, et le foisonnement applicatif de l’autre. Apple fait ainsi le forcing sur de nombreux points pour intégrer le Mac App Store, notamment l’utilisation obligatoire de la sandbox. Au risque finalement de provoquer la frustration et de faire fuire certains éditeurs, comme MacG l’analysait déjà en juin dernier.
