L’attaque « Doubleagent » (non corrigible) peut détourner tous les systèmes d’exploitation Windows …

Proposé par Nicko du site quoi-de-neuf1. 

Une équipe de chercheurs en sécurité de Cybellum, une société israélienne de prévention de vulnérabilité zero-day, a découvert une nouvelle vulnérabilité Windows qui pourrait permettre aux pirates de prendre le contrôle total de votre ordinateur.

La nouvelle technique d’injection de code « DoubleAgent », fonctionne sur toutes les versions des systèmes d’exploitation Microsoft Windows, à partir de Windows XP jusqu’à la dernière version de Windows 10.

Ce qui est pire? DoubleAgent exploite une fonctionnalité légitime non documentée de Windows appelée « Application Verifier » qui ne peut pas être corrigée.

Application Verifier est un outil de vérification d’exécution qui charge les DLL (bibliothèque de liens dynamiques) dans des processus à des fins de tests, cela permet aux développeurs de détecter et de corriger rapidement les erreurs de programmation dans leurs applications.

L’exploit de vérificateur d’application Microsoft non corrigible

La vulnérabilité réside dans la façon dont cet outil Application Verifier gère les DLL. Selon les chercheurs, dans le cadre du processus, les DLL sont liées aux processus cibles dans une entrée de Registre Windows, mais les attaquants peuvent remplacer la vraie DLL par une malveillante.

En créant simplement une clé de Registre Windows avec le même nom  que l’application qu’il veut détourner, un attaquant peut fournir sa propre DLL personnalisé qu’il désire injecter dans un processus légitime dans n’importe quelle application.

Une fois la DLL personnalisée injectée, l’attaquant peut prendre le contrôle total du système et effectuer des actions malveillantes, telles que l’installation de backdoors et de logiciels malveillants persistants, le détournement des autorisations de tout processus de confiance existant, voire le détournement des sessions d’autres utilisateurs

Voici comment les chercheurs de Cybellum disent comment fonctionne de cette attaque :

DoubleAgent donne à l’attaquant la possibilité d’injecter n’importe quelle DLL dans n’importe quel processus.L’injection de code se produit très tôt au cours de la procédure, donnant à l’attaquant un contrôle total
sur le processus et aucun moyen pour le processus de se protéger.

Utilisation de l’attaque « DoubleAgent » pour prendre le contrôle total de l’antivirus

Vidéo

Afin de montrer l’attaque DoubleAgent, l’équipe a détourné les applications antivirus « qui sont la principale défense sur les systèmes pour empêcher tout malware de s’exécuter » en utilisant leur technique et les transformer en logiciels malveillants.

L’équipe a été en mesure de corrompre l’application antivirus en utilisant l’attaque DoubleAgent et obtenir du logiciel de sécurité d’agir comme un ransomware de chiffrement de disque.

L’attaque fonctionne sur toutes les versions du système d’exploitation Windows de Windows XP à Windows 10 et est difficile à bloquer car le code malveillant peut être réinjecté dans le processus légitime ciblé après le redémarrage du système – Grâce à la clé de registre persistante.

Les chercheurs ont déclaré que la plupart des produits de sécurité d’aujourd’hui sur le marché sont sensibles aux attaques DoubleAgent. Voici la liste des produits de sécurité concernés:

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

Après avoir détourné le logiciel anti-virus, les attaquants peuvent également utiliser l’attaque DoubleAgent pour désactiver le produit de sécurité, ce qui le rend aveugle aux cybers attaques et aux logiciels malveillants, en utilisant le produit de sécurité comme proxy pour lancer des attaques sur l’ordinateur local ou sur le réseau, il élève le niveau de privilège de tous les codes malveillants, de la dissimulation de trafic malveillant ou l’exfiltration de données, l’endommagement du système d’exploitation ou l’apparition d’un déni de service.

Remarque: les chercheurs de Cybellum se sont concentrés uniquement sur les programmes antivirus, bien que l’attaque DoubleAgent puisse fonctionner avec n’importe quelle application, même avec le système d’exploitation Windows lui-même.

De nombreux antivirus sont toujours non protégés même après 90 jours de divulgation

…/…

Lire la suite

Auteur Nicko pour Quoideneuf1

 

50 commentaires

  • Super, c’est la meilleure PUB que l’on puisse faire pour LINUX.

    La « fenetre » est cassée. Et pas question de la remplacer par une autre en plastique, faut pas prendre les gens que pour des « Pommes » :)

    • Bonjour Thierry65,
      J’aimerais passer à Linux mais comment faire. J’ai peur de perdre des données, fichiers en route.
      Je n’ai pas envie de lire toute la doc Ubuntu.

      • Le passage a linux est beaucoup plus simple que tu ne crois.

        Les gens ne se doutent pas que cela soit aussi simple, mais cela demande de mettre un peu les mains dans le « cambouis », mais avec les gants qui vont bien.

        Cela demande environ 3 a 4 heures de « boulot », Voltigeur, Biquette, et d’autres y sont passées sans problèmes.
        Cela demande d’abord un peu de temps et la motivation.
        Rapidité, économie, un peu de discipline mais tres peu car les linuxiens sont parfois des geeks incorrigibles.

        Inscrit toi sur les forums. et regardes les topics. ainsi que le mini chat

      • Yazumi

        Même moi qui suit une grosse bille en informatique, j’ai réussi sans problème a lancer mon windows à la poubelle pour installer linux mint 1.8 par dessus. ;)

        Utilise une clef usb bootable C’est la soluce la plus facile!!!

      • Voltigeur Voltigeur

        Tu peux l’installer à côté de ton windows ;) Il y a pas mal de tutos très bien fait qui te guide de A à Z :)

      • jplchrm

        C’est effectivement un gros saut pour qui a toujours travaillé sous Windows. Pour tout se qui concerne les fichiers de la suite Office (Word, Excel, ), OpenOffice ou Free Office, ça se passe sans problème. Applications Web OK. Les difficultés peuvent venir du côté de l’interfaçage de certains périphériques (imprimantes, scanners, ..) ou de logiciels spécifiques qui n’existent pas sous linux. Mieux vaut faire l’expérience sur une nouvelle machine en laissant l’ancienne en place. Un bon PC d’occasion fait très bien l’affaire. Graver un CD d’installation d’Ubuntu par exemple, booter dessus pour lancer l’installation. L’ordi charge le minimum à partir du CD et le complément à partir du réseau. Se faire aider par un linuxien est souhaitable. Personnellement, je travaille sous linux depuis les origines (distrib. Slackware en 95), et j’ai un sentiment déplaisant chaque fois que je dois revenir sous Windows. Question d’habitude.

      • Voltigeur Voltigeur

        Je suis sur portable en WI-FI et n’ayant pas reçu un papier important dans les temps, il m’a fallu l’imprimer. Sachant que mon imprimante est branchée sur mon vieil XP et que je ne navigue pas avec, j’ai tenter de la brancher sur mon portable sous Linux Mint, un seul « bip » et l’imprimante a été reconnue instantanément, j’ai pu avoir mes docs importants…. Il y a eu pas mal de progrès depuis… ;)

      • Je suis avec la Slackware depuis la version 0.9.3

      • jplchrm

        Whaouh ! Moi j’ai beaucoup travaillé avec Debian (version stable) dans le cadre de mon activité professionnelle d’administrateur réseau. Seul problème éventuel : le matériel *très* récent n’est pas toujours reconnu. C’est un très bon système pour les serveurs pro. Les mises à jours demandent rarement d’arrêter pour relancer la machine. La sécurité peut être excellente.
        En revanche Ubuntu est plus accessible à un utilisateur néophyte.

    • Balou

      Suite de l’article…


      De nombreux antivirus sont toujours non protégés même après 90 jours de divulgation

      Cybellum a indiqué que la compagnie avait rapporté l’attaque de DoubleAgent à tous les fournisseurs anti-virus affectés il y a plus de 90 jours .

      Les chercheurs de Cybellum ont travaillé avec certaines entreprises anti-virus pour remédier au problème, mais jusqu’à présent, seuls Malwarebytes et AVG ont publié un patch, tandis que Trend-Micro a prévu de le lancer prochainement.

      Donc, si vous utilisez l’une des trois applications mentionnées ci-dessus, vous êtes fortement conseillé de faire la mise à jour dès que possible.

      […]

    • Balou

      La sécurité sous GNU/Linux

      Les systèmes d’exploitation GNU/Linux, Unix et « Unix-like » sont en général considérés comme peu ciblés par les virus informatiques. En effet, jusqu’ici, aucun virus opérant sous Linux n’a été répertorié comme étant très répandu, comme c’est parfois le cas avec Microsoft Windows. Ceci est souvent attribué au fait que les virus Linux ne peuvent accéder aux privilèges « root » et à la rapidité des corrections pour la plupart des vulnérabilités de Linux. Un autre facteur est le fait qu’il y a moins d’incitations pour un programmeur à écrire des malwares opérant sous Linux :

      il est très répandu sur les serveurs (il est utilisé par exemple par Google et Wikipédia) et les superordinateurs, mais ceux-ci sont la plupart du temps gérés par des professionnels formés aux enjeux de la sécurité informatique ;
      il est encore assez peu répandu sur le marché des ordinateurs personnels, meilleurs vecteurs de propagation des malwares en raison de la fréquente inexpérience de leurs utilisateurs.

      Le nombre de programmes malicieux (incluant les virus, Trojans et autres types) sous Linux a augmenté ces dernières années, et plus particulièrement doublé en 2005, passant de 422 à 863 dû a l’augmentation du nombre d’utilisateurs de Linux.

      https://doc.ubuntu-fr.org/antivirus

      • Petite précision.
        Ce sont toujours des débutants non avertis qui donnent les privilèges aux malwares.
        Depuis longtemps je dis :
        Il y a 3 types de superutilisateurs, (root)
        1 Celui qui va flinguer son systeme,
        2 Celui qui a déjà flingué son système,
        3 Celui qui va RE flinguer son système. :)

  • florisa

    moi aussi, j’hésite à passer sous linux, que je ne connais pas du tout, je préfererais passer directement à Windows 7, je pense que j’y serais plus à l’aise, étant donné que je suis sous XP, et que je ne connais que Windows. mais il est vrai que Windows à pas mal de failles de sécurité, et donc je ne sais pas lequel choisir.

    • Il suffit de faire abstraction du mot Windows.
      L’environnement est très similaire dans sa présentation des applications.
      X-windows, le systeme graphique de fenêtrage des systèmes UNIX n’est pas une copie du systeme µ$oft il est même antérieur.

    • Anatole

      En tous cas, en attendant de passer à Linux, conserve bien ton Windows XP ! C’est à peu près la seule version de Windows qui soit stable et fonctionne correctement, leur seul système d’exploitation qui ressemble à un outil professionnel.
      Toutes les autres versions postérieures ne sont que des gadgets singeant les matériels multi-médias à écrans tactiles, le pompon est Windows X qui en plus est destiné à t’espionner.

  • Rainette

    Très satisfaite de Linux. Bien contente d’avoir largué Windows il y a déjà des années. On s’y fait très bien.

  • KromoZom

    Pour ceux qui souhaiteraient ce lancé dans cette aventure, faite vous la main en utilisant les live-cd et live-usb.
    Pour les plus geek machine virtuelle (virtualbox)
    Avec des distributions comme Ubuntu ou Mint, y a même pas une seule ligne de commande à taper.
    A titre perso c’est Débian depuis … 15 ans au moins.

    Là c’est l’informaticien qui parle, quelques soit le système que vous choisirez, si vous ne faites pas régulièrement des sauvegardes sur support amovibles non connecté, ça va piquer.
    Y en a qui ont essayé, ils ont eu des problèmes.

    • Rainette

      « Là c’est l’informaticien qui parle, quelques soit le système que vous choisirez, si vous ne faites pas régulièrement des sauvegardes sur support amovibles non connecté, ça va piquer. »

      Tu peux détailler le genre de problèmes, KromoZom ? Pour les sous-doués dans mon genre http://lesmoutonsenrages.fr/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif

      • Balou

        Exemple : un disque dur qui rend l’âme sans prévenir..https://lesmoutonsenrages.fr/wp-content/plugins/wp-monalisa/icons/wpml_cry.gif

        Autre exemple : un virus s’introduit sur mon disque dur. Vite, je débranche mon lecteur de sauvegarde. Trop tard.

    • moutondu02

      quelqu’un peut-il me dire si on peut vraiment tout faire avec Linux ?
      Peut-on jouer avec tous les jeux vidéos récents ?
      Peut-on faire du traitement vidéo avec ? si oui avec quels logiciels ?
      Peut-on faire des captures d’écran, peix t-on passer facilement de clavier azerty a qwerty … ? y a t’il des raccourcis ?
      peux-ton enregistrer les sons diffusés sur l’ordi comme avec Audacity?
      peut-on convertir les formats vidéos et audios facilement ? (.wave vers mp3 , Mkv vers avi ?…
      Qu’en est-il de tous les périphériques usb que l’on y raccorde , sont-ils bien reconnus ?
      et tous les matériels internes sont-ils bien gérés , carte mère , carte graphique, disques ssd , option dual chanel pour les rams ?….
      mon antivirus (360 total sécurity )pourras t’il y être installé que je puisse contrôler des DD infectés avec windows dessus ?
      Les informaticiens peuvent -ils me répondre ?
      si non , si on ne peut pas faire tout ça , ça sert a quoi LINUX ?
      merci de vos réponses qui vont surement en intéresser plus d’un .

      • Libertaire22170

        Bonjour moutondu02,
        Sous linux, LinuxMint dans mon cas, tu peux faire tout ce que tu fais sous Windows, la sécurité en plus.
        Mais pour être honnête, même si de plus en plus de jeux fonctionnent nativement sous linux il y a encore des progrès à faire, mais beaucoup d’applications Windows peuvent fonctionner sous linux grâce aux logiciels Wine et PlayOnLinux, ça demande généralement pas mal de bidouilles mais ça permet de faire tourner des jeux récents.

        Et pas besoin d’antivirus avec Linux donc ça te fait un tracas en moins :)

      • moutondu02

        pour les réponses ,
        je ne demande pas de réponses « théoriques » , je demande du vécu , me dire si quelqu’un fait toutes ces actions tous les jours sous linux. je n’aime pas particulièrement les OS de Microsoft mais qui fait mieux ?
        de plus il existe toutes sortes de versions non officielles de ces OS qui sont optimisées simplifiées, elles marchent bien , j’en parle en connaissance de cause , jamais eu le moindre soucis depuis des années et des années…

      • Libertaire22170

        Ce dont je te parle, c’est justement du vécu.
        Je n’ai pas essayé d’installer de jeu Windows vraiment récent mais il m’arrive fréquemment de convertir des fichiers audio d’utiliser le traitement de texte …
        Avec gimp tu fais la même chose qu’avec photoshop, tu peux utiliser blender pour la modélisation en 3D et j’en passe.

      • Il te suffit de lancer une VM; Virtual Machine.

        Tu te fais une vm doz XX qui plantera dans son propre environnement mais sans planter ton linux.
        D’une séquence de touche tu bascule d’un système d’exploitation a l’autre.
        Pour cela il te faut au minimum une machine avec un processeur Intel I5 et 8 go de ram. Il y en a pas mal d’occases a des prix tres abordables, de l’ordre de 2 à 300 €.

      • Balou

        Il faut au moins ça vu la perte de vitesse engendrée par la VM.

      • Libertaire22170

        Les machines virtuelles, avec Virtual Box en tout cas, c’est très bien pour les applications qui ne nécessitent pas l’accélération 3D.
        Je parle en connaissance de cause, l’accélération 3D est peu voir pas du tout gérée sous Virtual Box, sans parler des performances évidemment, j’ai essayé avec Windows XP et Windows 7.

      • KromoZom

        Pour le jeux, steamos très connu des gamers est basé sur Débian 8, les raccourcis et bascule clavier, Audacity… tout pareil.
        Niveaux matos, globalement pas de pb majeur, sauf avec certain matos exotique. D’une manière générale, on liste sont matos pour chercher d’éventuelles incompatibilités, c’est pour ça que le live-usb est excellent, tu démarre ta machine sur une clé, sans prendre le moindre risque et tu test en direct tout ton matos.
        Après reste le choix de la distribution, quand on débute, autant prendre celle qui regroupe la plus grande communauté, Ubuntu.

      • Libertaire22170

        SteamOS n’est ni plus ni moins qu’une distribution Linux, donc ce qui fonctionne sous SteamOS fonctionnera sous Ubuntu ou Linux Mint.
        Certains rejettent Ubuntu parce qu’ils trouvent son interface trop lourde une bonne alternative est Mint qui est, je crois dérivé d’Ubuntu, ce qui fonctionne pour l’un fonctionne pour l’autre également, Mint utilise d’ailleurs les dépots d’Ubuntu. C’est une question de goût.

  • Pour créer un live USB avec un système d’exploitation Linux, personnellement j’utilise le logiciel Rufus.
    Voici un tutoriel vidéo : http://www.youtube.com/watch?v=XxafOk4vkMU
    Voici un lien pour télécharger Ubuntu 16.04.2 (64Bits).
    Pour les systèmes avec une architecture en 32 Bits voir cette page. http://releases.ubuntu.com/16.04/

    • Libertaire22170

      Oui Rufus c’est le top, le seul bémol c’est qu’il ne fonctionne que sous Windows.
      J’ai jamais été foutu de créer un LinuxMint bootable avec l’utilitaire de linux :)

      • Merci Libertaire22170! en effet, j’ai oublié de préciser que Rufus ne fonctionne que sous Windows. http://lesmoutonsenrages.fr/wp-content/plugins/wp-monalisa/icons/wpml_good.gif

      • salut les ME,
        j’ai une question pour Niko, d’un ami (+ que bidouilleur) intervenant en informatique…
        Salut Niko,
        à propos de cela, un ami m’a répondu:
        je veux bien entendre
        mais as tu recoupé l’information avec 2 autres sources avant de transmettre
        si tu lis la totalité de l’article
        Windows Defender n’est pas concerné (je crois)
        « Le mécanisme de protection des processus, protège les services anti-malware contre de telles attaques en ne permettant pas à d’autres applications d’injecter du code non signé, mais ce mécanisme n’a été implémenté que dans Windows Defender, introduit par Microsoft dans Windows 8.1.

        Qu’en est-il exactement et, que puis-je répondre?
        Merci
        Cordialement

      • Salut Cri-cri56! http://lesmoutonsenrages.fr/wp-content/plugins/wp-monalisa/icons/wpml_bye.gif
        Si Windows Defender est activé dans Windows 8.1 pas de problème, mais il est souvent désactivé lors de l’installation d’un autre antivirus ou pour l’utilisation de logiciels tiers.
        Si ton ami veut en savoir plus sur le mécanisme de protection de Windows Defender dans W 8.1 tu peux lui fournir ce lien. https://msdn.microsoft.com/fr-fr/library/windows/desktop/dn313124(v=vs.85)

      • KromoZom

        Sous *nux, il y a unetbootin

      • Libertaire22170

        tout à fait mais je n’ai jamais réussi à faire une clé bootable pour linux mint avec unetbootin :(

      • KromoZom

        J’ai pas testé mais pareil rufus tourne avec wine

        Il semblerait que oui

        https://appdb.winehq.org/objectManager.php?sClass=version&iId=31164

      • Libertaire22170

        Oui j’avais testé il me semble mais j’arrivais pas à lui faire détecter ma clé USB. cela dit je viens d’apprendre une manip qui permettrait de la faire reconnaître par wine, faut que je teste. http://lesmoutonsenrages.fr/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif

      • J’ai décortiqué unetbootin et il y a un bug. Unetbootin existe aussi sous doz, et tous les deux ont le meme problème.

        J’y ai passé deux jours a lire les sources, merci les gougnafiers. C’est programmé avec les pieds.

      • Libertaire22170

        Faut bien faire bosser les développeurs manchots http://lesmoutonsenrages.fr/wp-content/plugins/wp-monalisa/icons/wpml_yahoo.gif

  • Balou

    MALWAREBYTES 3.0 : Plus fort, plus intelligent

    Rend les antivirus obsolètes

    Quatre couches de protection contre les malwares. Une détection plus intelligente. Une protection spécialement conçue contre les ransomwares. C’est la sécurité que vous recherchiez.

    https://fr.malwarebytes.com/

    • KromoZom

      Dans le cadre de mon activité, j’aime vraiment bien Malwarebytes et je l’utilise chaque jour, un outils puissant
      Mais visiblement, il est concerné par la faille.
      Ceci dit, les équipes de Malwarebytes sont réactive, ils ont d’ailleurs « récupéré/racheté » l’excellent ADWcleaner (un dev frenchie, je crois)

      • Balou

        A ce que j’ai cru comprendre, les fichiers .dll de Windows pourraient être remplacés à cause de cette faille. Ça peut toucher indirectement toutes les applications qui utilisent des API présentes dans ces DLL. Le système a une faille, mais un système d’exploitation n’est pas conçu à l’origine pour être un système inviolable. C’est pourquoi Malwarebytes a un marché en or, qu’il satisfait pleinement depuis de nombreuses années. Je l’utilise depuis cinq ans sans aucun antivirus. No problem. Les mises à jour s’installent de façon totalement transparente. Le correctif concernant «DoubleAgent» est déjà actif sur mes pc. Je ne connais pas de produit plus efficace et rapide dans cette catégorie..https://lesmoutonsenrages.fr/wp-content/plugins/wp-monalisa/icons/wpml_yahoo.gif

  • MiracleBoy

    ça veut surtout dire que aujourd’hui plus personne n’est protégé par windows , et donc ça veut dire que n’importe qui peut avoir accès à vos mots de passe bitcoin , banquaires et autres qui protègent votre argent ..
    donc ça veut dire que n’importe qui aujourd’hui à les moyens de pirater une banque !! ou un particulier mal protégé..

    Excusez moi mais je pense que la plupart des gens n’ont pas conscience de la gravité des choses .. sans parler des codes d’accés sur les iphones qui eux aussi sont reliés sur le réseau .. vous pensez vraiment que tout le monde a un système en plaqué or linux ou quoi .. 90% des transactions banquaires sont a présent non protégées en gros ?? je vais aller me procurer ce double agent !!

    • Balou

      Fais-moi un double si tu trouves la clé du coffre..https://lesmoutonsenrages.fr/wp-content/plugins/wp-monalisa/icons/wpml_wink.gif

    • KromoZom

      Personne n’a jamais était « protégé » par quelque système d’exploitation que ce soit, même un OS comme Tail sera et restera faillible.
      La sécurité informatique est une chimère, quelque soit la plateforme

      • MiracleBoy

        si la sécurité informatique existe pour celui qui possède la sécurité de chiffrement . celle ci par contre est repoussée chaque jour par la puissance cumulée des millions d’ordinateurs reliés à travers le monde .. qui sont capables de cracker les mots de passe en quelques jours .. donc je dirais que celui qui possède la plus forte puissance informatique cumulée possède le monde ^^ mais c’est relatif car aujourd’hui les systèmes sont protégés en nombre d’essais simultanés ..

    • Les serveurs des banques sont sous linux.
      Pas folles les guêpes. Sous CentOs pour certaines dont BNP .
      Et dans tous les cas les cœurs de réseaux sont des routeurs Cisco.