Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

DoubleAgent - Une injection de code indétectable et instoppable par les antivirus

Originally published at: http://korben.info/doubleagent-injection-de-code-indetectable-instoppable-antivirus.html

Une équipe de chercheurs en sécurité israéliens ont découvert une nouvelle faille dans TOUTES les versions de Windows (de XP à Windows 10) qui permet à un attaquant de prendre le contrôle total d’une machine. La faute à une fonctionnalité âgée 15 ans, non documentée, baptisée “Application Verifier”. Il s’agit d’un outil Windows qui charge…

@Korben logiquement, encore une fois cela devrait pouvoir être évité si le compte utilisé n’a pas de droits d’administration ? :smirk:

En effet,après, à voir si il y a moyen de patcher Windows pour éviter ce genre d’utilisation détourné, mais j’en doute.

Donc la meilleure solution, c’est de ne pas avoir de compte admin, mais même, si cet outil est chargé dans un logiciel tout ce qu’il y a de plus normal (donc qu’on souhaite installer), bah on finira par lui donner un accès admin quoi qu’il arrive…

Capte rien à cette News …

Une injection de code indétectable et instoppable par les antivirus
… mais seuls Malwarebytes et AVG ont sorti un patch pour le moment.

Je rêve ou le POC montre que Norton détecte la menace ? …
WTF!

Je comprends pas l’article qui dit d’un côté que toutes les versions de windows sont touchées par cette faille et que d’un autre à partir de windows 8.1 avec Defender, La bascule vers l’archi “Protected Processes” permet d’être protégé.

Peut-on avoir un éclaircissement stp?

Merci

Cette architecture “Protected Processes” à priori permettrait de faire en sorte que seulement du code signé puisse être injecté. Defender a du implémenter cette architecture ce qui le rend insensible à cette attaque (on ne peut pas lui injecter du code non signé) mais je ne crois pas pour autant qu’il puisse détecter ce genre d’attaque sur d’autres programmes. Et comme la plupart de ceux-ci ne sont pas forcément conforme à cette architecture, toutes les version de Windows sont bien vulnérables.

1 J'aime

Je ne suis pas expert, mais ce que je comprends à l’article c’est que tout les OS Windows mettent à disposition l’architecture ’“Application Verifier” et que depuis Windows 8.1 une nouvelle architecture appelée “Protected Processes”, non vulnérable à cette attaque, co-existe avec la première. Par conséquent l’archi “Application Verifier” est une archi “legacy” laissée en place dans le cadre d’une rétro-compatibilité (peut-être pour supporter les modes de lancement introduits sous Windows Vista si je ne me trompe pas). Logiquement, il suffirait d’un patch pour Windows 8.x et supérieur qui désactiverait “Application Verifier” et une campagne de mise à jour vers ces versions de Windows qui n’utiliseraient plus que le “Protected Processes”. Me trompe-je?

J’ai compris comme toi :wink:
Il suffit donc de désactiver Application Verifier, qui ne sert plus à grand chose après Win 8.1…

Si tonton pouvait confirmer ?

1 J'aime

Je viens de tester sur une VM Windows 10.
j’ai pu infecter internet explorer pour qu’il me lance Firefox.

Il suffit d’écrire son code dans DoubleAgentDll/main.c
dans la fonction static BOOL main_DllMainProcessAttach(VOID)

c’est cool.

@DevilGeek Et ô combien effrayant. :cold_sweat:
Est-ce que le hack est si simple ? A-t-on besoin de bonnes compétences pour le faire ou c’est un truc fastoche ?

Information à vérifier, mais il semblerait que “Windows Defender” reste le meilleur système de protection contre ce type d’attaque à attendant que les éditeurs d’antivirus aient mis à jour leur schmilblick :grin:

Le POC est trompeur, mais Korben a très bien écrit sa phrase :
la DLL de DoubleAgent peut se substituer à une DLL de Norton, et substituer des fonctionnalités. Donc, DoubleAgent a modifié l’interface graphique de Norton, c’est un faux écran qui n’indique pas du tout que ça a été détecté par Norton ! Comme Korben le dit plus bas, ils auraient pu se contenter de désactiver Norton, mais non, DoubleAgent affiche ce faux écran.

Pas a jour Korben: (je n’ai pas verifie par une autre source mais tu dois avoir de meilleure sources que nous)