Hier, Symantec a publié en urgence un patch pour tous ses antivirus, qu’il s’agisse des produits grand public (Norton) ou entreprise (Email Security, Scan Engine, Endpoint Protection). Il y a une dizaine de jours en effet, le chercheur en sécurité Tavis Ormandy du Google Project Zero a mis la main sur une faille critique dans le moteur antivirus que l’éditeur utilise dans tous ses produits. Il a découvert qu’il était possible de provoquer un dépassement de mémoire tampon lors de la phase de scan d’un fichier exécutable lorsque les entêtes de ce dernier sont mal formées.
Ce qui rend cette faille si critique, c’est que son exploitation peut donner accès aux privilèges administrateur de la machine, car le moteur antivirus s’exécute au sein du noyau du système d’exploitation. Un attaquant pourrait donc exécuter n’importe quel code à distance sur une machine. Tavis Ormandy ne s’est pas privé d’un tweet moqueur à ce sujet.
Kernel memory corruption in Symantec/Norton antivirus, CVE-2016-2208 (more patches soon). https://t.co/Sqhm0a48Fp pic.twitter.com/F22xDIelSU
— Tavis Ormandy (@taviso) May 17, 2016
Autre détail intéressant : si l’attaquant envoie son exécutable piégé par email, il n’est pas nécessaire que le destinataire clique dessus, car le moteur antivirus va automatiquement examiner la pièce jointe reçue. L’attaquant peut également proposer son fichier piégé au travers d’un lien de téléchargement sur un page web. Il suffit, dans ce cas, que l’utilisateur clique sur le lien pour provoquer le dysfonctionnement. Enfin, cette faille fonctionne pour n’importe quelle extension de fichier et sur toutes les plateformes (Windows, Mac, Linux, Unix).
Ce n’est qu’un début
Le patch fourni par Symantec est disponible automatiquement, via le système de mise à jour LiveUpdate. Pour autant, les utilisateurs n’ont pas de quoi sauter de joie. Sur Twitter, Tavis Ormandy explique avoir trouvé 7 ou 8 autres failles dans les antivirus de Symantec, permettant d’exécuter du code à distance avec les privilèges d’accès de l’utilisateur. Malheureusement, elles ne peuvent pas être corrigées par LiveUpdate mais nécessitent l’installation de patchs à la main… quand ceux-ci seront disponibles.
Most of them, 7 or 8 I think. They have a bunch of AV products that are not going to be easy to patch, like Protection Engine.
— Tavis Ormandy (@taviso) May 16, 2016
Sources :
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
