De nombreux logiciels antivirus populaires tels que Microsoft, SentinelOne, TrendMicro, Avast et AVG peuvent être exploités pour leurs capacités de suppression de données, a affirmé un chercheur de haut niveau en cybersécurité.
Dans un document de preuve de concept (s’ouvre dans un nouvel onglet) surnommé « Aikido », Or Yair, qui travaille pour la société de cybersécurité SafeBreach, a expliqué comment l’exploit fonctionne via ce que l’on appelle une vulnérabilité du temps de vérification au temps d’utilisation (TOCTOU).
Notamment, dans les arts martiaux, l’aïkido fait référence à un style japonais où le pratiquant cherche à utiliser le mouvement et la force de l’adversaire contre lui-même.
Comment ça marche?
La vulnérabilité peut être utilisée pour faciliter une variété de cyber-attaques connues sous le nom de « Wipers » selon Yair, qui sont couramment utilisées dans des situations de guerre offensive.
En cybersécurité, un essuie-glace est une classe de logiciels malveillants visant à effacer le disque dur de l’ordinateur qu’il infecte, en supprimant de manière malveillante des données et des programmes.
Selon le diaporama, l’exploit redirige la « superpuissance » du logiciel de détection des terminaux pour « supprimer n’importe quel fichier, quels que soient les privilèges ».
Le processus complet décrit impliquait la création d’un fichier malveillant dans « C:tempWindowsSystem32driversndis.sys ».
Ceci est suivi en tenant sa poignée et en forçant « l’AV/EDR à reporter la suppression jusqu’au prochain redémarrage ».
Ceci est suivi de la suppression du « répertoire C:temp » et de la « création d’une jonction dans C:temp –> C: », suivi du redémarrage de la machine.
Seules certaines des marques d’antivirus les plus populaires ont été impactées, environ 50% selon Yair.
Selon un diaporama préparé par le chercheur, Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus et AVG Antivirus faisaient partie des personnes affectées par la vulnérabilité.
Heureusement pour certains, des produits tels que Palo Alto, XDR, Cylance, CrowdStrike, McAfee et BitDefender sont restés indemnes.
- Intéressé par la mise à jour de vos outils de cybersécurité ? Consultez notre guide des meilleurs outils de suppression de logiciels malveillants