Les antivirus peuvent être détournés pour effacer vos données

Une image abstraite d'une loupe sur un nuage numérique.
(Crédit photo: Shutterstock/Illus_man)

Selon un chercheur en cybersécurité, de nombreux logiciels antivirus populaires tels que Microsoft, SentinelOne, TrendMicro, Avast et AVG peuvent être exploités pour leurs capacités de suppression de données.

Dans un document (s'ouvre dans un nouvel onglet) de démonstration de faisabilité baptisé "Aikido", Or Yair, qui travaille pour la société de cybersécurité SafeBreach, explique comment l'exploitation fonctionne via ce que l'on appelle une vulnérabilité TOCTOU (time-of-check to time-of-use).

Dans le domaine des arts martiaux, l'aïkido fait référence à un style japonais dans lequel le pratiquant cherche à utiliser le mouvement et la force de son adversaire contre lui-même.

Comment cela fonctionne ?

Selon Yair, cette vulnérabilité peut être utilisée pour faciliter une série de cyber-attaques connues sous le nom de "Wipers", qui sont couramment utilisées dans des contextes de guerre offensive.

En cybersécurité, un wiper est une classe de logiciels malveillants visant à effacer le disque dur de l'ordinateur qu'il infecte, en supprimant de façon malveillante les données et les programmes.

Selon le diaporama, l'exploit redirige la "superpuissance" du logiciel de détection des terminaux pour "supprimer n'importe quel fichier, quels que soient les privilèges".

Le processus complet décrit implique la création d'un fichier malveillant dans "C:\temp\Windows\System32\drivers\ndis.sys".

Il faut ensuite conserver son identifiant et forcer "l'AV/EDR à reporter la suppression jusqu'au prochain redémarrage".

Ensuite, vous supprimez le "répertoire C:\temp" et "créez une jonction dans C:\temp --> C:\", puis vous redémarrez la machine. 

Seules certaines des marques d'antivirus les plus populaires ont été touchées, environ 50% selon Yair.

Selon un diaporama préparé par le chercheur, Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus et AVG Antivirus sont quelques-uns des produits touchés par la vulnérabilité. 

Heureusement pour certains, des produits tels que Palo Alto, XDR, Cylance, CrowdStrike, McAfee, et BitDefender ont été épargnés. 

Will McCurdy has been writing about technology for over five years. He has a wide range of specialities including cybersecurity, fintech, cryptocurrencies, blockchain, cloud computing, payments, artificial intelligence, retail technology, and venture capital investment. He has previously written for AltFi, FStech, Retail Systems, and National Technology News and is an experienced podcast and webinar host, as well as an avid long-form feature writer.