Des hackers ont trouvé une faille de sécurité importante présente dans la plupart des antivirus sur Windows. Ils ont réussi à manipuler une commande du logiciel de protection pour exécuter des fichiers malveillants .
La règle de sécurité la plus importante quand on navigue sur internet est d’avoir un antivirus installé sur son ordinateur. Ce type de logiciel est sans arrêt mis à jour et perfectionné pour détecter les menaces le plus rapidement possible après leur découverte. Aujourd’hui, les hackers ont trouvé une vulnérabilité au sein même du processus de fonctionnement des antivirus. Lorsque le programme détecte un fichier dangereux sur l’ordinateur, il le déplace dans un dossier sécurisé pour qu’il ne soit pas exécuté. Il s’agit du fameux dossier quarantaine.
L’exploit appelé AVGater, est basé sur l’exécution de la commande permettant de retirer un fichier du dossier quarantaine. Une fonctionnalité qui est disponible pour la plupart des antivirus existant aujourd’hui. En temps normal, seul un utilisateur possédant les droits administrateurs peut réaliser cette action. Face à cela, les hackers ont trouvé une alternative. Ils utilisent une fonction NTFS de Windows pour escalader les droits et accéder au dossier. Il ne leur reste plus qu’à déplacer le fichier dans un répertoire où il pourra être exécuté pour réaliser une attaque.
Voici une vidéo qui explique rapidement le fonctionnement de l’attaque :
Pour réaliser cet exploit, il faut avoir un accès physique à la machine. Un détail qui réduit considérablement sa portée quand on sait que la plupart des virus proviennent d’internet. Il n’y a donc pas de raison de s’inquiéter face à cette découverte, en tout cas pas plus que d’habitude. De plus, il est facile de se protéger de cet exploit. Il suffit simplement de désactiver la fonction de votre antivirus qui permet de déplacer un fichier de quarantaine.
Pensez à le mettre régulièrement à jour pour éviter de rester vulnérable aux attaques.
