Les anitivirus windows inefficaces contre une nouvelle attaque

Dans un rapport technique, la société Matousec (spécialisée dans la sécurité) présente un nouveau genre d’attaque baptisée KHOBE (Kernel Hook Bypassing Engine) qui permettrait à n’importe quel virus de tromper la vigilance de tous les antivirus Windows. Le fonctionnement est assez vicieux car, il exploite les appels faits au kernel que les antivirus surveillent.

En effet, lorsqu’un virus déboule sous votre ordi, il communique avec Windows au travers de ces appels kernel pour réaliser diverses opérations (lecture, écriture…etc. sur le disque ou en mémoire). Les antivirus du marché sont capables de détecter ces appels et de dégainer leur taser de virus dès que ces appels sont louches et/ou dangereux.

La méthode KHOBE utilise 2 processus pour tromper la vigilance de l’antivirus. Le premier processus lance un appel « sain » au kernel, montrant ainsi patte blanche. L’antivirus s’apprête alors à laisser passer cet appel, sauf que le second processus intervient pile poil à ce moment-là et modifie l’appel à la volée, découvrant ainsi son vrai visage. Sauf qu’il est trop tard, l’antivirus lui a déjà donné un laissez-passer…

Matousec a effectué des tests uniquement sous Windows XP SP3 et Vista SP1 mais affirme que ça fonctionnerait de la même manière sous Windows 7. Il y a néanmoins un doute à ce sujet car pour tester si votre Windows est faillible ou pas à ces attaques, Matousec fournit un outil qui est censé simuler ces attaques sur le kernel (BSODhook) et qui n’a pas fonctionné sur le Windows 7 d'un blogueur sur le site korben, qu’il soit ou non lancé en Administrateur. Peut être que windows 7 est plus sécurisé à ce niveau

Voici la liste des antivirus testés… Et aucun n'a passé le test !

Source

Voici la réponse publiée par un ingénieur (Senior Technical Support Engineer) sur le forum de kaspersky ICI. Il semble qu'ils reconnaissent la vulnérabilité.

Kaspersky Lab comments on a published article concerning SSDT hooks

Kaspersky Lab wishes to respond to issues raised in a recent article published by the Matousec research team. The authors have stated that modern security products use vulnerable kernel mode SSDT hooks which can be exploited to bypass protection.

Kaspersky Lab’s experts have analyzed the published material and concluded that the issue is only linked to certain features of the Company’s products. The System Service Descriptor Table (SSDT) contains the addresses of all of the operating system services and it is important to use SSDT hooks to provide better protection. However Kaspersky Lab products implement not only SSDT hooks, but a wide range of technologies, including secure sandboxing and other methods of restricting suspicious kernel mode activity.

All of today’s security solutions have to work with operating systems, adapting to their specifics and shortcomings.

We thank the Matousec research team for helping us identify the potential problems with our software. We are always working to make our products as effective, secure, and stable as possible.

 

Kaspersky Lab reiterates that it embraces the principles of openness and collaboration with independent researchers working in the field of software vulnerabilities.