La société de sécurité Bromium Labs a découvert un moyen d’utiliser un ancien exploit du noyau Windows pour contourner les logiciels anti-malware et autres logiciels de sécurité populaires.

Cette méthode, connue sous le nom d’attaques par couche sur couche (LOL), permet aux pirates de contourner plusieurs couches de sécurité en un seul coup, sans que personne n’en soit averti..

Cette technique concerne les sandbox d’application, les logiciels antivirus, les détecteurs de rootkit, les systèmes de prévention des intrusions sur l’hôte (HIPS), le kit EMET (Enhanced Mitigation Experience Toolkit) et la prévention SMEP (Supervisor Mode Execution Prevention), même s’ils sont superposés. L'exploit va les désactiver ou les contourner complètement.

L’attaque tire parti de la vulnérabilité du noyau Windows EPATHOBJ, découverte l’année dernière et largement ignorée..

En exploitant cette vulnérabilité, un pirate informatique dispose des privilèges nécessaires pour désactiver ou perturber la sécurité. Les logiciels malveillants peuvent alors être exécutés librement. Pire encore, le pirate informatique passe inaperçu.

Intégrité du noyau

Bromium présentera ses découvertes à Infosecurity Europe et à BSides London, avec une démonstration du fonctionnement de l'exploit.

La société affirme que même les approches en couches en matière de sécurité, préconisées par de nombreux professionnels de la sécurité de haut niveau, présentent des faiblesses. Il indique que pratiquement toutes les technologies d'extrémité reposent sur l'intégrité du noyau..

"Tandis que beaucoup étaient au courant de la découverte du rootkit TDL4 censément utilisé du code d'exploitation du noyau à la fin de l'année dernière, peu y ont prêté une attention sérieuse. Et ce fut une énorme erreur de jugement", a déclaré Rahul Kashyap, responsable de la sécurité. Recherche à Bromium.

"Nous discutons du fait que de telles vulnérabilités peuvent s'avérer mortelles pour la sécurité de l'entreprise et risquent de passer inaperçues pendant de longues périodes. En modifiant simplement cet exploit, nous avons découvert que nous pouvions contourner les différentes couches de logiciels de sécurité qu'une entreprise pourrait déployer sur une machine. utilisateur final. "

Bromium pense que les millions de lignes de code contenues dans le noyau Windows contiennent de nombreuses vulnérabilités «jour zéro»..

  • Comment sécuriser Windows 8