Un problème de 17 ans dans le noyau Windows peut empêcher la détection de logiciels malveillants
De nos jours, les applications et, surtout, les systèmes d’exploitation, sont si complexes qu’ils sont pratiquement sûrs à 100% et que parmi les millions de lignes de code, aucune erreur ne peut causer de problèmes. Certains bogues peuvent être simplement ennuyeux et provoquer des plantages, mais d’autres, les vulnérabilités connues, peuvent être beaucoup plus dangereuses et provoquer, par exemple, exécuter du code dans la mémoire de l’ordinateur ou, comme vous venez de le découvrir dans le noyau Windows , éviter que l’antivirus puisse détecter les logiciels malveillants en les faisant passer pour des «logiciels de confiance».
Il y a quelques heures, une faille de sécurité a été révélée dans PsSetLoadImageNotifyRoutine, une routine incluse dans le noyau Windows qui, si elle est correctement exploitée, peut empêcher un antivirus utilisant cette routine de détecter les logiciels malveillants, lui permettant de fonctionner sur le système sans problème.
Ce mécanisme a été introduit pour permettre aux développeurs de pilotes d’informer le système des nouveaux pilotes installés sur l’ordinateur, leur donnant ainsi le plus haut niveau de privilèges et évitant les problèmes. Comme cette technique a accès à absolument tout le système , y compris la mémoire virtuelle et les images PE, de nombreux antivirus utilisent ce mécanisme pour détecter les opérations malveillantes et obtenir des privilèges sur les systèmes, cependant, ce mécanisme peut également être utilisé par les pirates pour cacher les logiciels malveillants.
PsSetLoadImageNotifyRoutine fonctionne à un niveau très bas dans le système d’exploitation, et est souvent utilisé pour identifier quand le code est chargé à la fois dans le noyau et dans l’espace mémoire de l’utilisateur. Par conséquent, si un pirate parvient à exploiter cette faille de sécurité, il peut faire passer les logiciels malveillants comme un «processus légitime» et tromper ainsi les logiciels antivirus.
Pour Microsoft, ce n’est pas une faille de sécurité, et il n’a pas l’intention de le corriger
Paraphrasant l’expression bien connue «ce n’est pas un bogue, c’est une fonctionnalité», les experts en sécurité qui ont trouvé cette faille potentiellement dangereuse et l’ont signalée à Microsoft afin que l’entreprise puisse la corriger ont constaté que les responsables de MSRC (Microsoft Security Response Center) ont affirmé qu’il ne s’agissait pas d’une faille de sécurité .
Comme nous l’avons dit, cette faille de sécurité existe depuis Windows 2000 et, semble-t-il, continuera avec nous encore plus longtemps, puisque Microsoft n’a pas l’intention de résoudre ce problème. Toutes les versions de Windows, de 2000 au nouveau Windows 10, sont vulnérables, comme l’a montré l’expert en sécurité.
Si nous voulons savoir en détail comment ce mécanisme fonctionne pour en comprendre les dangers, nous vous recommandons de lire l’article suivant où il explique comment fonctionne PsSetLoadImageNotifyRoutine, à quoi il sert et comment il peut être utilisé pour compromettre n’importe quelle version de Windows.
Heureusement, pour le moment, il n’y a aucune preuve qu’un pirate informatique utilise cette technique pour cacher son malware, bien que ce ne soit qu’une question de temps, surtout maintenant que la vulnérabilité a été révélée.
Que pensez-vous de cette faille de sécurité? Pensez-vous que, même s’il n’y a pas de preuve d’utilisation, Microsoft devrait y remédier?
