Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Vulnérabilités

Уязвимые

D'autres publications de cette rubrique (22)
  • Ajouter aux favoris
    Ajouter aux favoris

L'antivirus gère la défense

Lu par: 21458 Commentaires: 3 Cote de popularité: 9

mercredi 30 août 2017

Microsoft est beaucoup critiqué, pourtant, il ne serait pas juste de dire que la société ignore la critique. La société tente de sécuriser ses systèmes en utilisant des technologies pouvant exclure la possibilité par les pirates de lancer des attaques. Par exemple, les attaques par dépassement de la mémoire tampon (buffer overflow).

Supposons que nous avons un programme auquel certaines données (paramètres de ligne de commande ou informations indiquées par l'utilisateur sur un site web) sont transmises. Ce peut être vos nom et prénom. Il est logique que les deux valeurs ne soient pas trop longues. Puisque c'est ainsi, il est possible de ne pas calculer à chaque fois le volume des données transmises mais d'allouer une zone pour y enregistrer ces données. Cependant, un attaquant peut transmettre des données dont la taille dépasse le volume réservé pour leur stockage. Si le programme ne vérifie pas combien de données ont été transmises en réalité, une fois la zone allouée remplie, la procédure de réception de données continue à enregistrer des données au-delà de l'emplacement alloué, ainsi elle peut écraser des données attenantes ou un code enregistré à côté.

Si le pirate organise ses données d'une manière particulière, il sera en mesure de changer complètement le code du programme.

Le spécialiste de la société One Up Security, Justin Taft, a détecté une vulnérabilité au sein de Source SDK de Valve. Le chercheur écrit que la vulnérabilité dans le moteur de Source touche les jeux populaires tels que Counter Strike, Global Offensive, Team Fortress 2, Left 4 dead 2 (Portal 2).

Les jeux utilisant le moteur Source exploitent Source SDK afin que les sociétés tierces et les développeurs indépendants puissent créer leurs propres modes personnalisés. De plus, les fichiers des cartes pour le moteur Source permettent aux développeurs d'ajouter du contenu personnalisé qui est chargé avec la carte.

La racine du problème réside dans le dépassement de la mémoire tampon (buffer overflow). En utilisant la vulnérabilité, il est possible de lancer n'importe quel code sur le côté client ou serveur. A titre d'exemple, pour expliquer comment le bogue peut être exploité, Taft donne le cas suivant : si vous créez un modèle de cadavre dans le jeu et que ce modèle est à télécharger après la mort d'un personnage de jeu, ce modèle peut être associé au téléchargement de tout code malveillant. Comme on le voit sur le fichier GIF ci-dessous, la mort d'un joueur dans TF2 entraîne l'exécution d'instructions malveillantes.

#drweb

Le chercheur affirme que les développeurs de Valve ont résolu le problème en juin 2017, et ont demandé aux développeurs de modes de mettre à jour Steam Source SDK vers la version actuelle, en installant ce patch.

Taft n'a pas encore publié le proof-of-concept de l'exploit, car il préfère donner aux développeurs plus de temps pour installer la mise à jour de correction. Cependant, d'ici quelques jours, l'exploit sera publié ici.

https://xakep.ru/2017/07/21/valve-source-bug

Malheureusement, malgré le fait que ce type d'attaque est largement connu, beaucoup de programmes n'ont pas de protection contre cette menace.

Un autre type d'attaque est une attaque par la réécriture de données: il s'agit d'enregistrer un code dans une zone allouée pour les données puis de lui passer le contrôle. Dans ce cas, la partie principale du programme ne change pas.

Pour la protection contre ce type d'attaque, Microsoft a développé une technologie spéciale - DEP. Lorsque cette technologie est utilisée, les endroits alloués pour les données sont marqués comme "non exécutables" (NX). Si une application tente d'exécuter un code à partir du segment de mémoire ayant le tag NX, le mécanisme DEP interdit cette action.

La prise en charge de DEP est ajoutée à Windows à partir des versions XP SP2, Server 2003 SP1 et 2003 R2. Il existe deux types d’utilisation de DEP: au niveau hardware (niveau des processeurs) et au niveau logiciel.

Pour savoir si votre système prend en charge le niveau hardware, dans le Panneau de configuration, ouvrez les paramètres de performances, puis allez dans l'onglet Prévention de l'exécution des données.

#drweb

En bas de la fenêtre de configuration du service DEP, vous pouvez indiquer le type d’utilisation du service.

DEP prend en charge deux niveaux de protection:

  1. le premier niveau ne protège que le code système et le code exécutable de Windows.
  2. Le deuxième niveau protège tout le code exécutable dans le système. Les mécanismes DEP s’appliquent au code système de Windows ainsi qu'aux applications de la société ou d’éditeurs tiers.

Les administrateurs peuvent configurer les niveaux de protection à l'aide de l’écran du service DEP.

Pour vérifier si une application est protégée, ouvrez le Gestionnaire des tâches et personnalisez l'affichage de la colonne Prévention de l’exécution des données.

#drweb

Est-ce une victoire ? Pas encore.

DEP ne sait pas qui a tenté d’exécuter un code depuis la zone de données: un attaquant ou le programme lui-même, qui réagit automatiquement en s'arrêtant. Ainsi, les cybercriminels peuvent effectuer une attaque par déni de service. En imitant une tentative d'exécuter un code dans la zone de données, ils provoquent le système de sorte qu'il termine le programme.

Un fait peu connu. Les premiers antivirus contenaient des descriptions de virus directement dans leur logiciel. Mais la croissance du nombre de virus a conduit au déplacement des descriptions vers une base de données virales séparée. La nécessite de mises à jour continues a causé le besoin de mettre à jour cette base virale en écrasant les données obsolètes. Tout le monde sait que l'antivirus garde sa base de données virales en mémoire. Mais comment sont-elles organisées ? Une zone de données est allouée et les signatures et le code du moteur heuristique y sont enregistrés. C'est depuis cette zone que le code des bases de données est exécuté. Les programmes antivirus appartiennent à un petit nombre de programmes qui autorisent l'exécution du code depuis la zone de données, car ils ne peuvent pas fonctionner autrement.

Le projet Lumières sur la sécurité recommande

Malgré les progrès constants des technologies de protection contre les attaques, l'antivirus reste indispensable. DEP peut garantir qu'un programme va fonctionner de la façon prévue par ses développeurs mais l'antivirus seul peut empêcher les attaques ciblant ce programme.

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs

Commentaires sur d'autres publication | Mes commentaires