Les chercheurs en sécurité basés à Las Vegas au Rack911 Labs méritent d'être mieux connus. Depuis 2018, ils explorent les liens symboliques entre les fichiers, une fonctionnalité qui vous permet de créer un fichier qui pointe vers un autre fichier. Cette technique assez basique se retrouve sur tous les principaux systèmes d'exploitation. En le combinant avec un logiciel antivirus, les experts ont découvert des lacunes intéressantes.
Le logiciel antivirus exécute généralement ses analyses de fichiers avec des privilèges d'administrateur. S'ils trouvent un fichier malveillant, il est supprimé ou mis en quarantaine. Mais il y a toujours un certain temps entre la détection et la suppression. Les chercheurs de Rack911 Labs ont découvert qu'il était parfois possible pendant cette période de créer un lien symbolique du fichier malveillant vers un autre fichier sur l'ordinateur. Antivirus supprime ensuite ce fichier, quelle que soit sa protection d'accès.
Par conséquent, il suffit qu'un pirate infiltre un système et supprime un fichier de test malveillant pour pouvoir supprimer n'importe quel fichier avec l'aide antivirus involontaire. Par exemple, il pourrait pointer vers des fichiers antivirus, les désactivant ainsi. Il peut également pointer vers des fichiers importants du système d'exploitation pour bloquer la machine.
Ces attaques destructrices ont fonctionné sur Windows ainsi que Linux et macOS. Les chercheurs ont également mis en ligne six vidéos de démonstration pour le prouver sur YouTube.
Ce qui est encore plus étonnant, c'est que presque tous les antivirus étaient vulnérables à ce type de bogue: Kaspersky, McAfee, Eset, Bitdefender, Avira, F-Secure, Sophos, Microsoft, WebRoot, Comodo, FireEye, Panda, Norton, Avast, etc. "La plupart des sociétés d'antivirus ont mis à jour leurs produits à quelques exceptions malheureuses", déclarent les chercheurs de Rack911 Labs sans préciser lesquels.
Cependant, ils ne sont pas seuls à explorer ce domaine. Des chercheurs en sécurité de la société française Almond ont également trouvé des erreurs de ce type, mais limitées au système Windows. Parmi les produits épinglés figurent McAfee, Symantec, Pulse et F-Secure. Bref, c'est un sujet majeur qui montre encore une fois qu'il est risqué de donner trop de privilèges à certains logiciels ... dont l'antivirus.LIEN