Divulgation d’une vulnérabilité permettant de supprimer des fichiers arbitraires avec la plupart des antivirus

Une vulnérabilité permettant de supprimer des fichiers arbitraires en détournant le mécanisme par lequel les antivirus mettent en quarantaine les fichiers malveillants a été dévoilée. (En anglais) Cette vulnérabilité a été découverte à l’automne 2018 par l’équipe sécurité de l’hébergeur RACK911, et les principaux éditeurs d’antivirus l’ont depuis corrigée.

Cette vulnérabilité repose essentiellement sur le fait qu’il existe un léger délai entre le moment où la fonction de surveillance en temps réel de l’antivirus détecte un fichier malveillant et celui où elle le met effectivement en quarantaine, ainsi que sur l’exploitation des mécanismes de liaison de fichiers/répertoires du système de fichiers (symbolic link sous Linux ou macOS, Directory Junction sous Windows). En termes simples, il suffit de préparer un fichier qui déclenche volontairement la surveillance en temps réel de l’antivirus (par exemple un fichier de test EICAR), puis, dès que l’antivirus le détecte, de le remplacer discrètement avant sa mise en quarantaine par un lien symbolique vers le fichier que l’on souhaite supprimer. L’antivirus déplace alors en quarantaine un fichier pourtant sain. Si ce fichier mis en quarantaine est un fichier critique du système d’exploitation, cela peut conduire à une attaque par déni de service contre le système ; s’il s’agit d’un fichier nécessaire au fonctionnement de l’antivirus, c’est le système de sécurité lui-même qui se retrouve neutralisé. La synchronisation est importante dans cette technique, mais il semble qu’elle pouvait réussir suffisamment bien même avec de simples répétitions via un fichier batch.

Vidéo de preuve de concept pour Windows :

https://www.youtube.com/watch?v=MblUiyazdAc

Vidéo de preuve de concept pour macOS :

https://www.youtube.com/watch?v=iVC_QJLOVt8