TrendMicro : Mutation d’un antivirus en outil d’attaque XAS ...


 

F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Période d'essai gratuite de 15 jours

Par Marc Olanié (R&T) - Décapante lecture, ce vendredi matin, que celle, une fois de plus, de http-equiv qui vulgarise la notion de « cross application scripting ». La « victime » de sa démonstration est, une fois de plus, Internet Explorer avec, en « gest star » cette fois, l’antivirus de Trend Micro, et plus précisément explique l’auteur, le « Trend Micro Internet Security model no. 1120 1311 engine ». Pour sa démonstration, http-equiv utilise la signature générique « eicar » et exploite le script de notification html de l’antivirus. Ah, que l’exploitation d’un contexte privilégié est une chose intéressante. Ce n’est là bien entendu qu’un hack, qu’une preuve de faisabilité délicate à « industrialiser » sous forme de virus, mais …

 

Pour l’heure, les auteurs de virus continuent d’exploiter des filières que l’on pourrait considérer comme conventionnelles. Rares –mais des témoignages existent-, rares donc sont les schémas d’attaques automatisées cherchant à exploiter les propriétés de diffusion d’un outil possédant des privilèges élevés. Un antivirus par exemple, mais également un outil de balayage de base de registre, un distributeur d’agents sur réseau, un serveur de déploiement (le jour ou une faille majeure frappera SUServeur, ça fera du bruit) ou un site de mise à jour, façon Windows Update ou LiveUpdate. Certes, ce sont là des passerelles placées sous très haute surveillance, mais l’absolue sécurité n’étant pas de ce monde …

Par Marc Olanié (R&T)     
 

 F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits