{"id":507784,"date":"2022-12-12T18:16:47","date_gmt":"2022-12-12T20:16:47","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-demontrent-comment-ledr-et-lantivirus-peuvent-etre-utilises-contre-les-utilisateurs\/"},"modified":"2022-12-12T18:16:49","modified_gmt":"2022-12-12T20:16:49","slug":"des-chercheurs-demontrent-comment-ledr-et-lantivirus-peuvent-etre-utilises-contre-les-utilisateurs","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-demontrent-comment-ledr-et-lantivirus-peuvent-etre-utilises-contre-les-utilisateurs\/","title":{"rendered":"Des chercheurs d\u00e9montrent comment l&#8217;EDR et l&#8217;antivirus peuvent \u00eatre utilis\u00e9s contre les utilisateurs"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">D\u00e9tection des terminaux \/ S\u00e9curit\u00e9 des donn\u00e9es<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 tr\u00e8s graves ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es dans diff\u00e9rents produits de d\u00e9tection et de r\u00e9ponse aux terminaux (EDR) et antivirus (AV) qui pourraient \u00eatre exploit\u00e9es pour les transformer en effaceurs de donn\u00e9es.<\/p>\n<p>&#8220;Cet essuie-glace fonctionne avec les autorisations d&#8217;un utilisateur non privil\u00e9gi\u00e9, mais a la capacit\u00e9 d&#8217;effacer presque tous les fichiers d&#8217;un syst\u00e8me, y compris les fichiers syst\u00e8me, et de rendre un ordinateur compl\u00e8tement impossible \u00e0 d\u00e9marrer&#8221;, a d\u00e9clar\u00e9 Or Yair, chercheur chez SafeBreach Labs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.safebreach.com\/resources\/blog\/safebreach-labs-researcher-discovers-multiple-zero-day-vulnerabilities\/\" target=\"_blank\">a dit<\/a>.  &#8220;Il fait tout cela sans impl\u00e9menter de code qui touche les fichiers cibles, ce qui le rend totalement ind\u00e9tectable.&#8221;<\/p>\n<p>Les logiciels EDR, de par leur conception, sont capables d&#8217;analyser en permanence une machine \u00e0 la recherche de fichiers potentiellement suspects et malveillants, et de prendre les mesures appropri\u00e9es, telles que les supprimer ou les mettre en quarantaine.<\/p>\n<p>L&#8217;id\u00e9e, en un mot, est de tromper les produits de s\u00e9curit\u00e9 vuln\u00e9rables en supprimant les fichiers et r\u00e9pertoires l\u00e9gitimes du syst\u00e8me et de rendre la machine inutilisable en utilisant des chemins sp\u00e9cialement con\u00e7us.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dAppSync-dans-Amazon-Web.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ceci est r\u00e9alis\u00e9 en profitant de ce qu&#8217;on appelle un <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/fileio\/hard-links-and-junctions\" target=\"_blank\">point de jonction<\/a> (aka soft link), o\u00f9 un r\u00e9pertoire sert d&#8217;alias \u00e0 un autre r\u00e9pertoire sur l&#8217;ordinateur.<\/p>\n<p>Autrement dit, entre la fen\u00eatre dans laquelle le logiciel EDR identifie un fichier comme malveillant et tente de supprimer le fichier du syst\u00e8me, l&#8217;attaquant utilise une jonction pour pointer le logiciel vers un chemin diff\u00e9rent, comme le lecteur C:.<\/p>\n<p>L&#8217;approche, cependant, n&#8217;a pas entra\u00een\u00e9 d&#8217;effacement, car les EDR ont emp\u00each\u00e9 tout acc\u00e8s ult\u00e9rieur \u00e0 un fichier apr\u00e8s qu&#8217;il a \u00e9t\u00e9 signal\u00e9 comme malveillant.  De plus, si le fichier malveillant \u00e9tait supprim\u00e9 par l&#8217;utilisateur, le logiciel \u00e9tait assez intelligent pour d\u00e9tecter la suppression et s&#8217;emp\u00eacher d&#8217;agir dessus.<\/p>\n<p>La solution ultime est arriv\u00e9e sous la forme d&#8217;un outil d&#8217;essuyage, surnomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/SafeBreach-Labs\/aikido_wiper\" target=\"_blank\">A\u00efkido<\/a>qui d\u00e9clenche la suppression privil\u00e9gi\u00e9e en cr\u00e9ant un fichier malveillant dans un r\u00e9pertoire leurre et en ne lui accordant aucune autorisation, obligeant les EDR \u00e0 reporter la suppression jusqu&#8217;au prochain red\u00e9marrage.<\/p>\n<p>Compte tenu de ce nouvel intervalle d&#8217;attaque, tout ce qu&#8217;un adversaire a \u00e0 faire est de supprimer le r\u00e9pertoire contenant le fichier malveillant, de cr\u00e9er une jonction pour pointer vers le r\u00e9pertoire cible \u00e0 supprimer et de red\u00e9marrer le syst\u00e8me.<\/p>\n<p>Une militarisation r\u00e9ussie de la technique pourrait entra\u00eener la suppression de fichiers syst\u00e8me tels que des pilotes, emp\u00eachant le d\u00e9marrage du syst\u00e8me d&#8217;exploitation.  Il peut \u00e9galement \u00eatre abus\u00e9 pour supprimer tous les fichiers des r\u00e9pertoires des utilisateurs administrateurs.<\/p>\n<p>Sur 11 produits de s\u00e9curit\u00e9 test\u00e9s, six se sont r\u00e9v\u00e9l\u00e9s vuln\u00e9rables \u00e0 l&#8217;exploit d&#8217;effacement du jour z\u00e9ro, incitant les fournisseurs \u00e0 publier des mises \u00e0 jour pour rem\u00e9dier \u00e0 la lacune &#8211;<\/p>\n<p>&#8220;L&#8217;essuie-glace ex\u00e9cute ses actions malveillantes en utilisant l&#8217;entit\u00e9 la plus fiable du syst\u00e8me &#8211; l&#8217;EDR ou l&#8217;AV&#8221;, a d\u00e9clar\u00e9 Yair.  &#8220;Les EDR et les AV ne s&#8217;emp\u00eachent pas de supprimer des fichiers.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/researchers-demonstrate-how-edr-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 d\u00e9cembre 2022\ue804Ravie LakshmananD\u00e9tection des terminaux \/ S\u00e9curit\u00e9 des donn\u00e9es Des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 tr\u00e8s graves ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es dans diff\u00e9rents produits de d\u00e9tection et de r\u00e9ponse aux terminaux (EDR) et antivirus (AV) qui pourraient \u00eatre exploit\u00e9es pour les transformer en effaceurs de donn\u00e9es. &#8220;Cet essuie-glace fonctionne avec les autorisations d&#8217;un utilisateur non privil\u00e9gi\u00e9, mais [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":507785,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,767,4168,841,4158,4165,4161,15783,133,1643,4157,4159,4171,4170,28057,131612,65,4167,4160,4163,4162,141,4172,4169,7529,22610,4166,4164],"class_list":["post-507784","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-comment","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-demontrent","tag-des","tag-etre","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lantivirus","tag-ledr","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-peuvent","tag-securite-informatique","tag-securite-internet","tag-utilisateurs","tag-utilises","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/507784","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=507784"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/507784\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/507785"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=507784"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=507784"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=507784"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}