Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Bitdefender Hypervisor Introspection, une solution contre l’AtomBombing Windows

novembre 2016 par Marc Jacob

Un nouveau type d’attaque utilisant un mécanisme Windows légitime plutôt que des vulnérabilités dans le code, a été découvert par des chercheurs en sécurité. Ce code malveillant peut potentiellement être utilisé pour mener à bien des attaques par injection de code, qui passeraient complètement inaperçues des logiciels de sécurité traditionnels.

Plus grave encore, non seulement toutes les versions de Windows sont vulnérables à ce type d’attaque, y compris Windows 10, mais en plus, celles-ci ne peuvent même pas être corrigées, car le mécanisme identifié est considéré comme un défaut de conception. Les chercheurs en sécurité de Microsoft recommandent aux entreprises de considérer que leur sécurité pourrait déjà être compromise, et conseillent aux utilisateurs d’adopter les bonnes pratiques du Web et d’éviter de cliquer sur des URL suspectes ou de télécharger des fichiers inconnus.
Bien que l’attaque doive être déployée sur chaque ordinateur au sein des entreprises, le fait qu’elle puisse contourner les solutions de sécurité traditionnelles en fait un outil particulièrement attrayant pour les cybercriminels. Si l’on considère que les APT (Advanced Persistent Threats) n’ont besoin de compromettre la sécurité que d’une seule cible au sein d’une entreprise, cette méthode de déploiement furtif d’outils d’exfiltration de données fait d’AtomBombing un nouveau vecteur d’attaque fortement susceptible d’être utilisé en conditions réelles par les cybercriminels.

Comme les niveaux de détection des outils de sécurité traditionnels des endpoints sont contournés par cette technique, seule une approche permettant de se placer en dehors du périmètre du système d’exploitation, telle que l’introspection basée sur l’hyperviseur, peut permettre de neutraliser les exploits d’AtomBombing au niveau de la mémoire raw.

Description du défaut de conception

Les Atom Tables Windows sont responsables du stockage de chaînes de caractères et de leurs identifiants correspondants, de sorte que les applications ne peuvent échanger des informations entre elles que par l’intermédiaire de ce qui est appelé un atome - un nombre entier de 16 octets qui identifie spécifiquement une chaîne de caractères dans la table. Les applications reposent généralement sur ces Atom Tables pour partager des informations beaucoup plus rapidement entre elles, plutôt que d’interroger des chaînes de caractères longues.

En exploitant ce défaut de conception, un attaquant pourrait utiliser des applications légitimes, telles que des navigateurs Web ou des lecteurs multimédias, pour dérober des mots de passe, prendre des captures d’écran du Bureau et les uploader sur un serveur contrôlé par un attaquant. Parce que cette technique peut être utilisée comme vecteur d’attaque initial pour réussir à infiltrer secrètement une entreprise, elle peut offrir aux cybercriminels des possibilités d’attaques allant du déploiement de malwares à l’espionnage industriel. Voici la description des trois étapes principales pour qu’une exploitation de cette faille, soit réussie :

 La première étape consiste à écrire les données arbitraires ou le code malveillant dans le même espace d’adressage que celui du processus ou de l’application ciblée. Cela signifie que toutes les applications, même celles sur liste blanche et implicitement fiables pour les éditeurs de sécurité ou le service informatique d’une entreprise, peuvent être ciblées.
 La deuxième étape de l’attaque consiste à détourner le thread d’une application légitime et à lui faire exécuter le code injecté - ou la chaîne de caractères - stocké dans l’Atom Table. C’est la partie où l’application légitime peut être détournée pour exécuter n’importe quel code sans être détectée par une solution de sécurité traditionnelle.
 La troisième et dernière étape de la chaîne d’attaque pour l’AtomBombing implique la suppression du code malveillant et le retour à la normale du comportement de l’application ciblée, de manière à ne pas éveiller les soupçons. De cette façon, un attaquant peut utiliser une application légitime, comme un navigateur Web populaire ou toute application connectée à Internet, pour transférer les données de l’entreprise sans déclencher d’alertes.

Détecter AtomBombing grâce à l’introspection de la mémoire depuis l’hyperviseur

Parce que Bitdefender Hypervisor Introspection (HVI) est une solution qui peut analyser la mémoire raw des VM depuis l’hyperviseur, sans avoir besoin de déployer d’agents au sein même des VM, elle peut détecter ce type de falsifications de la mémoire et les bloquer avant qu’elles ne causent des dommages aux entreprises.

Lors du Proof Of Concept, l’AtomBombing a bien été détecté par Bitdefender HVI, qui a pu bloquer l’exploit en temps réel depuis le niveau de l’hyperviseur, en neutralisant l’attaque et en empêchant le code malveillant d’être injecté et exécuté. Cela signifie que des attaques dissimulées telles que celle-ci, seront détectées par HVI, empêchant ainsi la sécurité des entreprises d’être compromise.
Contrairement aux mécanismes de sécurité traditionnels, HVI exploite l’API Citrix XenServer pour analyser la mémoire raw à l’extérieur de la machine virtuelle, afin de détecter toutes technique d’altération de la mémoire - y compris celles utilisées par AtomBombing - qui pourraient en modifier le comportement ou celui des applications au sein de la VM.

Avec des menaces toujours plus sophistiquées, ciblées, persistentes et complexes, Bitdefender Hypervisor Introspection propose une approche plus approfondie de la sécurité pour protéger les actifs critiques virtualisés d’une entreprise.

Cette technologie est disponible dès maintenant en version Tech Preview.


Voir les articles précédents

    

Voir les articles suivants