L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

bulletin de vulnérabilité CVE-2010-5151 CVE-2010-5152 CVE-2010-5154

Antivirus : contournement de SSDT Hooking

Synthèse de la vulnérabilité

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut employer une erreur d'atomicité, pour contourner cette protection.
Produits impactés : Avast AV, CA Antivirus, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, Symantec AV.
Gravité de ce bulletin : 2/4.
Conséquences d'une intrusion : accès/droits administrateur, transit de données.
Origine du hacker : shell utilisateur.
Nombre de vulnérabilités dans ce bulletin : 13.
Date création : 10/05/2010.
Date révision : 11/05/2010.
Références de cette menace : CVE-2010-5151, CVE-2010-5152, CVE-2010-5154, CVE-2010-5156, CVE-2010-5161, CVE-2010-5163, CVE-2010-5166, CVE-2010-5167, CVE-2010-5168, CVE-2010-5171, CVE-2010-5172, CVE-2010-5177, CVE-2010-5179, VIGILANCE-VUL-9633.

Description de la vulnérabilité

La table SSDT (System Service Descriptor Table) contient les références des appels système :
 - NtCreateKey : création d'une clé dans la base de registres
 - NtCreateThread : création d'un thread
 - NtDeleteFile : effacement d'un fichier
 - etc.

Les antivirus redirigent les entrées de cette table vers des fonctions de vérification. De nombreuses implémentations vérifient les paramètres, puis emploient l'appel système d'origine. Cependant, entre ces deux opérations, un attaquant local peut modifier les paramètres de l'appel système. Un attaquant peut donc créer un programme qui emploie des paramètres légitimes, puis les change au dernier moment, juste avant l'appel système.

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut donc employer une erreur d'atomicité, pour contourner cette protection.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des annonces de vulnérabilités logicielles. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.