L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Antivirus : contournement de SSDT Hooking

Synthèse de la vulnérabilité 

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut employer une erreur d'atomicité, pour contourner cette protection.
Produits impactés : Avast AV, CA Antivirus, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, Symantec AV.
Gravité de ce bulletin : 2/4.
Nombre de vulnérabilités dans ce bulletin : 13.
Date de création : 10/05/2010.
Date de révision : 11/05/2010.
Références de cette menace : CVE-2010-5151, CVE-2010-5152, CVE-2010-5154, CVE-2010-5156, CVE-2010-5161, CVE-2010-5163, CVE-2010-5166, CVE-2010-5167, CVE-2010-5168, CVE-2010-5171, CVE-2010-5172, CVE-2010-5177, CVE-2010-5179, VIGILANCE-VUL-9633.

Description de la vulnérabilité 

La table SSDT (System Service Descriptor Table) contient les références des appels système :
 - NtCreateKey : création d'une clé dans la base de registres
 - NtCreateThread : création d'un thread
 - NtDeleteFile : effacement d'un fichier
 - etc.

Les antivirus redirigent les entrées de cette table vers des fonctions de vérification. De nombreuses implémentations vérifient les paramètres, puis emploient l'appel système d'origine. Cependant, entre ces deux opérations, un attaquant local peut modifier les paramètres de l'appel système. Un attaquant peut donc créer un programme qui emploie des paramètres légitimes, puis les change au dernier moment, juste avant l'appel système.

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut donc employer une erreur d'atomicité, pour contourner cette protection.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis cybersécurité concerne les logiciels ou systèmes comme Avast AV, CA Antivirus, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, Symantec AV.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis sécurité est moyen.

Le niveau de confiance est de type confirmé par un tiers de confiance, avec une provenance de shell utilisateur.

Ce bulletin concerne 13 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette menace cyber-sécurité.

Solutions pour cette menace 

Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un patch de vulnérabilités de réseaux. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.