La plupart des produits antivirus conçus pour être utilisés dans les entreprises détectent mal les exploits que les sites Web piratés et malveillants utilisent pour imposer des logiciels malveillants, conclut un nouveau rapport.
Société de test indépendante Laboratoires NSS a examiné les performances de 10 produits antivirus commerciaux pour voir dans quelle mesure ils détectaient 123 exploits côté clientceux généralement utilisés pour attaquer les vulnérabilités des navigateurs Web, notamment Internet Explorer et Firefoxainsi que des applications de bureau courantes, telles que Adobe Flash, Lecteuret AppleQuickTime.
Environ la moitié des exploits testés étaient des copies exactes du premier code d’exploitation rendu public contre la vulnérabilité. NSS a également testé la détection d’un nombre égal de variantes d’exploitation, celles qui exploitent la même vulnérabilité mais utilisent des points d’entrée légèrement différents dans la mémoire du système ciblé. Aucun des exploits n’a utilisé de techniques d’évasion couramment employées par les exploits réels pour se déguiser ou se cacher des systèmes de détection d’intrusion.
Parmi les dix produits, NSS a constaté que le taux de détection moyen des exploits originaux était de 76 % et que seuls trois produits sur dix ont arrêté tous les exploits originaux. La détection moyenne des variantes d’exploits était encore plus faible à 58 %, a constaté le NSS.
Président du SNRS Rick Moy a déclaré que la plupart des fournisseurs semblent avoir choisi de se concentrer sur la détection des variantes de logiciels malveillants fournies par ces exploits plutôt que sur le blocage des exploits eux-mêmes. Moy note que si les éditeurs d’antivirus déclarent qu’ils traitent désormais plus de 50 000 échantillons de logiciels malveillants chaque jour, il semble que la majorité des éditeurs ne parviennent toujours pas à bloquer les méthodes les plus largement utilisées pour fournir ces échantillons de logiciels malveillants.
« Lorsque vous parlez d’exploits qui ont été publiés sur un site Web financé par le gouvernement pendant des mois, il n’y a vraiment aucune bonne excuse pour ne pas couvrir cela », a déclaré Moy. « Comme il y a beaucoup moins d’exploits que de logiciels malveillants, il est impératif que les attaques soient vaincues le plus tôt possible. »
Les tests NSS ont révélé que certains exploits étaient systématiquement manqués par les produits antivirus, en particulier ceux qui attaquaient le pairs IE et Aide MS VBscript vulnérabilités d’Internet Explorer qui Microsoft dévoilé pour la première fois en mars 2010.
Moy a partagé une copie du rapport à condition que je m’abstienne de divulguer les performances de chaque produit individuel, car son entreprise prévoit de vendre le rapport. Mais comme pour le dernier rapport du NSS sur lequel j’ai écrit — qui examinait le temps qu’il faut aux produits antivirus pour bloquer les sites Web malveillants — cette étude se concentre sur le test des aspects individuels des performances des produits antivirus, y compris certains domaines qui sont passés sous silence dans essais industriels.
Même sans informations sur les produits qui ont obtenu les meilleures notes en matière de blocage des exploits, l’un des points à retenir du rapport est l’importance d’appliquer les correctifs dès que possible après la publication d’un correctif par un fournisseur, a déclaré Moy.
« Nous ne nous concentrons pas beaucoup sur l’arrêt des exploits, c’est ce que nous constatons, même si certainement au moins contre les anciens exploits, ces produits de sécurité devraient agir comme un correctif virtuel », a déclaré Moy, ajoutant que les organisations devraient envisager de développer un exploit personnalisé. signatures pour les systèmes de grande valeur, soit au niveau de l’hôte, soit au niveau du réseau. « L’approche ‘correctif immédiat’ fonctionne probablement pour les petites organisations, mais les grandes entreprises ont tendance à attendre un certain temps pour s’assurer que les correctifs n’entrent pas en conflit avec les applications locales. »
Pourtant, NSS ne met pas beaucoup d’informations à disposition sur ses méthodes, et cette omission a suscité une grande partie des critiques des rapports précédents de NSS Labs.
« Ce serait bien si au moins certaines informations sur la façon dont les chiffres ont été obtenus étaient disponibles pour examen, de sorte qu’une partie intéressée aurait plus qu’un simple graphique plutôt spectaculaire mais autrement sans contexte pour évaluer la valeur relative du rapport. », a écrit Kurt Wismer, un observateur de l’industrie antivirus et blogueur. « Dans l’état actuel des choses, les informations qu’ils mettent à disposition sur leur site sont pires qu’inutiles – des chiffres sans contexte adéquat sont précisément d’où vient l’idiome de « mensonges, putain de mensonges et statistiques ». La publication du graphique sans contexte de la manière dont ils l’ont fait ne sert qu’à sensationnaliser le rapport.
Wismer a déclaré que l’étude met en évidence un domaine où de nombreux produits peuvent être améliorés, et que le fait d’avoir plus de produits antivirus bloquant l’étape d’exploitation serait une amélioration très avantageuse. Mais il a déclaré que le rapport lui-même ne fournissait pas une image complète des performances de ces produits.
« Cela ne dit tout simplement pas au client s’il serait ou non protégé dans le monde réel », a écrit Wismer dans un e-mail à BreachTrace.com. « Plus il y a de maillons dans la chaîne d’événements menant à un compromis qui peut être utilisé à l’avantage des défenseurs. une chaîne est seulement aussi forte que son maillon le plus faible et donc une seule étape d’une attaque en plusieurs étapes doit être bloquée pour que le résultat final prévu soit contrecarré. Un test qui ne comprend pas toutes les étapes omet donc nécessairement des informations qui pourraient être importantes pour déterminer quels produits apportent la meilleure aide à la protection.
De façon intéressante, une série de rapports publié plus tôt ce mois-ci par un laboratoire de test antivirus Test AV arrive à des conclusions similaires à celles du rapport NSS sur les capacités de blocage des exploits des principaux produits antivirus. Selon AV-Test, la moyenne de l’industrie en matière de protection contre les exploits (connus et inconnus) était de 75 %.