[ad_1]

« Evilgrade », une boîte à outils qui permet aux attaquants d’installer facilement des logiciels malveillants en exploitant les faiblesses de la fonction de mise à jour automatique de nombreux titres de logiciels populaires, a récemment reçu sa propre mise à jour et est désormais capable de détourner le processus de mise à jour de plus de 60 programmes légitimes.

Créateur d’Evilgrade, Francisco Amato de Recherche sur la sécurité InfoByteindique qu’en ciblant des programmes largement déployés qui n’implémentent pas correctement les signatures numériques sur leurs mises à jour de produits, les attaquants peuvent se faire passer pour ces entreprises et faire croire aux utilisateurs qu’ils mettent à jour leur logiciel, alors qu’en réalité, les utilisateurs peuvent télécharger un package conçu pour compromettre la sécurité de leur ordinateur.

Les éditeurs de logiciels doivent inclure ces signatures dans toutes leurs mises à jour, afin que l’ordinateur d’un utilisateur puisse valider que la mise à jour a bien été envoyée par le fournisseur. Par exemple, Microsoft signe toutes ses mises à jour avec une clé cryptographique connue de lui seul, et les machines Windows sont configurées pour ignorer toutes les alertes de mise à jour logicielle entrantes qui ne sont pas signées avec cette clé. Mais pour une raison quelconque, de nombreux éditeurs de logiciels ont négligé cette précaution de sécurité importante et ont choisi de ne pas signer leurs mises à jour ou ont mis en œuvre le processus de vérification de la signature d’une manière qui peut être contournée.

Parmi les produits logiciels qu’Amato dit qu’EvilGrade peut compromettre figurent iTunes, Java, Skype, WinampComment — même des applications de sécurité comme Superantispyware, Ceinture solaireet Antirootkit Panda (une liste plus longue d’applications vulnérables est disponible dans La documentation).

La vidéo ci-dessus montre comment Evilgrade fonctionne même avec la dernière version de Java — Java 6 mise à jour 22.

Comme l’indiquent les notes de version, cet outil est une suite d’attaques multiplateforme, ce qui signifie qu’il peut être utilisé pour attaquer non seulement les systèmes Windows, mais tout mécanisme de mise à jour vulnérable : l’attaquant n’a besoin que de fournir des charges utiles spécifiques à la plate-forme conçues pour s’exécuter sur le système ciblé. système d’exploitation de l’utilisateur.

Selon Amato, les seules choses dont un attaquant a besoin pour détourner le processus de mise à jour sur un ordinateur ciblé sont le contrôle du réseau, et pour que le système victime exécute l’une des plus de 60 applications ciblées par Evilgrade. Et comme je l’ai noté dans un article de blog la semaine dernière, il existe plusieurs outils open source faciles à utiliser qui permettent aux attaquants de détourner les réseaux câblés et sans fil et de tromper tous les systèmes d’un réseau local pour qu’ils acheminent leur trafic via l’ordinateur de l’agresseur. .

Comme Evilgrade le dit douloureusement, c’est généralement une bonne idée de retarder l’installation des mises à jour jusqu’à ce que vous utilisiez un réseau que vous connaissez, faites confiance et, espérons-le, contrôlez (comme votre réseau domestique). De nos jours, de nombreux autres programmes ont des mises à jour automatiques intégrées, et ces fonctionnalités peuvent aider les utilisateurs à rester à jour avec les versions les plus récentes et les plus sécurisées de ces produits. Mais lorsque vous êtes en déplacement, il est probablement préférable de retarder la réponse à une invite de mise à jour automatique. À tout le moins, assurez-vous d’avoir initié le processus, pour vous assurer que vous ne répondez pas simplement à une fausse invite de mise à jour qui vous est envoyée par un attaquant qui utilise le même réseau.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *