J’ai récemment mis en lumière une étude qui a montré que la plupart des applications logicielles les plus performantes ne parvenaient pas à tirer parti de deux grandes lignes de défense intégrées à Microsoft Windows qui peuvent aider à bloquer les attaques de pirates et de virus. Il s’avère que la majorité des produits antivirus et de sécurité conçus pour les utilisateurs de Windows renoncent également à ces protections de sécurité utiles.
Comme je l’écrivais le mois dernier :
Les attaquants élaborent généralement des exploits logiciels afin d’écrire des données ou des programmes dans des sections statiques très spécifiques de la mémoire du système d’exploitation. Pour contrer cela, Microsoft a introduit avec Windows Vista (et Windows 7) une fonctionnalité appelée randomisation de la disposition de l’espace d’adressage ou ASLR, qui déplace constamment ces points mémoire vers différentes positions. Une autre fonctionnalité défensive appelée prévention de l’exécution des données (DEP) – introduite pour la première fois avec Windows XP Service Pack 2 en 2004 – tente de faire en sorte que même si un attaquant réussit à deviner l’emplacement du point mémoire qu’il recherche, le code placé il n’y aura pas d’exécution ou de course.
Ces protections sont disponibles pour toutes les applications conçues pour s’exécuter sur le système d’exploitation, et elles sont conçues pour empêcher les attaquants de développer des exploits fiables pour les vulnérabilités des applications Windows. Comme nous l’avons vu le mois dernier, peu d’applications de premier plan invoquent les protections, mais de nombreux lecteurs pourraient être surpris d’apprendre que peu de produits antivirus ont adopté ces technologies.
J’ai installé les versions d’essai d’une douzaine de suites antivirus et de sécurité sur une machine virtuelle exécutant Windows Vistapuis vérifié les fichiers exécutables de chaque produit à l’aide de l’excellent outil de Microsoft Explorateur de processus outil, qui fournit une masse d’informations sur les processus en cours d’exécution sur votre système Windows, y compris si ces processus invoquent ou non DEP et/ou ASLR.
Parmi les produits antivirus qui n’utilisaient ni ASLR ni DEP figuraient AVAST Édition Familiale, AVG Internet Security 9.0, BitDefender Internet Security 2010, ESET Smart Security, Sécurité Internet F-Secure, Norton Internet Security 2010, Panda Internet Security 2010 et Trend Micro Internet Security 2010.
Microsoft Security Essentials était le seul produit qui utilisait à la fois ASLR et DEP de manière cohérente sur Windows Vista (bien qu’il soit intéressant de noter qu’il n’invoque pas DEP sur Windows XP). D’autres suites antivirus que j’ai testées utilisaient soit ASLR, soit DEP (ou les deux), mais uniquement dans certaines applications qui composent la suite. Par exemple, le programme « mcagent.exe » de McAfee Internet Security exécute à la fois ASLR et DEP, tandis que quatre autres processus exécutables générés par le programme exécutaient DEP mais pas ASLR (depuis que ces tests ont été exécutés, McAfee a modifié la version d’essai de MIS disponible sur son site, et la société m’a envoyé une capture d’écran qui montre DEP et ASLR sur tous les processus en cours d’exécution dans cette version).
De même, j’ai constaté que la suite antivirus d’Avira exécutait son programme principal avguard.exe en mode ASLR mais n’utilisait pas DEP. Le reste des fichiers de programme livrés avec ce produit n’exécutent ni ASLR ni DEP. Kaspersky Internet Security avait DEP activé sur un seul processus (le plug-in du navigateur) et n’appelait ASLR avec aucun composant de programme.
Être sûr, DEP et ASLR ne sont pas des panacées: Des chercheurs en sécurité ont mis au point un certain nombre de façons astucieuses de contourner ces mécanismes de protection. Pourtant, il est intéressant de noter l’absence de ces fonctionnalités dans les produits antivirus pour deux raisons : premièrement, même les chercheurs qui ont développé des exploits pour contourner ces protections affirment que les deux technologies placent la barre considérablement pour les codeurs malveillants. Deuxièmement, les produits antivirus ne sont pas à l’abri introduisant leurs propres failles logicielles exploitables.
J’ai sollicité les commentaires de tous les fournisseurs d’antivirus dont j’ai examiné les produits (à l’exception de Microsoft) et j’ai reçu quelques réponses. La plupart ont soit minimisé l’utilité des deux technologies dans la lutte contre les menaces actuelles, soit déclaré qu’ils prévoyaient de mettre en œuvre les protections dans les prochaines versions.
Mikko Hypponen de F-Secure a déclaré que « l’ajout de la prise en charge du DEP et de l’ASLR dans nos produits est sur notre feuille de route, mais n’a pas encore été mis en œuvre. C’est parce que nous avons récemment concentré nos efforts de développement sur la performance. Une fois que nous aurons cette fonctionnalité prête, elle sera disponible pour tous nos clients via notre canal de mise à jour.
Pedro Bustamante, conseiller principal en recherche chez Panda Security, a déclaré que Panda avait décidé de ne pas utiliser l’ASLR ou le DEP en faveur de leur propre technologie « pour fournir une protection non seulement pour les processus AV uniques, mais également pour d’autres types d’opérations. Par exemple, nos produits incluent un composant Shield qui prend déjà en charge la protection offerte par ASLR et DEP, en plus d’autres types d’autoprotections comme empêcher un processus d’injecter un thread dans un processus séparé, empêcher certaines applications de s’exécuter opérations dangereuses sur le système (telles qu’Adobe Acrobat déposant un exécutable dans le système et l’exécutant), protection des fichiers AV dans les répertoires d’installation, etc.
Bustamante a poursuivi : « Ces technologies Microsoft pourraient être une bonne solution pour certains types d’applications plus basiques, mais de notre point de vue, elles sont insuffisantes pour un produit anti-malware essayant d’obtenir une approche de défense plus approfondie pour sécuriser l’ensemble du système d’exploitation. et applications tierces.
Bitdefender a annoncé son intention d’intégrer DEP et ASLR dans sa suite de produits 2011.
directeur de la gestion des produits de Symantec, Dan Nadira déclaré que Norton Internet Security 2010 inclut en fait la prise en charge de DEP (bien que mes expériences avec Process Explorer aient montré qu’elle n’était pas activée) et que la société « évalue la prise en charge possible d’ASLR dans les futures versions de nos produits ».
L’équipe de recherche d’ESET a répondu : « Sur la base des types d’attaques que nous voyons contre les logiciels de sécurité et des scénarios d’attaque probables, ASLR et DEP ne fournissent aucune défense significative. [While] l’activation de l’ASLR et du DEP est assez triviale, la complexité vient de s’assurer que la matrice de test appropriée a été implémentée. Sans tests appropriés, l’ASLR peut être transformé en arme… Nous envisagerons d’ajouter les fonctionnalités à l’avenir, mais pas sans des tests extrêmement rigoureux.