Vulnérabilités permettant le contournement d’analyses dans des antivirus grand public

Date de publication :

L’auteur de blog Thierry Zoller alerte sur une catégorie de vulnérabilités permettant de contourner la détection de code malveillant placé dans certaines archives. Les techniques permettant d’atteindre ce résultat sont déjà exploitées dans certaines campagnes.

Seule une partie des vulnérabilités rapportées par l’auteur ont fait l’objet d’un bulletin CVE. 

CVE-2020-9264, CVE-2020-9342, CVE-2020-9320, CVE-2020-9399 [Score CVSS v3 : 5.5 maximum] : Les outils d’analyse de ESET Archive Support Module, F-Secure, Avira et Avast peuvent voir leurs algorithmes de détection contournés lorsqu’un attaquant inclut un logiciel malveillant dans une archive spécialement conçue. Ces vulnérabilités sont dues à un défaut d’analyse des informations d’une archive et sont présentes principalement dans les antivirus exécutés sur des serveurs (e.g. stockage de fichier, messagerie...).

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Contournement d’outils de détection de contenu malveillant

Criticité

  • Score CVSS v3 : 5.5 maximum

Existence d’un code d’exploitation

  • Des exemples de techniques sont trouvables publiquement, permettant à un attaquant suffisamment compétent de les reproduire

Composants vulnérables

  • ESET Archive Support Module avant la version 1296
  • F-Secure AntiVirus avant la version du 05/02/2020
  • Avira AntiVirus avant la version 8.3.54.138
  • Avast AntiVirus (Pro, Pro Plus et Linux) avant la version 12 mise à jour avec les définitions 200114-0
  • Une liste des produits vulnérables n’ayant pas fait l’objet de bulletin CVE est disponible sur le billet de blog original

CVE

  • CVE-2020-9264
  • CVE-2020-9342
  • CVE-2020-9320
  • CVE-2020-9399

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour la solution antivirus concernée vers leur plus récente version

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens