AVGater : Découverte d’une faille de sécurité dans la plupart des solutions antivirus

Une faille de sécurité importante a été découverte dans plusieurs solutions antivirus sur Windows. Elle permet à un attaquant disposant d’un accès local sur le poste d'élever ses privilèges. Cette faille a pour nom « AVGater » et s’appuie sur la fonctionnalité de restauration de fichiers mis en quarantaine.

Le scénario d’exploitation est le suivant :

1.     L'attaquant dépose un fichier DLL malveillant sur la machine cible;

2.     L'antivirus détecte le fichier et le met en quarantaine;

3.     L'attaquant procède à une modification spécifique de la structure des répertoires NTFS pour exploiter la vulnérabilité AVGater. À noter que cette opération ne nécessite pas de droits d’administrateur. La commande mklink permet de créer un lien entre deux répertoires et ne nécessite pas de privilèges particuliers;

4.     L'attaquant initie la restauration des fichiers mis en quarantaine;

5.     Le fichier infecté est restauré à un emplacement défini par l’attaquant lors de l'étape 3 (ex. C:\Windows). À noter que la restauration est réalisée avec les permissions système de la solution antivirus;

6.     Enfin, un redémarrage suffit pour que les fichiers restaurés dans le répertoire intègrent un processus système.

Trend Micro, Emsisoft, Kaspersky Labs, Malwarebytes, Zone Alarm et Ikarus ont publié des correctifs pour leurs solutions antivirus. Des correctifs pour d’autres éditeurs devraient suivre dans les jours à venir.

Pour les entreprises, en l’absence de patch de sécurité il est possible de se prémunir de l’attaque  en configurant les solutions antivirus pour empêcher une restauration depuis la mise en quarantaine.