Vulnérabilités permettant le contournement d’analyses dans des antivirus grand public
Date de publication :
L’auteur de blog Thierry Zoller alerte sur une catégorie de vulnérabilités permettant de contourner la détection de code malveillant placé dans certaines archives. Les techniques permettant d’atteindre ce résultat sont déjà exploitées dans certaines campagnes.
Seule une partie des vulnérabilités rapportées par l’auteur ont fait l’objet d’un bulletin CVE.
CVE-2020-9264, CVE-2020-9342, CVE-2020-9320, CVE-2020-9399 [Score CVSS v3 : 5.5 maximum] : Les outils d’analyse de ESET Archive Support Module, F-Secure, Avira et Avast peuvent voir leurs algorithmes de détection contournés lorsqu’un attaquant inclut un logiciel malveillant dans une archive spécialement conçue. Ces vulnérabilités sont dues à un défaut d’analyse des informations d’une archive et sont présentes principalement dans les antivirus exécutés sur des serveurs (e.g. stockage de fichier, messagerie...).
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Contournement d’outils de détection de contenu malveillant
Criticité
-
Score CVSS v3 : 5.5 maximum
Existence d’un code d’exploitation
-
Des exemples de techniques sont trouvables publiquement, permettant à un attaquant suffisamment compétent de les reproduire
Composants vulnérables
-
ESET Archive Support Module avant la version 1296
F-Secure AntiVirus avant la version du 05/02/2020
Avira AntiVirus avant la version 8.3.54.138
Avast AntiVirus (Pro, Pro Plus et Linux) avant la version 12 mise à jour avec les définitions 200114-0
Une liste des produits vulnérables n’ayant pas fait l’objet de bulletin CVE est disponible sur le billet de blog original
CVE
-
CVE-2020-9264
CVE-2020-9342
CVE-2020-9320
CVE-2020-9399
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour la solution antivirus concernée vers leur plus récente version
Solution de contournement
- Aucune solution de contournement n’est disponible