Vigil@nce - Antivirus : contournement de SSDT Hooking
mai 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’un antivirus redirige la SSDT pour détecter les virus, un
attaquant local peut employer une erreur d’atomicité, pour
contourner cette protection.
Gravité : 2/4
Date création : 10/05/2010
Date révision : 11/05/2010
DESCRIPTION DE LA VULNÉRABILITÉ
La table SSDT (System Service Descriptor Table) contient les
références des appels système :
– NtCreateKey : création d’une clé dans la base de registres
– NtCreateThread : création d’un thread
– NtDeleteFile : effacement d’un fichier
– etc.
Les antivirus redirigent les entrées de cette table vers des
fonctions de vérification. De nombreuses implémentations vérifient
les paramètres, puis emploient l’appel système d’origine.
Cependant, entre ces deux opérations, un attaquant local peut
modifier les paramètres de l’appel système. Un attaquant peut donc
créer un programme qui emploie des paramètres légitimes, puis les
change au dernier moment, juste avant l’appel système.
Lorsqu’un antivirus redirige la SSDT pour détecter les virus, un
attaquant local peut donc employer une erreur d’atomicité, pour
contourner cette protection.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Antivirus-contournement-de-SSDT-Hooking-9633