Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsqu’un antivirus redirige la SSDT pour détecter les virus, un
attaquant local peut employer une erreur d’atomicité, pour
contourner cette protection.

Gravité : 2/4

Date création : 10/05/2010

Date révision : 11/05/2010

DESCRIPTION DE LA VULNÉRABILITÉ

La table SSDT (System Service Descriptor Table) contient les
références des appels système :

– NtCreateKey : création d’une clé dans la base de registres
– NtCreateThread : création d’un thread
– NtDeleteFile : effacement d’un fichier
– etc.

Les antivirus redirigent les entrées de cette table vers des
fonctions de vérification. De nombreuses implémentations vérifient
les paramètres, puis emploient l’appel système d’origine.
Cependant, entre ces deux opérations, un attaquant local peut
modifier les paramètres de l’appel système. Un attaquant peut donc
créer un programme qui emploie des paramètres légitimes, puis les
change au dernier moment, juste avant l’appel système.

Lorsqu’un antivirus redirige la SSDT pour détecter les virus, un
attaquant local peut donc employer une erreur d’atomicité, pour
contourner cette protection.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Antivirus-contournement-de-SSDT-Hooking-9633