Vigil@nce - F-Secure Anti-Virus : contournement via ELF, EXE, RAR, TAR
avril 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer une archive ou un programme, contenant un
virus qui n’est pas détecté par F-Secure Anti-Virus.
Gravité : 2/4
Date création : 21/03/2012
PRODUITS CONCERNÉS
– F-Secure Anti-Virus
DESCRIPTION DE LA VULNÉRABILITÉ
Les outils d’extraction d’archives (RAR, TAR, etc.) acceptent
d’extraire des archives légèrement malformées. Les systèmes
acceptent aussi d’exécuter des programmes (ELF, EXE) légèrement
malformés. Cependant, F-Secure Anti-Virus ne détecte pas les virus
contenus dans ces archives/programmes.
Un programme ELF contenant "ustar" à l’offset 257 contourne la
détection. [grav:2/4 ; BID-52581, CVE-2012-1429]
Un programme ELF contenant "\19\04\00\10" à l’offset 8 contourne
la détection. [grav:2/4 ; BID-52589, CVE-2012-1430]
Un programme ELF contenant "\4a\46\49\46" à l’offset 6 contourne
la détection. [grav:2/4 ; BID-52591, CVE-2012-1431]
Un programme EXE contenant un champ "class" trop grand contourne
la détection. [grav:2/4 ; BID-52598, CVE-2012-1442]
Une archive RAR contenant "MZ" dans les 2 premiers caractères
contourne la détection. [grav:1/4 ; BID-52612, CVE-2012-1443]
Une archive TAR avec un entête contenant une valeur trop grande
contourne la détection. [grav:1/4 ; BID-52623, CVE-2012-1459]
Une archive TAR+GZ contenant deux streams contourne la détection.
[grav:1/4 ; BID-52626, CVE-2012-1461]
Un programme ELF avec un cinquième octet modifié contourne la
détection. [grav:2/4 ; BID-52614, CVE-2012-1463]
Un attaquant peut donc créer une archive contenant un virus qui
n’est pas détecté par l’antivirus, mais qui est extrait par les
outils d’extraction. Le virus est ensuite détecté une fois qu’il a
été extrait sur le poste de la victime. Un attaquant peut aussi
créer un programme, contenant un virus qui n’est pas détecté par
l’antivirus, mais qui est exécuté par le système.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/F-Secure-Anti-Virus-contournement-via-ELF-EXE-RAR-TAR-11477