Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Panda Antivirus : contournement via CAB, ELF, EXE, TAR, ZIP

avril 2012 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut créer une archive ou un programme, contenant un virus qui n’est pas détecté par Panda Antivirus.

Gravité : 2/4

Date création : 21/03/2012

PRODUITS CONCERNÉS

- Panda Antivirus
- Panda Internet Security

DESCRIPTION DE LA VULNÉRABILITÉ

Les outils d’extraction d’archives (CAB, TAR, ZIP, etc.) acceptent d’extraire des archives légèrement malformées. Les systèmes acceptent aussi d’exécuter des programmes (ELF, EXE) légèrement malformés. Cependant, Panda Antivirus ne détecte pas les virus contenus dans ces archives/programmes.

Une archive TAR contenant "\7fELF" dans les 4 premiers caractères contourne la détection. [grav:1/4 ; BID-52615, CVE-2012-1420]

Un programme EXE contenant "\57\69\6E\5A\69\70" à l’offset 29 contourne la détection. [grav:2/4 ; BID-52594, CVE-2012-1432]

Un programme EXE contenant "\4a\46\49\46" à l’offset 6 contourne la détection. [grav:2/4 ; BID-52596, CVE-2012-1433]

Un programme EXE contenant "\19\04\00\10" à l’offset 8 contourne la détection. [grav:2/4 ; BID-52582, CVE-2012-1434]

Un programme EXE contenant "\50\4B\4C\49\54\45" à l’offset 30 contourne la détection. [grav:2/4 ; BID-52592, CVE-2012-1435]

Un programme EXE contenant "\2D\6C\68" à l’offset 3 contourne la détection. [grav:2/4 ; BID-52593, CVE-2012-1436]

Un programme ELF contenant un champ "padding" trop grand contourne la détection. [grav:2/4 ; BID-52602, CVE-2012-1439]

Un programme ELF contenant un champ "identsize" trop grand contourne la détection. [grav:2/4 ; BID-52595, CVE-2012-1440]

Un programme EXE contenant un champ "class" trop grand contourne la détection. [grav:2/4 ; BID-52598, CVE-2012-1442]

Un programme ELF contenant un champ "abiversion" trop grand contourne la détection. [grav:2/4 ; BID-52604, CVE-2012-1444]

Un programme ELF contenant un champ "abi" trop grand contourne la détection. [grav:2/4 ; BID-52605, CVE-2012-1445]

Un programme ELF contenant un champ "encoding" trop grand contourne la détection. [grav:2/4 ; BID-52600, CVE-2012-1446]

Un programme ELF contenant un champ "e_version" trop grand contourne la détection. [grav:2/4 ; BID-52601, CVE-2012-1447]

Une archive CAB contenant un champ "coffFiles" trop grand contourne la détection. [grav:1/4 ; BID-52621, CVE-2012-1453]

Un programme ELF contenant un champ "ei_version" trop grand contourne la détection. [grav:2/4 ; BID-52606, CVE-2012-1454]

Une archive ZIP commençant par des données TAR contourne la détection. [grav:1/4 ; BID-52608, CVE-2012-1456]

Une archive TAR avec un entête contenant une valeur trop grande contourne la détection. [grav:1/4 ; BID-52623, CVE-2012-1459]

Un programme ELF avec un cinquième octet modifié contourne la détection. [grav:2/4 ; BID-52614, CVE-2012-1463]

Un attaquant peut donc créer une archive contenant un virus qui n’est pas détecté par l’antivirus, mais qui est extrait par les outils d’extraction. Le virus est ensuite détecté une fois qu’il a été extrait sur le poste de la victime. Un attaquant peut aussi créer un programme, contenant un virus qui n’est pas détecté par l’antivirus, mais qui est exécuté par le système.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/P...




Voir les articles précédents

    

Voir les articles suivants