Archives par mot-clé : sécurité antivirus

Et si votre GPU abritait plusieurs malwares

Selon des recherches menées par des spécialistes de la sécurité informatique, des pirates informatiques ont réussi l’exploit utiliser des cartes graphiques pour contourner les programmes d’antivirus.

Des cybercriminels sont parvenus à exploiter la mémoire de nombreuses cartes graphiques pour contourner les applications antivirus.

Cet article va aussi vous intéresser : La cryptographie des cartes à puce

Une mise en garde a été lancé officiellement à l’intention des mineurs de cryptomonnaies ainsi que des gamers. En effet, les experts de la sécurité informatique ont découvert un nouveau programme malveillant capable d’exploiter la vulnérabilité des cartes graphiques pour passer inaperçu et se cacher des programmes la protection. Ce programme malveillant s’exécute alors depuis la mémoire tampon du GPU. Grâce à cela, il peut facilement contourner les applications antivirus qui sont installés pour surveiller la RAM à la recherche de signaux suspect. Ces révélations ont été fait par le média spécialisé Bleeping Computer.

C’est une technique qui a été mis sur le marché à travers un forum dédié typiquement piratage informatique. Il est proposé aux hackers qui seront les plus offrants. Grâce au code partagé, il sera aisé de fabriquer tout type de programmes malveillants fonctionnelle de sorte à pouvoir le diffuser aussi aisément.

Cette faille de sécurité touche déjà plusieurs GPU comme l’a été observé par les spécialistes de la cybersécurité. Par ailleurs, l’individu derrière la commercialisation de cette méthode de piratage informatique a précisé lui aussi de son côté qu’il pourrait bien marcher sur les PC Windows ayant un support OpenCL 2.0 ou même de version supérieur. Il précise aussi que certain nombre de GPU AMD, NVIDIA et Intel sont aussi vulnérables à la méthode.

Cependant il a cité certaines solutions graphiques particulières qui peut faciliter la mise en place de cette nouvelle type d’attaque informatique à savoir :

– l’AMD Radeon RX ;

– la Nvidia GTX 1650 ;

– Intel UHD 620 ;

– Intel UHD 630.

Il faut noter que les GPV qui sont généralement et utilisent la mémoire système. Cependant il y a toujours des circonstances de cette mémoire système qui sont réservés typiquement au système graphique. C’est d’ailleurs de ce côté qui existent dans la vulnérabilité dont il est exactement question. Les cybercriminels peuvent s’en servir pour cacher des programmes malveillants. Cela y va de même pour la VRAM qui se trouve embarqué sur la carte vidéo.

plusieurs cartes GPU probablement infectés par un virus

Mais il faut signifier que jusqu’à présent aucune plainte officielle n’a été déposée concernant l’exploitation de cette méthode de cyberattaque. L’on on est juste en phase de l’existence d’un programme malveillant inédit, qui n’a pas encore été observé en termes d’utilisation pratique pour cibler un terminal. Cependant, cela n’exclut pas la nécessité de surveiller de manière prudente votre mémoire GPU et aussi votre RAM. Selon les informations en circulation, cet outil aurait été mis en vente le 25 août dernier soit environ une semaine seulement.

Il faudrait aussi savoir que passer par le GPU dans le but de caser des logiciels malveillants dans un PC n’est pas une tactique assez nouvelle pour ainsi dire.  Dans un article sur Bleeping Computer : « ce type d’exploit a déjà circulé dans l’espace universitaire, et « JellyFish » constitue l’un des PoC pour rootkit GPU les plus tristement célèbres – il visait les systèmes Linux en 2015. ».

Même si selon les déclarations de l’auteur de cette nouvelle technique des cyberattaques, sa technique n’a rien à voir avec le JellyFish. Il estime que la sienne « ne repose pas sur le mappage du code vers l’espace utilisateur ».

Par conséquent, il faut seulement noter que cette menace est quand même inquiétante. En effet ça porte est assez grande roman vulnérable plusieurs gammes de GPU et d’ordinateurs portables Windows en circulation.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Des failles « symlink race » découverts dans 28 solutions de sécurité antivirus

Les chercheurs spécialisés des laboratoires de sécurité informatique RACK911 Labs, dans un de leur récent rapport ont déclaré avoir découvert dans plus de 28 antivirus les plus très populaires, un bug de type « symlink race ».

Cet article va aussi vous intéresser : Le fournisseur de solution antivirus a-t-il violé les règles de protection des données personnelles

Mais aujourd’hui, il semblerait que la majorité de ces bugs ont été corrigés par les fournisseurs de ces différentes solutions antivirus.

Selon les chercheurs de RACK911, les failles de sécurité pouvaient être utilisées par les  cybermalveillants pour effacer certains fichiers utilisés par l’outil de sécurité ou même par le système d’exploitation, rendant sur coup unitilisable le terminal visé. Ces bugs sont appelés par les chercheurs « Symlink race ». En pratique, cette vulnérabilité crée un lien entre le programme malveillant et le programme légitime, de sorte que l’utilisateur exécute les deux et effectue des actions avec le programme malveillant en lieu et place du programme légitime et à l’insu de ce dernier. « Les vulnérabilités de type « Symlink race » sont souvent utilisées pour lier des fichiers malveillants à des éléments de plus haut niveau de privilèges, ce qui entraîne des attaques de type élévation de privilèges. C’est un problème très réel et ancien avec les systèmes d’exploitation qui permettent des processus concurrents », argumente le Dr Bontchev, un membre du Laboratoire national de virologie informatique de l’Académie des sciences bulgare. Il ajoutera : « On a constaté que de nombreux programmes en souffraient dans le passé. ».

L’équipe des laboratoires RACK911 a signifié qu’elle menait des études sur la question depuis 2018. Le rapport qui a été produit la semaine dernière a été donc le fruit de 2 année de recherches. C’est alors qu’ils ont pu découvrir que les 28 outils, fonctionnant sur les systèmes, Windows, Mac et Linux étaient tous vulnérables, à ces failles de sécurité. Ils ont ainsi informé tous les fournisseurs pour leurs permettre de trouver des correctifs à ce problème. Cependant, l’équipe de chercheurs a déclaré que : « La plupart des éditeurs d’antivirus ont réparé leurs produits, à quelques exceptions près ». Certains fournisseurs n’ont pas manqué de soulever de façon officielle leur vulnérabilité à la faille de sécurité à travers des communiqués alors que certains ont simplement colmater leur faille dans le silence tota, évitant d’attirer l’attention. Par ailleurs, les chercheurs n’ont pas voulu mentionner les noms des solutions non encore corrigées.

En outre, ce qui a été retenu dans cette histoire, c’est que les antivirus sont généralement vulnérables à ce genre de failles de sécurité. Et cela à cause de leur mode de fonctionnement. Lorsque l’antivirus analyse en fichier, il y a un temps court entre le moment où le fichier est analyser et jugé malveillant et le moment où il est supprimé. Durant ce laps de temps, les attaques se fondant sur une telle faille de sécurité consisteront à remplacer le fichier malveillant par un lien symbolique qui le fera passer pour un fichier légitime généralement celui auquel il est lié. Pour cela, lorsque l’antivirus essaie de se débarrasser des fichiers malveillants détectés, il supprime ses propres fichiers où certains fichiers importants liés au système d’exploitation. Cela a été démontré par les chercheurs en sécurité qui l’ont présenté à travers des scripts de démonstration. « Lors de nos tests sur Windows, MacOS et Linux, nous avons pu facilement supprimer des fichiers importants liés au logiciel antivirus qui le rendait inefficace et même supprimer des fichiers clés du système d’exploitation qui provoqueraient une corruption importante nécessitant une réinstallation complète du système d’exploitation », ont signifié les experts de RACK911.

Même si la faille a été corrigée sur la majorité des produits concernés, il n’en demeure pas moins que les chercheurs continuent de mettre en garde : « Ne vous y trompez pas, l’exploitation de ces failles était assez triviale et les auteurs de logiciels malveillants chevronnés n’auront aucun problème à armer les tactiques décrites dans ce billet de blog ».

De son côté, le Dr Bontchev, estime que de telles attaques, auraient pu être plus dangereuse « si elles réécrivaient les fichiers, ce qui pourrait être faisable, et conduiraient à une prise de contrôle totale du système attaqué. ». Mais ce cas de figure ne sera pas si simple à réaliser.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage