Un chercheur propose un outil pour masquer les logiciels malveillants dans .Net

Un chercheur en sécurité informatique a publié un outil amélioré qui peut simplifier le placement de logiciels malveillants difficiles à détecter dans le cadre Microsoft.Net sur les ordinateurs Windows.

L'outil, appelé.Net-Sploit 1.0, permet pour la modification de.Net, un logiciel installé sur la plupart des machines Windows qui permet aux ordinateurs d'exécuter certains types d'applications.

Microsoft crée une suite d'outils de développement permettant aux programmeurs d'écrire des applications compatibles avec le framework. Il offre aux développeurs l'avantage d'écrire des programmes dans plusieurs langages de haut niveau différents qui fonctionneront tous sur un PC.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

.Net-Sploit permet à un pirate informatique de modifier le framework.Net sur des machines ciblées, en insérant un logiciel malveillant de type rootkit dans un endroit non touché par un logiciel de sécurité et où peu de personnes penseraient à le regarder, a déclaré Erez Metula, l'ingénieur de sécurité logiciel pour 2BSecure qui a écrit l'outil. "Vous serez étonné de voir à quel point il est facile de concevoir une attaque", a déclaré Metula lors d'une présentation à la conférence sur la sécurité de Black Hat à Amsterdam.

.Net-Sploit permet essentiellement à un attaquant de remplacer un code légitime au sein de.Net avec un malicieux. Comme certaines applications dépendent de certaines parties du framework.Net pour s'exécuter, cela signifie que le malware peut affecter la fonction de nombreuses applications.

Par exemple, une application disposant d'un mécanisme d'authentification pourrait être attaquée si le framework.Net altéré Metula a déclaré:

.Net-Sploit automatise certaines des tâches de codage difficiles nécessaires pour corrompre le framework, accélérant ainsi le développement d'une attaque. Par exemple, il peut aider à tirer une DLL (bibliothèque de liens dynamiques) du framework et déployer la DLL malveillante.

Metula a dit qu'un attaquant devrait déjà avoir le contrôle d'une machine avant que son outil puisse être utilisé. L'avantage de corrompre le framework.Net est qu'un attaquant pourrait garder clandestinement le contrôle de la machine pendant une longue période.

Il pourrait potentiellement être abusé par des administrateurs système voyous, qui pourraient abuser de leurs privilèges d'accès pour déployer des soi-disant «backdoors». "Le logiciel Microsoft Security Response Center a été informé du problème en septembre 2008. La position de la société est que, comme un attaquant devrait déjà avoir le contrôle d'un PC, il n'y a pas de vulnérabilité dans.Net. Microsoft n'a pas l'intention de publier une solution à court terme.

Au moins un responsable de Microsoft a discuté avec Metula après sa présentation, défendant la position de l'entreprise. Metula a déclaré qu'il ne considérait pas non plus la question comme une vulnérabilité, mais plutôt comme une faiblesse, mais que Microsoft pourrait prendre des mesures pour rendre une telle attaque plus difficile.

"Aucune solution pare-balles ne la résoudra". En outre, les fournisseurs de sécurité devraient mettre à jour leur logiciel afin de détecter la falsification du framework.Net, a déclaré Metula … Net n'est pas le seul framework d'application vulnérable à l'attaque, car des variantes peuvent également être appliquées à d'autres frameworks d'application, tels que Java Virtual Machine (JVM) utilisée pour exécuter des programmes écrits en Java.

Metula a publié un livre blanc sur la technique ainsi que la dernière version de.Net-Sploit.