Introducing Proactive Exploit Protection

Les clients de Norton Security (et de fait, toute personne utilisant Norton pour Windows - 22.5.4 ou une version plus récente) bénéficient de la mise en place d'un nouveau cadre de protection appelée Proactive Exploit Protection (PEP) qui vise à mieux protéger les périphériques Windows des attaques dites “jour-zéro" (“zero-day”) - attaques qui tentent d'exploiter des failles non découvertes et non corrigées (ou vulnérabilités) dans les applications Windows ou dans le système d'exploitation lui-même. PEP dispose de trois techniques de protection puissantes qui arrêteront plusieurs types d’attaques du type jour-zéro dans leurs progrés.

 

Introduction rapide sur l'écosystem "jour-zéro"

Souvent, un chercheur en sécurité ou hacker éthique peuvent découvrir une vulnérabilité dans le logiciel qu'ils étudient. Ils vont ensuite en aviser le fournisseur de logiciels concerné et ils vont travailler ensemble pour assurer la publication  d’un 'patch' (correction) pour résoudre la vulnérabilité sous-jacente. Si toutefois des attaquants malveillants découvrent la vulnérabilité en premier, ils peuvent écrire un code qui peut exploiter la vulnérabilité dans une tentative d'accès à distance non autorisée sur des appareils fonctionnants sous le logiciel vulnérable.

Au cours des deux dernières années, nous avons vu une augmentation significative du nombre d'exploitations jour-zéro utilisées dans les attaques Internet. Il y a un certain nombre de facteurs en jeu ici, mais nos recherches nous amènent à croire qu’un vecteur important de la remontée récente des exploitations jour-zéro est due à une augmentation du niveau de la coopération et de la professionnalisation parmi les attaquants qui sont désireux d'exploiter ces vulnérabilités pour leur profit.


Exploitations de jour-zéro: augmentation de la fréquence et de l'impact

Nombre de vulnérabilités jour-zéro

Source: ISTR Internet Security Threat Report, Symantec 2015​

 

Pendant combien de temps les vulnérabilités jour-zéro sont-elle généralement exposées?

Notre analyse montre que pour les cinq premières attaques jour-zéro qui se sont propagées en 2014, il a fallu aux éditeurs de logiciels une moyenne de 59 jours post- attaque juste pour mettre un correctif logiciel à la disposition de leurs clients. Ce chiffre n’indique pas non plus d’emblée le temps qui a été necessaire pour découvrir ces vulnérabilités sur les appareils des usagers (quelques mois habituellement, voire quelques années dans certains cas), ni le temps supplémentaire nécessaire pour appliquer les corrections respectives.
 

Temps moyen pour un patch face au Top 5 des Vulnérabilités jour-zéro

Le temps moyen pour un patch face aux Top 5 des vulnérabilités jour-zéro en 2014: 59 jours

Que peut faire la Proactive Exploit Protection pour protéger contre la menace d'attaques jour-zéro?

La technologie de protection PEP de Norton fonctionne en reconnaissant la gamme de comportements malveillants qui sont les marqueurs courants d'attaques jour-zéro, puis ensuite en bloquant seulement le logiciel qui présente ces comportements spécifiques. L'un des aspects les plus intéressants de cette approche est qu'elle offre une protection contre les attaques dès que le logiciel vulnérable est déployé, pas seulement “si” et “quand” une vulnérabilité est finalement découverte ou attaquée. Ceci est très important, car il se trouve que la plupart des attaques jour-zéro profitent des vulnérabilités qui existent depuis plusieurs mois et, dans certains cas pendant des années sans avoir été préalablement découvertes.

 

Comment Proactive Exploit Protection peut-elle atteindre une meilleure protection dans le monde réel?

Prenons l'exemple d'une récente attaque jour-zéro appelée Opération Pawn Storm qui s’est propagée en 2015 (lien en anglais) et qui a profité d'une exploitation jour-zéro dans l'environnement largement déployé du logiciel Java.

Pour atteindre son objectif, l’attaque de l’Opération Pawn Storm a exploité une vulnérabilité dans Java pour désactiver un composant connu comme le Gestionnaire de Sécurité Java. Alors que les clients Norton étaient protégés assez rapidement dans ce cas (environ un jour plus tard), les clients autres que Norton qui avaient Java en cours d'exécution ont dû attendre deux jours supplémentaires jusqu'à ce qu’Oracle (la société qui développe Java) publie un correctif pour protéger les clients Java contre l’attaque Opération Pawn Storm. Malheureusement, de nombreux utilisateurs Java sont restés sans protection même plusieurs mois après en raison de la manière quelque peu hasardive avec laquelle les usagers appliquent les mises à jour de logiciels disponibles.

La technologie de protection PEP pour Java vise non seulement à éliminer les temps de latence pour protéger nos clients, mais aussi à fournir une protection complète contre l'exploitation des attaques jour-zéro sur Java en bloquant tout code qui tente de désactiver le gestionnaire de sécurité Java, quelles que soient les nouvelles vulnérabilités criminelles découvertes à l'avenir.


Chronologie de l’ Opération Pawn Storm

 

Attaques par Injection de Code (Heap Sprays) et Gestionnaire d'Exception Structuré (Structured Exception Handler)

Au-delà des attaques Java, les auteurs de logiciels malveillants ont porté leur attention sur deux autres catégories d'attaques communes au cours des dernières années. L’attaque de type Heap Spray (par Injection de Code) se réfère à une attaque qui tente d'insérer un code malveillant dans des emplacements de mémoire prédéterminés dans l'espoir qu'il sera exécuté par une application vulnérable (généralement un navigateur web ou un navigateur externe). En conséquence, PEP comprend un module de prévention en cas d’injection qui, en substance, pré-remplit certains emplacements de mémoire avec un code bénin, et ce faisant bloque efficacement de telles attaques de pouvoir utiliser ces emplacements de mémoire pour des fins malveillantes.

PEP dispose également d'une technique appelée Structured Exception Handler (SEH) contre l'Écrasement. Comme son nom l'indique, PEP empêchera tout code malveillant d'écraser des routines spécifiques de Windows appelées Gestionnaires d'Exceptions Structurées, qui sont conçues pour communiquer à un PC sous Windows ce qu'il faut faire en cas d'exception (ou événement inattendu) surgit lors de l'exécution d'une application. Une exception peut être déclenchée par un certain nombre d'événements irréguliers, comme un appel à diviser par zéro ou une tentative d'accéder à une adresse mémoire invalide. Windows gère un ensemble de routines de ‘gestion’ uniques pour chaque catégorie. Malheureusement, les attaquants habiles ont trouvé des façons de détourner ce mécanisme de gestion des exceptions en utilisant une approche en trois étapes:

  1. Ecrire un code malveillant dans un emplacement de mémoire.
  2. Ecraser la SEH de Windows pour une exception particulière (par exemple, une violation d'accès) afin qu'il pointe par la suite sur ce code malveillant.
  3. Déclencher l'exception appropriée afin que Windows fasse référence au gestionnaire de routine écrasé et soit dupé dans l'exécution du code malveillant.

De cette façon, les attaquants dans le passé ont été en mesure de prendre le contrôle complet à distance d’appareils sans que l'utilisateur n’ai rien fait de plus que de naviguer sur un site Web particulier (piraté ou malveillant). La stratégie de protection de PEP ici est simple: surveiller et empêcher les applications d'écraser la SEH de Windows. De cette façon, le PEP peut protéger contre une large gamme d'attaques jour-zéro qui utilisent cette approche.

 

La Promesse de Proactive Exploit Protection

PEP est un nouveau cadre passionnant qui offre des avantages clés pour les clients Norton, leur permettant de passer d’une protection rapide, à une protection proactive et instantanée qui consolide un système, en corrigeant les vulnérabilités sous-jacentes pratiquement avant même qu'elles n’aient été découvertes. De plus en raison de la nature de ce système basé sur le comportement, il ne repose pas sur des mises à jour signées pour rester efficace. Dans un monde où les vulnérabilités restent non corrigées et non découvertes pendant des mois ou des années et où les attaques jour-zéro sont de plus en plus communes, le PEP est une partie importante de la protection que nous croyons aura un impact positif et significatif sur la vie numérique de nos clients.