En réponse à Marc Olanié sur son article sur la vulnérabilité de KAV et KIS 6 et 7 publiée sur rootkit.com, je voudrais apporter quelques explications.

Ce qu'il faut savoir sur cette vulnérabilité est la grande difficulté avec laquelle on peut l'exploiter.

Dans un premier temps, cette vulnérabilité ne peut fonctionner, que si et seulement si, Windows est ouvert !!! peu probable dans les versions XP/Vista!

A savoir qu'un partage réseau n'est pas suffisant. Il faut que l'administrateur du poste Windows permette non seulement un partage réseau, mais également le fait qu'une personne extérieure puisse exécuter des programmes à distance!

Chose qui, n'est évidemment pas autorisé par défaut lors des installations des OS Windows.

L'impossible étant possible, pour que cette attaque puisse fonctionner, il faudrait que le poste soit infecté par une backdoor, que cette backdoor ouvre un port TCPIP, qu'elle puisse permettre d'exécuter un programme, que ce programme soit poussé par le créateur, puis ensuite que le créateur puisse accéder à la machine pour son lancement, pour qu'ensuite, de nombreux écrans bleus apparaissent, pour qu'au final, l'utilisateur appuie sur son interrupteur d'arrêt de la machine pour la redemarrer.

Cela fait beaucoup de choses pour un écran bleu ou l'extinction du PC ....pas glop!!!!

Les utilisateurs possédant Kaspersky, mettent à jour leurs bases antivirales en moyenne toutes les heures..ou moins, si ils ont choisi de mettre la mise à jour des bases en automatique.

Actuellement (voir les stats des fréquences de mises à jours de nos viruslabs) , on peut constater que depuis plus d'un mois maintenant, environ toutes les 39 minutes, de nouvelles bases sont disponibles au téléchargement. Téléchargement, qui, par défaut dans KAV/KIS 6 et 7, sont automatiques.

Les probabilités d'infections via une backdoor, puis la réception d'un malware qui permettra l'exécution de l'exploit, se trouvent minimisées.

D'autre part, la PDM (le module proactive défense du moteur) permet une exécution et une vérification dans une sandbox heuristique des codes ne reagissant pas aux signatures. Cette PDM permet notamment d'analyser les intégrités du système (toute exécution est controlée, mais aussi une analyse de l'activité de la registre, des processus, des installations et exécutions cachées).

Vous me direz : c'est là que l'exploit intervient !!

Je vous répondrai, oui, mais comment pourrait-il se copier, s'exécuter si il est bloqué par les analyses des AVBases ou de la proactive défense?

De même, étant donné que cet exploit ne peut se lancer qu'en effectuant un éventuel contrôle total à distance de la machine, il est difficilement probable que cet exploit s'active dans le monde à petite, moyenne ou grande échelle.....

Bref, suite au collège que j'ai eu avec notre équipe de développeurs gérant les vulnérabilités, on peut dire que cette vulnérabilité est classée au niveau BAS.

Nous travaillons actuellement dessus et la mise à jour de KLIF.SYS sera effectuée de façon automatique sur KAV/KIS.

Donc pas de panique face à cet exploit, qui, je vois, commence à faire couler de l'encre !