Pour gérer vos consentements :
Actualités: TENDANCES

Websense détecte une nouvelle méthode de contournement des antivirus

Selon Stephan Chenette, responsable de la sécurité pour Websense, une nouvelle forme d’attaque via le Web pourrait rendre les produits antivirus inefficaces. Baptisée « fragmentation de script », cette méthode consiste à morceler un code malveillant en pluseirs parties et à les distribuer de manière synchrone pour échapper aux systèmes de détection par signatures.

« Ce type d’attaque permet de faire transiter le code [malveillant]du serveur vers la mémoire du navigateur puis de l’exécuter », a confié le chercheur à eWeek.com. « Une fois que vous êtes en mesure de déclencher le code, vous êtes en possession de cette machine, ce qui signifie que vous pouvez désactiver tous ses mécanismes de protection. »

La méthode fonctionne de la manière suivante : une routine Javascript anodine, utilisant XDR (eXternal Data Representation ) ou XHR (XMLHttpRequest), est intégrée dans une page web. Quand un internaute visite celle-ci, du code supplémentaire est alors lentement téléchargé à partir d’autres serveurs web, quelques octets à la fois. Le moteur antivirus de l’utilisateur n’est alors en mesure d’analyser que quelques octets inoffensifs pour déterminer si le site web est à caractère malveillant.

Ces données sont alors stockées dans une variable Javascript interne. Javascript est alors utilisé pour créer un élément Script au sein du DOM (Document Object Model) du navigateur et ajouter l’information sous forme de texte. Cela permet de modifier le DOM et d’exécuter le code dans l’élément de script.

Selon Stephan Chenette, tout ce processus échappe aux radars des antivirus car il se déroule entièrement dans la mémoire. De plus, les transferts de données se font sous la forme de fragments si minuscules que les antivirus ne disposent pas d’assez d’éléments de contexte ou d’information pour comparer les signatures. Cette méthode d’attaque constitue une sérieuse menace pour tous les sites en environnement Web 2.0.

Désactiver le Javascript permet de s’en prémunir mais ce n’est pas une solution réaliste pour les utilisateurs du Web. « Le problème de la désactivation du Javascript est qu’elle bloque l’accès à la plupart des grands sites web qui utilisent cette technologie », explique le chercheur. « Les éditeurs d’antivirus doivent comprendre que dans un monde Web 2.0, […] il est très important non seulement de scanner le contenu statique sur le disque mais également de détecter les modifications opérées au sein même du navigateur. »
(Adaptation d’un article de eWeek.com.)

Gérard Clech

Articles récents

[Partenariat] Splunk et Microsoft Azure : une alliance stratégique pour les revendeurs IT

L’intégration des solutions Splunk sur la plateforme Microsoft Azure ouvre de nouvelles opportunités pour les…

22 heures années

[Tribune] Les ESN asphyxiées par les hausses des coûts de l’IT ?

Une tribune libre de Jan Gabriel, Directeur Alliances & Marketing, ITS Integra 2024 est malheureusement une…

2 jours années

« Apporter des solutions simples à des menaces complexes » : Entretien avec Benoit Juvin, Responsable Channel de Barracuda

Le marché de la cybersécurité continue de se transformer à un rythme effréné, poussé par…

3 jours années

Avec sa Partner Sales Engineer Community, Barracuda entend fédérer la communauté des revendeurs et MSP

Barracuda, spécialiste des solutions de cybersécurité « cloud-first », lance sa Partner Sales Engineer Community.…

3 jours années

Les déchets électroniques augmentent 5 fois plus vite que la quantité de déchets recyclés.

La plupart des entreprises continuent de remplacer leurs équipements (ordinateurs, tablettes, smartphones) selon des cycles…

3 jours années

Distribution : Westcon-Comstor en croissance de 16% sur le 1er semestre 2024

Westcon-Comstor poursuit sa transition vers un modèle basé sur des revenus récurrents, s'appuyant notamment sur…

3 jours années