Vulnérabilité dans l’antivirus ESET

Dans le cadre de Project Zero, Tavis Ormandy a découvert une vulnérabilité importante dans l’antivirus ESET puisqu’elle concerne le moteur d’émulation de l’AV.

Au lancement d’un exécutable inconnu sur un OS protégé par ESET, l’antivirus intercepte l’exécution de l’exécutable et émule les 80000 premières instructions assembleurs (à condition que le binaire réponde à certaines caractéristiques comme la présence d’une section exécutable et écrivable…)

L’AV est à l’affût de certaines instructions caractéristiques d’un mécanisme d’unpacking.
Pour réaliser cette émulation il tient à jour une stack à lui qui mimique la stack du malware potentiel en analysant les instructions assembleurs. Malheureusement il y a une faille dans la logique employée par ESET et il est alors possible pour un malware de provoquer une écriture dans la stack de l’antivirus en dehors de la zone qu’ESET pensait utiliser…

De part les privilèges dont dispose l’AV sur le système et la phase à laquelle l’exploitation se fait ça en fait une faille plus qu’intéressante pour un ver.
ESET a corrigé le problème et propose déjà une mise à jour à ses utilisateurs.