Récemment signalée confidentiellement dans Malwarebytes Anti-Malware (gratuit, premium et de l’entreprise) permet à des attaquants d’exécuter l’homme dans le milieu des attaques contre les systèmes exécutant le logiciel.
Malwarebytes Anti-Malware est un populaire de deuxième avis scanner, et de la prime et de l’entreprise les editions du programme ajouter une protection en temps réel parmi d’autres choses qui apportent un plus en ligne avec les solutions antivirus traditionnelles.
Le programme est tenu en haute estime par beaucoup pour ses détection des logiciels malveillants et des capacités de nettoyage.
Google chercheur Tavis Ormandy a alerté Malwarebytes au début de novembre 2015, de plusieurs failles de sécurité qu’il a trouvé dans Malwarebytes Anti-Malware.
Malwarebytes réussi à patcher plusieurs de ces vulnérabilités côté serveur “quelques jours”, et est de tester une nouvelle version du logiciel client à l’interne qui il envisage de publier, dans les trois ou quatre prochaines semaines que le patch à la question sur le côté client.
Ormandy a découvert que le logiciel extrait les mises à jour de signature sur http. Alors que les données sont chiffrées, il a découvert qu’il est assez facile pour quiconque de le déchiffrer à l’aide de commandes.
MalwareBytes extrait de leurs mises à jour de signature sur HTTP, permettant à un man in the middle attack. Le protocole consiste à télécharger les fichiers YAML sur HTTP pour chaque mise à jour de http://data-cdn.mbamupdates.com. Bien que les fichiers YAML comprennent une somme de contrôle MD5, il est servi sur HTTP et non signé, un attaquant suffit de le remplacer.
Les attaquants ont différentes options à leur disposition pour exploiter la question.
Il existe de nombreux moyens simples à mettre en exécution de code, tels que la spécification d’un fichier cible dans la configuration du réseau, l’écriture d’un nouveau TXTREPLACE de la règle à modifier les fichiers de configuration, ou en modifiant une Clé de Registre avec une REMPLACER la règle.
Malwarebytes a confirmé la vulnérabilité publiquement dans un récent billet de blog révélant qu’il travaille sur un correctif. La société a annoncé le lancement de la Malwarebytes Bug du programme de primes en liquide bug bounty de jusqu’à 1000 $pour signalé des problèmes dans l’application.
Les utilisateurs qui exécutent la prime ou de l’entreprise version de l’application qui peut le protéger en activant le haut-auto-protéger module:
- Cliquez-droit sur le Malwarebytes Anti-Malware icône dans la barre d’état système et sélectionnez l’option ouvrir.
- Sélectionnez Paramètres > Paramètres Avancés.
- Cochez la case “Activer l’auto-module de protection” s’il n’est pas encore activée.
Google Project Zero initiative a révélé des failles dans les produits par des sociétés de sécurité comme AVG, Kaspersky, Sophos et TrendMicro dans le passé.