![Différence entre su et sudo et comment configurer sudo sous Linux](/f/60afda78310175407af3fb71947e76a9.png?width=100&height=100)
Nous savons tous très bien que les menaces de sécurité continuent d'apparaître de manière incontrôlable, mais celle de cet article semble particulièrement inquiétante. Récemment, un groupe de chercheurs d'une équipe de sécurité bien connue a découvert l'existence d'un nouveau malware avec des techniques d'évasion capables d'aider les cybercriminels à contourner toutes les principales mesures de sécurité antivirus et de sécurité outils.
Les menaces de sécurité continuent d'apparaître de manière incontrôlable, mais celle de cet article semble particulièrement inquiétante. Récemment, un groupe de chercheurs d'une équipe de sécurité bien connue a découvert l'existence d'un nouveau malware avec des techniques d'évasion capables d'aider les cybercriminels à contourner toutes les principales mesures de sécurité antivirus et de sécurité outils.
De plus, il fonctionne même sur toutes les versions des systèmes d'exploitation Windows du géant de la technologie Microsoft. Ainsi, dans cet article, nous allons vous donner toutes les clés du « Process Doppelgänging ».
Cette nouvelle menace de sécurité est surnommée "Process Doppelgänging", cette nouvelle technique d'injection de code profite simplement d'une fonction Windows native et d'une implémentation obsolète pour charger processus. Le groupe de chercheurs qui est responsable de cette découverte a présenté sa découverte lors de la conférence sur la sécurité Black Hat 2017 qui s'est tenue dans la ville de Londres, au Royaume-Uni.
Comme expliqué, Process Doppelgänging est capable d'attaquer toutes les versions modernes du système d'exploitation Windows du géant de la technologie Microsoft. Cela implique qu'il est capable de compromettre la sécurité de Windows Vista à Windows 10. Le responsable de la recherche précise que son fonctionnement est similaire à celui de la technique du Process Hollowing utilisée il y a des années pour contourner les fonctions d'atténuation des principales solutions de sécurité.
À l'heure actuelle, tous les programmes antivirus modernes ont été mis à jour afin que Process Hollowing n'aide pas, il a donc dû rechercher une autre approche pour obtenir une technique similaire. Dans ce cas, nous avons Process Doppelgänging qui "abuse" des transactions Windows NTFS et qui est obsolète implémentation de Windows qui a été conçu à l'époque pour Windows XP mais qui est maintenant parti et s'est modifié à partir de la version à la version.
Dans les tests effectués, ils ont réussi à ignorer les mesures de sécurité imposées par Windows Defender, Kaspersky Labs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG, Panda ou des outils tels que Volatilité. Dans Windows 7 Service Pack 1, Windows 8.1 et Windows 10 ont fait leurs preuves.
Bien sûr, nous devons préciser qu'ils n'ont pas pu ignorer la sécurité de l'antivirus dans Windows 10 Fall Creators Update car l'utilisation de cette technique a provoqué une erreur et l'apparition subséquente du fameux écran bleu de décès. Fait intéressant, le géant de la technologie Microsoft a récemment corrigé ce problème, il est donc possible que Process Doppelgänging fonctionne à nouveau même dans ces versions.
Bien qu'une réponse immédiate du géant de la technologie Microsoft ne soit pas attendue en lançant un correctif de sécurité d'urgence, il serait souhaitable que les principales solutions de sécurité, avec l'antivirus en tête, lancent des mises à jour pour éliminer ce technique.
Alors, que pensez-vous de cette nouvelle menace pour la sécurité? Partagez simplement tous vos points de vue et pensées dans la section des commentaires ci-dessous.