Un groupe de chercheurs des universités de Pittsburgh, Carnegie Mellon et Berkeley vient de publier les résultats d'une étude sur la vulnérabilité des programmes Microsoft suite à la mise en circulation de correctifs. Ces chercheurs ont mis au point une technique qui crée automatiquement du code d'attaque en comparant les versions vulnérables et réparées d'un même programme.
La méthode, baptisée Automatic Patch Based Exploit Generation (APEG), peut créer du code d'attaque pour la plupart des types de vulnérabilité en quelques minutes en automatisant l'analyse des correctifs grâce à une technique hybride. Et si Microsoft ne change pas la façon dont ses correctifs sont distribués aux utilisateurs, des pirates pourraient créer un système similaire pour attaquer les systèmes non corrigés quelques minutes après la publication de correctifs. Beaucoup de professionnels de la sécurité informatique utilisent déjà la rétro-ingénierie pour déterminer les failles comblées par les correctifs mais le temps nécessaire à ce genre de travaux est actuellement de l'ordre de la journée.
Les avancées majeures de la méthode APEG sont donc sa rapidité et son automatisation. A partir des différences entre un programme vulnérable et un programme corrigé, la méthode APEG peut exploiter une faille de code en quelques minutes voire quelques secondes. "Je dirai que c'est la prochaine étape dans le cycle du développement des logiciels malveillants" affirme John C Bambenek, chercheur à l'université d'Illinois.
Afin de contrer de telles attaques, l'équipe de chercheurs a détaillé quelques mesures qui pourraient limiter les menaces lors de la publication de nouveaux correctifs. Les éditeurs de logiciel pourraient par exemple crypter les correctifs avec des clés ou utiliser une distribution par Peer-to-Peer.
