Flux de données alternatifs (ADS) : vulnérabilité du système de fichiers Windows

Les flux de données alternatifs (ADS) sont une fonctionnalité du système de fichiers NTFS qui permet de stocker des données supplémentaires dans un fichier sans modifier son contenu original. Ces données supplémentaires résident dans des flux alternatifs, comme le flux de ressources contenant des métadonnées. Un exemple courant est l'aperçu miniature affiché pour certains types de fichiers. Les attaquants exploitent les ADS pour dissimuler des logiciels malveillants, en intégrant des charges utiles malveillantes dans le flux alternatif d'un fichier. Cette technique permet d'échapper aux logiciels antivirus traditionnels et aux outils d'analyse statique, car le logiciel malveillant est invisible pour les visualisateurs de fichiers standard. Le logiciel malveillant peut être un fichier exécutable caché dans un fichier apparemment inoffensif, comme un document texte. Même si le fichier principal est vide, l'exécutable caché existera dans ses ADS. L'accès et l'exécution de ce logiciel malveillant caché nécessitent souvent des privilèges élevés, potentiellement obtenus grâce à des techniques comme l'exploitation des vulnérabilités de Contrôle de compte d'utilisateur (UAC). L'attaquant pourrait ensuite l'utiliser pour exécuter du code malveillant lors d'une vérification de mise à jour Windows. Ceci met en évidence les risques de sécurité liés aux ADS et la nécessité de mesures de sécurité avancées. Comprendre les ADS est crucial pour identifier et atténuer ce type de menace.