James Steidl - Fotolia
Un nouveau bug critique affecte Windows Defender
Une vulnérabilité de Windows Defender, tout juste dévoilée, peut permettre de prendre le contrôle complet d’une machine à distance, et d’y créer des comptes d’administrateur.
Juste au cas où les professionnels de l'informatique auraient besoin de plus de preuves que les défauts des logiciels antivirus comptent parmi les plus dangereux : le tout dernier bogue de Windows Defender, découvert ce lundi 26 juin, pourrait permettre la prise de contrôle à distance complète du système.
Tavis Ormandy, chercheur en sécurité pour l'équipe du Projet Zero de Google, explique ainsi avoir écrit un outil de fuzzing pour Windows Defender et trouvé immédiatement la vulnérabilité, basée sur une corruption de mémoire. Microsoft a décrit le bogue comme une vulnérabilité d'exécution de code à distance qui trouve son origine dans le moteur de protection contre les logiciels malveillants (MPE, Malware Protection Engine).
Dans une note d’information, Microsoft détaille la portée de la faille : « un attaquant qui exploiterait cette vulnérabilité avec succès pourrait exécuter du code arbitraire dans le contexte de sécurité du compte LocalSystem et prendre le contrôle du système. Un attaquant pourrait alors installer des logiciels, afficher, modifier ou supprimer des données, créer de nouveaux comptes utilisateurs ». L’exploitation de la vulnérabilité nécessite la création d’un fichier taillé sur mesure pour piéger MPE. Selon Microsoft, il existe plusieurs façons d'exploiter ce bogue, dépendant de la manière dont le fichier malveillant arrive dans l’un des emplacements surveillés par MPE.
Pour Ormandy, il s’agit là d’une « primitive très puissante, et l'exploitation ne semble pas difficile ». Simon Zerafa, un technicien informatique professionnel, souligne quant à lui que la capacité d'un fichier exécutable portable malveillant à exploiter ce bug est très dangereuse.
So if you can make anything which is downloaded via any process look like a PE file then you could get System level execution. Marvelous! 🙁
— Simon Zerafa (@SimonZerafa) June 23, 2017
Microsoft a lancé une mise à jour avec Malware Protection Engine version 1.1.13903.0 pour Windows 7, Windows 8.1, Windows 10 et Windows Server 2008.
D’autres vulnérabilités d’antivirus
Ce bogue de Windows Defender n’est en fait que le dernier d’une série déjà longue, dont beaucoup ont été trouvés par l'équipe du Projet Zero de Google. En mai dernier, Microsoft a publié un correctif hors cycle pour corriger un bug de Windows Defender trouvé par Ormandy et Natalie Silvanovich. A l'époque, Ormandy avait déclaré que les vulnérabilités de MPE « sont parmi les plus graves possibles dans Windows, en raison du privilège, de l'accessibilité et de l'ubiquité du service ».
Depuis 2015, Ormandy a trouvé de multiples vulnérabilités dans les produits antivirus, et notamment ceux de Kaspersky et de Symantec. En ce qui concerne l’une de celles trouvées dans le logiciel antivirus Norton, Ormandy a déclaré qu’elle était « aussi grave qu’il est possible de l’être », car son exploitation nécessitait aucune interaction de l'utilisateur et le moteur d'analyse antivirus était chargé dans le noyau du système.