Sécurité Windows 10 : Windows Defender piégé en faisant son travail
Sécurité : Le simple fait de scanner un fichier spécialement conçu pourrait aboutir à la compromission complète d'une machine Windows. Le logiciel de sécurité Windows Defender est concerné, mais d'autres antivirus aussi.
Microsoft a déployé des mises à jour de sécurité pour corriger une faille critique d'exécution de code à distance affectant Windows Defender et d'autres produits anti-malware.
En amont du Patch Tuesday d'avril, Microsoft a publié des correctifs pour une vulnérabilité critique. Celle-ci affecte Microsoft Malware Protection Engine, ou mpengine.dll, le cœur de Windows Defender sur Windows 10.
L'antimalware ciblé par un fichier piégé
"Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de sécurité du compte LocalSystem et prendre le contrôle du système" avertit Microsoft.
En effet, l'attaquant "pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec des droits utilisateur complets" précise encore l'éditeur.
Le chercheur de Google Project Zero, Thomas Dullien, alias Halvar Flake, a constaté que des pirates pouvaient déclencher un problème de corruption de mémoire dans le moteur en soumettant à Windows Defender et à d'autres produits de sécurité concernés un fichier spécialement conçu.
Microsoft souligne qu'un attaquant peut y parvenir de plusieurs façons, notamment en plaçant le fichier sur un site Web, dans un courrier électronique ou un message instantané, sur un site hébergeant des fichiers ou dans un répertoire partagé.
Comme pour les vulnérabilités similaires signalées l'année dernière par le National Cyber Security Center (NCSC) du Royaume-Uni et Project Zero, une attaque serait instantanée si l'antivirus concerné disposait d'une protection en temps réel active.
"Si le logiciel antimalware concerné est activé en protection temps réel, Microsoft Malware Protection Engine analyse automatiquement les fichiers, ce qui entraîne l'exploitation de la vulnérabilité lors de l'analyse du fichier spécialement conçu" signale ainsi Microsoft.
Vulnérabilité accrue avec la protection temps réel
Toutes les versions de Windows et Windows Server sous support embarquant Windows Defender sont affectées. Les utilisateurs devraient recevoir la version corrigée de Microsoft Malware Protection dans les 48 heures, précise la firme de Redmond. La version vulnérable 1.1.14600.4 sera mise à jour vers la version 1.1.14700.5.
"La carte n'est pas le territoire " . "Mieulx est de ris que de larmes escrire, Pour ce que rire est le propre de l'homme. Rabelais". Intel(R) Core(TM) i5-9400F CPU @ 2.90GHz 2.90 GHz 8 Go Win 10 22H2 (19045.3996)
