- Le logiciel antivirus Defender de Microsoft présente une faille qui pourrait permettre aux pirates d'exécuter du code malveillant sur des PC Windows vulnérables.
- Depuis au moins huit ans, ce problème affecte Windows 10 21H1 et Windows 10 21H2; cependant, ce n'est que récemment qu'il a été découvert et identifié.
- Le virus permet aux pirates de stocker des programmes malveillants dans des zones non routinières de l'ordinateur, leur permettant de contourner les analyses antivirus.
Un attaquant peut tirer parti d'une faiblesse de la fonctionnalité antivirus de Microsoft Defender pour implanter des logiciels malveillants dans des emplacements que Windows Defender exclut de l'analyse.
Le problème existe depuis au moins huit ans, bien qu'il n'ait été identifié que récemment et affecte Windows 10 21H1 et Windows 10 21H2.
Ajouter des lieux
Microsoft Defender peut exclure des emplacements spécifiques de votre ordinateur de l'analyse, pour s'assurer que les zones contenant des informations importantes ne sont pas endommagées par inadvertance par une analyse antivirus.
Il existe de nombreuses applications logicielles légitimes que, pour diverses raisons, les programmes antivirus identifient à tort comme des logiciels malveillants et mettent ainsi en quarantaine ou bloquent l'accès à un ordinateur.
Si un utilisateur inclut un nom d'utilisateur dans sa liste d'exceptions, cela pourrait donner à un attaquant informations utiles sur le système. Il leur permet de stocker des fichiers malveillants dans des zones de l'ordinateur qui ne sont pas recherchées lors d'une analyse de routine.
Les chercheurs en sécurité ont découvert que le logiciel de sécurité Defender de Microsoft exclut une liste d'emplacements dangereux de l'analyse, mais que tout utilisateur local peut y accéder.
Couverture compromise
Même si Windows Defender est autorisé à rechercher des logiciels malveillants et des fichiers dangereux dans le registre, les utilisateurs locaux peuvent interroger le registre pour déterminer les chemins que Defender n'est pas autorisé à vérifier.
Antonio Cocomazzi, le chercheur sur les menaces crédité de la découverte de la vulnérabilité RemotePotato0, note qu'il n'y a aucune sécurité pour ces informations.
Bien que Microsoft Defender n'analyse pas tout, sa commande "reg query" révèle ce que le programme est invité à ne pas analyser, y compris les fichiers, les dossiers, les extensions et les processus.
Un autre expert en sécurité Windows, Nathan McNulty, affirme que le problème n'est présent que sur les versions 21H1 et 21H2 de Windows 10, mais qu'il n'affectera pas Windows 11.
Paramètres de stratégie de groupe
Une autre façon d'obtenir les paramètres de stratégie de groupe consiste à récupérer la liste des exclusions du registre. Ces informations fournissent des détails sur ce qui est exclu et sont plus sensibles que la simple liste des paramètres actifs sur un ordinateur particulier.
Microsoft vous recommande de désactiver les exclusions automatiques dans Microsoft Defender lorsque la plate-forme de serveur n'est pas dédiée à la pile Microsoft, explique McNulty. Si un serveur exécute un logiciel non Microsoft, vous devez autoriser Defender à analyser des emplacements arbitraires.
Même si la liste des exclusions de Microsoft Defender peut être obtenue par un attaquant disposant d'un accès local, il s'agit d'un petit défi à relever.
Lorsqu'un réseau d'entreprise est déjà compromis, les attaquants sont souvent à la recherche de moyens de se déplacer à l'aide d'outils moins visibles.
Scan complet
Microsoft Defender permet l'exclusion de certains dossiers pour empêcher l'antivirus d'analyser les fichiers à ces emplacements. L'auteur du logiciel malveillant peut alors stocker et exécuter des fichiers infectés à partir de ces dossiers sans être repéré.
Un consultant senior en sécurité dit qu'il a remarqué le problème pour la première fois il y a environ huit ans et qu'il a immédiatement compris son potentiel d'utilisation malveillante.
"Je me suis toujours dit que si j'étais une sorte de développeur de logiciels malveillants, je chercherais simplement les exclusions WD et m'assurerais de déposez ma charge utile dans un dossier exclu et / ou nommez-le de la même manière qu'un nom de fichier ou une extension exclu », a expliqué Aura.
Si vous êtes administrateur réseau d'un environnement Microsoft, consultez votre documentation Microsoft pour des informations sur la façon d'exclure le programme Defender de l'analyse et de l'exécution sur tous vos serveurs et locaux Machines.
Quelles sont vos principales préoccupations concernant l'échappatoire qui offre aux pirates la possibilité de contourner Microsoft Defender? Partagez vos pensées avec nous dans la section des commentaires ci-dessous.
