En raison d’une attribution de droits laxiste, Microsoft Defender facilite inutilement la tâche des intrus qui souhaitent dissimuler les logiciels malveillants avant les futures analyses et éviter ainsi d’être détectés. En effet, tout utilisateur connecté à un système peut lire la liste des exceptions d’analyse de l’antivirus Microsoft à l’aide d’une simple commande. Si un cambrioleur place un malware dans un tel répertoire, le Defender ne le détectera pas non plus à l’avenir. On ne sait pas si des cybercriminels ont déjà profité de cette situation.
Le chercheur en sécurité informatique Antonio Cocomazzi de SentinelOne a récemment posté la faille sur Twitter.
Il a expliqué que cela ne fonctionnait pas seulement pour les exceptions créées localement, mais aussi pour les exceptions d’analyse distribuées dans les domaines Windows avec des stratégies de groupe. Selon d’autres chercheurs en sécurité, la faille affecte Microsoft Defender sous Windows 10 build 21H1 et 21H2. En revanche, elle n’est pas présente dans Windows 11.
La faille n’est toutefois pas entièrement nouvelle – d’autres chercheurs sont déjà tombés dessus. Paul Bolten, par exemple, l’avait déjà fait en mai dernier.
Sommaire
Conséquences pratiques
Les droits de lecture également pour les utilisateurs non privilégiés (Jeder respectivement Authentifizierte Benutzer) simplifient inutilement la tâche des intrus dans le système. Toutefois, les pirates plus professionnels n’en dépendent pas. Ils cachent également leurs logiciels malveillants aux solutions antivirus d’autres fournisseurs, sans utiliser d’exceptions d’analyse – que les administrateurs informatiques ou les utilisateurs pourraient découvrir ou modifier. Cela implique toutefois un peu plus d’efforts :
Tous les fabricants d’antivirus connaissent le phénomène quotidien de la publication de nouvelles signatures et aussi de méthodes heuristiques avec lesquelles ils détectent les logiciels malveillants. Quelques minutes après la diffusion des mises à jour, les programmeurs de logiciels malveillants disposent d’une version légèrement adaptée qui n’est plus détectée par les nouvelles mises à jour.
Dans un tel cas, les cambrioleurs échangent rapidement leurs logiciels malveillants sur des ordinateurs ou des réseaux compromis. Cette étape est inutilement simplifiée par la faille de Microsoft Defender.
Contrôle des droits
On ne sait pas si Microsoft va résoudre le problème avec une mise à jour. Toutefois, l’éditeur de registre regedit permet aux utilisateurs et aux administrateurs expérimentés de vérifier les autorisations de la clé HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows DefenderExclusions et les modifier si nécessaire.