Les chercheurs en sécurité informatique de SentinelOne ont découvert une faille de sécurité critique dans Microsoft Defender, anciennement Windows Defender. Cette vulnérabilité était présente depuis près de 12 ans, et elle permettait à un attaquant d’exécuter du code malveillant à distance. Étrangement, cette faille est passée sous les radars des pirates comme des chercheurs pendant toutes ces années.
Souvenez-vous, ce mardi 9 février 2021, Microsoft a publié son dernier patch Tuesday à destination de Windows 10. Le constructeur en a profité pour corriger une faille de sécurité critique. Figurez-vous que la firme de Redmond s’est occupée d’une vulnérabilité… Vieille de 12 ans.
Cette faille, présente dans le logiciel antivirus Microsoft Defender (anciennement Windows Defender), a été détectée par les chercheurs en sécurité informatique de SentinelOne en novembre 2020. D’après eux, cette vulnérabilité se cachait dans un pilote de Windows Defender, utilisé pour supprimer les fichiers et les infrastructures que des fichiers malveillants peuvent créer sur votre PC.
Une faille dans un pilote de Microsoft Defender
Lorsque ce pilote supprime un fichier malveillant, il le remplace par un nouveau afin de combler le vide durant l’application des correctifs. Seulement, les experts de SentinelOne ont découvert que Windows Defender ne vérifiait pas l’origine de ce fichier de remplacement. De fait, un attaquant était en mesure d’insérer des liens système stratégiques afin de contraindre le pilote à écraser de mauvais fichiers, ou au contraire à exécuter du code malveillant.
En pratique, un pirate pourrait également supprimer des logiciels ou des données cruciales. “Ce bug permet une escalade des privilèges. Les logiciels qui fonctionnent avec de faibles privilèges peuvent s’élever au rang de privilèges administrateur et compromettre la machine”, détaille Kasif Dekel, chercheur principal en sécurité chez SentinelOne.
Comment cette faille est-elle restée inaperçue pendant 12 ans ?
D’après les dires de Microsoft, cette faille représente un risque élevé, bien qu’il y ait plusieurs conditions pour l’exploiter. En effet, un attaquant ne peut l’exploiter que s’il a déjà un accès à distance ou physique à un appareil cible. La question qui demeure est la suivante : comment cette faille a pu rester sous les radars depuis si longtemps ?
Pour les chercheurs, la seule explication est que ce driver n’est pas stocké en permanence sur le disque dur du PC, à l’instar des pilotes d’une imprimante par exemple. À l’inverse, le pilote se trouve dans une bibliothèque de liens dynamiques, une bibliothèque logicielle dont les fonctions sont chargées en mémoire par un programme lors de son exécution. En l’occurrence ici, Microsoft Defender chargeait donc le driver lorsque c’était nécessaire, avant de l’effacer du disque et ainsi de suite. D’après Microsoft, le patch Tuesday du 9 février 2021 a réglé le problème.
Source : Wired
