IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft corrige une faille critique dans sa solution antivirus Windows Defender dont la PoC a été chiffrée
Pour éviter de faire planter le système

Le , par Stéphane le calme

231PARTAGES

8  0 
Microsoft a récemment corrigé une vulnérabilité critique dans Windows Defender, l’antivirus intégré à son système d’exploitation. La vulnérabilité aurait pu permettre aux attaquants d'exécuter des codes malveillants après avoir attiré les utilisateurs sur un site piégé ou après les avoir incités à ouvrir un fichier piégé via courriel ou message instantané.

Pour un utilisateur ciblé, qui avait une protection en temps réel activée, il n’était pas nécessaire de cliquer sur le fichier piégé ou d’entreprendre une autre action que de se rendre sur le site Web malveillant pour que l’infection ait lieu. Même lorsque la protection en temps réel était désactivée, les fichiers malveillants auraient été lancés peu de temps après le démarrage d'un scan programmé.

Une situation qui était due au fait que l'émulateur x86 vulnérable n'était pas protégé par un sandbox de sécurité et qu'il était accessible à distance aux attaquants. C'est ce qu’a expliqué Tavis Ormandy, un chercheur faisant partie du Google Project Zero, qui a découvert la vulnérabilité et l'a expliquée dans un rapport.

Ormandy a déclaré qu'il a identifié la faille presque immédiatement après avoir développé un fuzzer pour le composant Windows Defender. Pour rappel, le fuzzing (ou test à données aléatoires) est une technique pour tester des logiciels. L'idée est d'injecter des données aléatoires dans les entrées d'un programme. Si le programme échoue (par exemple en plantant ou en générant une erreur), alors il y a des défauts à corriger.

« J'ai élaboré un fuzzer et j'ai immédiatement trouvé une corruption dans l'ERNEL32.DLL! VFS_Write API », a-t-il écrit le 7 juin dernier. « Je soupçonne qu’il n’y a jamais eu de fuzzing dessus auparavant. » Comme à l’accoutumée, Google a laissé 90 jours à Microsoft pour corriger la vulnérabilité. Microsoft l’ayant déjà colmatée, Google a rendu son rapport public.

Il s’agit là de la troisième vulnérabilité critique de Windows Defender que les chercheurs du projet Zero ont révélé au cours des sept dernières semaines. L'émulateur est utilisé pour exécuter des fichiers non approuvés qui pourraient avoir le potentiel d'exécuter du code. Interrogé sur la question de savoir si Microsoft avait précédemment fusionné le composant Windows Defender, un représentant de l'entreprise a déclaré que oui.

« Le fuzzing est l'une des nombreuses techniques que nous employons pour mettre à jour et renforcer notre logiciel », a déclaré le représentant dans un courrier électronique. « C'est une pratique courante que nous utilisons dans le cadre du Security Development Lifecyle pour nos produits. »

Dans un avis qui a également été publié vendredi, des responsables de Microsoft ont déclaré que les pirates qui exploitaient la vulnérabilité auraient pu exécuter un code arbitraire qui fonctionnerait avec les droits d'un compte LocalSystem. Selon un document, le compte LocalSystem a « des privilèges étendus sur l'ordinateur local et agit comme l'ordinateur sur le réseau. » En exploitant le bogue de corruption de mémoire dans l'émulateur Windows Defender, un attaquant peut prendre le contrôle du système et effectuer diverses tâches, y compris l'installation de programmes, l'affichage, la modification ou la suppression de données, ainsi que la création de nouveaux comptes avec des droits complets d’utilisateur.

Ormandy a pris des précautions particulières dans la publication de certains des exploits de preuve de concept, qui ont été liés à un fichier nommé testcase.txt. « Notez que, dès que le fichier testcase.txt touche le disque, il sera immédiatement bloqué par le service MsMpEng sur Windows, ce qui peut déstabiliser votre système », a-t-il expliqué. « Les cas de test ont été chiffrés pour éviter de faire planter votre serveur d'échange. »

L’antivirus de Microsoft n’est pas le seul sur lequel Ormandy a déjà trouvé des failles. L'accumulation régulière de vulnérabilités critiques d’antivirus qu’Ormandy a pu découvrir implique des produits de diverses entreprises parmi lesquelles Kaspersky Lab, Trend Micro, Symantec, McAfee, Eset et Comodo. Pris ensemble, les résultats montrent comment l'utilisation des antivirus peut exposer des utilisateurs à des attaques auxquelles ils ne seraient en aucun cas vulnérables. Néanmoins, cela ne remet pas en question le fait que dans de nombreux cas, ces solutions empêchent aux systèmes de subir des infections qui auraient pu leur coûter cher.

Source : Projet Zero, Microsoft (compte LocalSystem), portail Microsoft (bulletins de sécurité)

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de laside
Membre du Club https://www.developpez.com
Le 28/06/2017 à 13:24
Y a-t-il quelqu'un qui à sérieusement enviagé de confier la protection de son matériel à microsoft ?
Je plaide coupable .

Qu'en pensez-vous ?
Pour les infections constatées autour de moi toutes étaient liées au facteur humain (ouverture de PJ, site de streaming douteux...).
Personnellement je ne m'embête pas avec les avast, Kaspersky et autres je compte plus sur ma vigilance sur internet.

Bon par contre dans un milieu professionnel l’enjeu n'est pas le même.
1  0 
Avatar de UndeadangerousK
Membre habitué https://www.developpez.com
Le 29/06/2017 à 13:21
Citation Envoyé par laside Voir le message
Je plaide coupable .

Pour les infections constatées autour de moi toutes étaient liées au facteur humain (ouverture de PJ, site de streaming douteux...).
Personnellement je ne m'embête pas avec les avast, Kaspersky et autres je compte plus sur ma vigilance sur internet.

Bon par contre dans un milieu professionnel l’enjeu n'est pas le même.
Je ne suis pas contre un antivirus en natif sur un ordinateur, ca serait même plutôt bien. Mais Microsoft n'a pas vraiment communiqué sur Windows Defender, du coup, les utilisateurs lambda ne connaissent pas l'outil. Ca c'était leur première erreur.
Leur seconde erreur, c'était de le faire. Pourquoi ne pas passer un contrat avec quelqu'un qui sait faire ce genre de choses plutôt que de s'y risquer ?

+1 : Le premier facteur d'infection dépend intégralement de celui qui est entre l'ordi et la chaise.
0  0 
Avatar de UndeadangerousK
Membre habitué https://www.developpez.com
Le 28/06/2017 à 11:33
Y a-t-il quelqu'un qui à sérieusement enviagé de confier la protection de son matériel à microsoft ?
0  1