Un attaquant pourrait utiliser une vulnérabilité de Microsoft Defender Antivirus pour placer des logiciels malveillants dans des endroits que Windows Defender exclut de l’analyse.
Le problème existe depuis au moins huit ans, bien qu’il n’ait été découvert que récemment et affecte Windows 10 21H1 et Windows 10 21H2.
Ajouter des emplacements
Microsoft Defender peut exclure certaines zones de votre ordinateur de l’analyse pour garantir que les zones contenant des informations sensibles ne sont pas accidentellement corrompues par les analyses antivirus.
Il existe de nombreuses applications logicielles légitimes qui, pour diverses raisons, sont identifiées à tort comme des logiciels malveillants par des programmes antivirus et mettent ainsi en quarantaine ou bloquent l’accès à l’ordinateur.
Si un utilisateur inclut le nom d’utilisateur dans sa liste d’exclusion, cela peut donner à un attaquant des informations utiles sur le système . Cela leur permet de stocker des fichiers malveillants dans des zones de l’ordinateur qui ne sont pas vérifiées lors des analyses régulières.
Les chercheurs en sécurité ont découvert que le logiciel Microsoft Defender exclut la liste des emplacements dangereux de l’analyse, mais que tout utilisateur local peut y accéder.
Couverture compromise
Bien que Windows Defender soit autorisé à analyser le registre à la recherche de logiciels malveillants et de fichiers dangereux, les utilisateurs locaux peuvent interroger le registre pour déterminer les chemins que Defender ne peut pas analyser.
Antonio Cocomazzi, un chercheur sur les menaces crédité d’avoir découvert la vulnérabilité RemotePotato0, note que ces informations ne sont pas sécurisées.
Bien que Microsoft Defender n’analyse pas tout, sa commande « reg query » indique que le programme est invité à ne pas analyser, y compris les fichiers, dossiers, extensions et processus.
Un autre expert en sécurité Windows, Nathan McNulty, affirme que le problème n’est présent que dans les versions 21H1 et 21H2 de Windows 10, mais n’affectera pas Windows 11.
Paramètres de stratégie de groupe
Une autre façon d’obtenir les paramètres de stratégie de groupe consiste à obtenir une liste d’exceptions à partir du registre. Ces informations fournissent des informations détaillées sur ce qui est exclu et sont plus sensibles que la simple liste des paramètres actifs sur un ordinateur particulier.
Selon McNulty, Microsoft recommande de désactiver les exclusions automatiques dans Microsoft Defender lorsque la plateforme serveur n’est pas dédiée à la pile Microsoft. Si un logiciel tiers est installé sur le serveur, vous devez autoriser Defender à analyser des emplacements arbitraires.
Bien qu’il soit possible pour un attaquant disposant d’un accès local d’obtenir la liste d’exclusion de Microsoft Defender, il n’est pas difficile de résoudre ce problème.
Lorsqu’un réseau d’entreprise est déjà compromis, les attaquants cherchent souvent des moyens de le contourner avec des outils moins visibles.
Scan complet
Microsoft Defender vous permet d’exclure certains dossiers afin que votre antivirus n’analyse pas les fichiers à ces emplacements. L’auteur du logiciel malveillant peut alors enregistrer et exécuter des fichiers infectés à partir de ces dossiers sans se faire remarquer.
Le consultant senior en sécurité dit qu’il a remarqué le problème pour la première fois il y a environ huit ans et a immédiatement reconnu son potentiel d’utilisation malveillante.
« Je me suis toujours dit que si j’étais une sorte de développeur de logiciels malveillants, je regarderais simplement les exceptions WD et m’assurerais de mettre ma charge utile dans le dossier exclu et/ou de le nommer de la même manière que le nom ou l’extension du fichier exclu », expliqua Aura.
Si vous êtes un administrateur réseau pour un environnement Microsoft, veuillez vous référer à la documentation Microsoft pour savoir comment exclure Defender de l’analyse et de l’exécution sur tous vos serveurs et ordinateurs locaux.
Qu’est-ce qui vous inquiète le plus dans la faille qui permet aux pirates de contourner Microsoft Defender ? Partagez vos pensées avec nous dans la section des commentaires ci-dessous.
Laisser un commentaire