Windows 10 : les attaquants peuvent lire la liste d’exclusion de Microsoft Defender

Les chercheurs en sécurité ont découvert une vulnérabilité dans le logiciel antivirus de Microsoft qui permet aux attaquants de contourner la protection anti-malware sur les ordinateurs Windows.

Le rapport Bleeping Computer sur le problème avec les dernières versions du système d’exploitation Microsoft Windows 10 indique que le problème affecte particulièrement les appareils avec les versions 21H1 et 21H2.

Microsoft Defender

Microsoft Defender est un programme anti- malware gratuit qui analyse les fichiers et les processus à la recherche de menaces et peut protéger votre PC Windows contre les virus, les logiciels malveillants, les ransomwares et autres menaces de sécurité.

Le module complémentaire Windows Defender Security Center vous permet également d’empêcher l’analyse de certains fichiers, types de fichiers, dossiers, processus, emplacements ou exécutables à l’aide de la fonction d’exclusion.

Cette fonctionnalité peut être utile dans certaines situations où un logiciel malveillant est classé à tort comme une application légitime.

Les listes d’exclusion qui protègent divers composants de Windows 10 varient d’un utilisateur à l’autre et permettent aux attaquants de suivre les emplacements et de stocker des fichiers malveillants sur les appareils.

Antonio Cocomazzi, chercheur sur les menaces chez SentinelOne, a déclaré que Microsoft Defender permet à tout utilisateur local de lire des données sensibles stockées dans des listes d’exclusion via des requêtes de registre ; il est en fait précis et n’utilise pas de discours informel.

L’outil Windows Defender AV permet aux utilisateurs de lire les exceptions du système de fichiers et du registre sur le système.

Vulnérabilité de sécurité de Microsoft Defender 

En outre, l’architecte en cybersécurité Nathan McNulty a souligné que les attaquants peuvent utiliser l’arborescence du registre pour accéder aux listes d’exclusion de plusieurs systèmes.

« Pour ceux qui configurent Defender AV sur des serveurs, sachez qu’il existe des exclusions automatiques qui sont activées lorsque certains rôles ou fonctionnalités sont installés », a tweeté McNulty. 

Cependant, vous pouvez créer un emplacement d’installation personnalisé pour une application qui n’est pas répertoriée.

Mises à jour de sécurité

Microsoft a annoncé aujourd’hui une mise à jour de sécurité qui corrige une vulnérabilité qui pourrait être exploitée par des logiciels malveillants. La vulnérabilité a été signalée pour la première fois par des chercheurs en sécurité il y a huit ans.

Microsoft n’a pas encore résolu ce problème, et on ne sait pas quand une solution pourrait être disponible pour les utilisateurs de son système d’exploitation Windows.

Les administrateurs sont encouragés à configurer les exclusions Microsoft Defender à l’aide de stratégies de groupe sur les PC Windows 10 et les PC Windows Server.

Avez-vous déjà rencontré la vulnérabilité de sécurité de Microsoft Defender ? Partagez vos pensées avec nous dans la section des commentaires ci-dessous.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.