Un very bad bug dans Defender corrigé en urgence par Microsoft

Sécurité : Deux experts en sécurité de Google Project Zero ont identifié une vulnérabilité jugée très néfaste dans le moteur antivirus de Microsoft, intégré notamment dans Windows Defender et donc des versions de Windows. L’éditeur a rapidement publié un patch.

 

Microsoft a rapidement livré un patch développé pour remédier à une vulnérabilité zero-day sévère découverte seulement quelques jours plus tôt. Tard lundi 8 mai, le géant de Redmond a publié une alerte de sécurité concernant une faille permettant d’exécuter du code à distance et affectant Windows.

La vulnérabilité avait été identifiée au cours du week-end précédent par Natalie Silvanovich et Tavis Ormandy, deux experts en sécurité associés à Google Project Zero. Sur Twitter, le spécialiste renommé de la chasse aux bugs, Ormandy, avait révélé l’existence de cette faille 0-Day dans Microsoft Malware Protection Engine (MsMpEng), utilisé notamment par Windows Defender et d’autres produits de sécurité.

Dans un message, le chercheur estimait être confronté à un bug “salement méchant”, peut-être selon lui le pire du genre, de mémoire récente. L’expert de Google n’a cependant pas fourni de précision afin de permettre à Microsoft de développer un correctif sans exposer les utilisateurs.

La vulnérabilité permet à des attaquants d’exécuter du code à distance si le moteur antivirus de Microsoft analyse un fichier conçu spécialement à cet effet. Des pirates peuvent ainsi accéder à un compte local et prendre le contrôle de l’ensemble du système.

Ils obtiennent alors un contrôle total sur l’installation ou la suppression de logiciels, sont en mesure de voler des informations, de créer de nouveaux comptes avec des droits utilisateur complets et de télécharger d’autres logiciels malveillants.

D’après l’équipe de Project Zero, la faille peut être exploitée contre des victimes simplement au travers de l’envoi d’un email, sans même la nécessité que ce message ait été ouvert ou une pièce jointe téléchargée.

Ormandy précise que la vulnérabilité peut uniquement être utilisée contre des systèmes par défaut. Autre particularité, elle est exposée aux vers. En d’autres termes, un programme malveillant peut se répliquer lui-même pour se répandre au-delà du système ciblé.

“Les vulnérabilités de MsMpEng sont parmi les plus graves possible dans Windows, en raison du privilège, de l’accessibilité et de l’ubiquité du service” expliquent les experts en sécurité. Et la menace est accrue si la protection en temps réel est activée. Dans le cas contraire, le fichier piège devra attendre un scan planifié pour profiter de la faille.

Les logiciels concernés par cette 0-Day sont nombreux : Microsoft Forefront Endpoint Protection 2010, Microsoft Endpoint Protection, Microsoft Forefront Security pour SharePoint Service Pack 3, Microsoft System Center Endpoint Protection, Microsoft Security Essentials, Windows Defender pour Windows 7, Windows Defender pour Windows 8.1 et RT 8.1, Windows Defender pour Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703, et Windows Intune Endpoint Protection.

Microsoft ajoute néanmoins que la fonction de sécurité Control Flow Guard (CFG) réduit le risque de compromission sur certaines des dernières plateformes où elle est activée. L’éditeur est par ailleurs salué par Ormandy pour la rapidité avec laquelle il a réagi pour déployer un patch d’urgence.

Microsoft affirme qu’aucun rapport ne fait état de l’exploitation de ce bug. Les administrateurs système n’ont pas besoin d’agir car les systèmes internes de Microsoft pousseront les mises à jour du moteur sur les systèmes vulnérables. La mise à jour peut également être appliquée manuellement pour une correction plus rapide.

Voir aussi notre page
Chiffres clés : le marché des logiciels de sécurité

Un very bad bug dans Defender corrigé en urgence par Microsoft

Source : L’article << Un very bad bug dans Defender corrigé en urgence par Microsoft >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

rester-informer
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

Par | 2017-05-10T02:10:36+00:00 mai 10th, 2017|Actualité|0 commentaire

Laisser un commentaire