Microsoft corrige une faille critique dans Windows Defender

Le simple fait de scanner un fichier spécialement conçu pourrait conduire à une machine Windows totalement compromise.
Microsoft a déployé des mises à jour de sécurité pour corriger une faille critique d'exécution de code à distance affectant Windows Defender et d'autres produits anti-malware.

Avant le Patch d'avril, Microsoft a publié des correctifs pour la faille critique, qui affecte Microsoft Malware Protection Engine, ou mpengine.dll, le cœur de Windows Defender dans Windows 10.

"Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de sécurité du compte LocalSystem et prendre le contrôle du système", avertit Microsoft.

"Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec des droits d'utilisateur complets."

Le chercheur de Google Project Zero, Thomas Dullien, alias Halvar Flake , a découvert que les pirates pouvaient déclencher un problème de corruption de mémoire dans le moteur s'ils pouvaient faire en sorte que Windows Defender et d'autres produits de sécurité concernés analysent un fichier spécialement conçu.

Microsoft avertit qu'un pirate peut y parvenir de plusieurs façons, notamment en plaçant le fichier sur un site Web, dans un courrier électronique ou un message instantané, sur un site hébergeant des fichiers ou dans un répertoire partagé.

Comme pour les vulnérabilités similaires signalées l'année dernière par le National Cyber ​​Security Center (NCSC) du Royaume-Uni et Project Zero , une attaque serait instantanée si l'antivirus concerné avait une protection en temps réel activée.

"Si le logiciel anti-programme malveillant concerné est activé en temps réel, Microsoft Malware Protection Engine analyse automatiquement les fichiers, ce qui entraîne l'exploitation de la vulnérabilité lors de l'analyse du fichier spécialement conçu", note Microsoft.

Si l'analyse en temps réel n'est pas activée, l'attaquant devra attendre la fin de l'analyse programmée pour exploiter la vulnérabilité.Tous les systèmes exécutant une version affectée d'un logiciel anti-malware sont les plus exposés.

Lire également: Recherche sur la stratégie de cybersécurité: tactiques communes, problèmes de mise en œuvre et efficacité

Bien que le correctif soit publié avant la mise à jour de sécurité mensuelle de Microsoft, le bogue, CVE2018-0986, n'est pas un correctif hors bande car Microsoft le met à jour au besoin.

Les administrateurs et les utilisateurs finaux n'auront généralement pas besoin d'agir pour les mises à jour à installer, en raison des outils intégrés pour le déploiement des mises à jour des produits concernés, notamment Microsoft Security Essentials et Forefront Endpoint Protection 2010, Microsoft Exchange Server 2013 et 2016, ainsi que Windows Intune Endpoint Protection.

Windows Defender pour toutes les versions de Windows et Windows Server prises en charge sont affectées.

Les utilisateurs finaux devraient recevoir la version corrigée de Microsoft Malware Protection dans les 48 heures, selon Microsoft. La version vulnérable 1.1.14600.4 sera mise à jour vers la version 1.1.14700.5.

Microsoft note également que la configuration par défaut des produits anti-programmes malveillants de Microsoft dans l'entreprise consiste à recevoir automatiquement les mises à jour.

COUVERTURE ANTÉRIEURE ET CONNEXE
La version de test de Windows 10 'Redstone 4' ajoute quelques modifications de sécurité de Windows Defender

null conserve les logiciels malveillants cachés des outils d'analyse de sécurité (TechRepublic)

L'interface Windows 10 qui permet aux applications de se connecter à un logiciel antivirus tronque les fichiers, ce qui entraîne le retour du code compromis.

 Suivez ce Blog : Newsletter ;  mon blog