Un bogue dans l’antivirus Windows 10 Defender n’a pas été corrigé depuis 12 ans.
Microsoft a publié hier le patch de février, corrigeant une multitude de vulnérabilités dans Windows 10. Parmi elles, plusieurs vulnérabilités zero-day, qui permettaient à la fois d’exécuter du code à distance sur nos ordinateurs, ainsi que de générer des écrans bleus. En outre, ils en ont corrigé un autre qui était présent dans le système d’exploitation depuis au moins 12 ans.
Cela a été annoncé par la société de cybersécurité SentinelOne après que Microsoft l’ait corrigé hier, étant en mesure de partager son existence avec plus de tranquillité d’esprit et sachant qu’il existe une solution disponible. Cependant, ils n’ont pas donné beaucoup de détails techniques pour donner plus de temps à la mise à jour pour atteindre plus d’utilisateurs.
Windows Defender a été affecté par le bogue et il est resté 12 ans sans correctif
Le bogue était présent dans Windows Defender, l’un des éléments les plus sensibles du système d’exploitation. Plus précisément, la faille affecte un pilote utilisé par l’antivirus pour supprimer les fichiers et l’infrastructure invasifs que les logiciels malveillants peuvent créer pour se propager à travers l’ordinateur, il s’agit d’une fonctionnalité de base du fonctionnement d’un antivirus. Lorsque le pilote supprime le fichier malveillant, il le remplace par un fichier bénin tout en supprimant le logiciel malveillant. Cependant, les chercheurs ont réalisé que Windows Defender ne vérifiait pas le nouveau fichier qui avait été créé, de sorte qu’un attaquant pouvait modifier le pilote de telle sorte que le mauvais fichier puisse être écrasé ou même exécuter du code malveillant.
Windows Defender est utilisé par des centaines de millions de personnes comme l’antivirus Windows 10 dans le monde, car c’est celui qui est inclus dans le système par défaut. Par conséquent, une faille dans celui-ci ou dans le pilote, qui est signée par Microsoft lui-même, est dangereuse car pour le système d’exploitation, cela peut ressembler à quelque chose de légitime et de sûr, alors qu’en fait ce n’est pas le cas. Le pilote peut être modifié pour supprimer des logiciels ou des données, ainsi que pour exécuter son code pour prendre le contrôle total du système, car il permet d’augmenter les privilèges.
Même les utilisateurs de Windows Vista affectés
La faille a été signalée à Microsoft à la mi-novembre et ils ont finalement publié le correctif cette semaine. La vulnérabilité était considérée comme à haut risque et ne pouvait être exploitée que par un attaquant disposant d’un accès distant ou physique à l’ordinateur. Par conséquent, pour l’exploiter, il faudrait le combiner avec une autre vulnérabilité.
Selon SentinelOne et Microsoft, rien n’indique que la vulnérabilité a été exploitée par un attaquant. Cependant, il est difficile de le savoir, car 12 ans, c’est long, et cela implique que les utilisateurs de Windows 7 y sont désormais exposés. En outre, les chercheurs affirment que la vulnérabilité a peut-être été présente encore plus longtemps, mais leurs recherches se sont limitées à 2009, ce qui remonte à la base de données antivirus VirusTotal qu’ils utilisaient.
SentinelOne pense que la faille a mis tellement de temps à être découverte car le pilote affecté n’est pas stocké sur l’ordinateur en permanence. Au lieu de cela, il utilise un système appelé «bibliothèque de liens dynamiques», chargeant le pilote uniquement lorsque cela est nécessaire et le supprimant par la suite. En outre, ils affirment que ces types de failles peuvent être dans d’autres logiciels antivirus, ils encouragent donc d’autres entreprises à vérifier leurs logiciels pour de telles vulnérabilités.