Facepalm: Un bogue critique dans Windows Defender n’a pas été détecté par les attaquants et les défenseurs pendant environ 12 ans, avant d’être finalement corrigé l’automne dernier. La vulnérabilité du logiciel antivirus intégré à Microsoft aurait pu permettre aux pirates d’écraser des fichiers ou d’exécuter du code malveillant, si le bogue avait été détecté.
Soyons clairs: 12 ans, c’est long quand il s’agit du cycle de vie d’un système d’exploitation grand public, et c’est une sacrée période de temps pour une vulnérabilité aussi critique à cacher. Cela peut en partie être dû au fait que le bogue en question n’existe pas activement sur le stockage d’un ordinateur. Il existe plutôt dans un système Windows appelé «bibliothèque de liens dynamiques». Windows Defender ne charge ce pilote qu’en cas de besoin, avant de l’effacer du disque d’un ordinateur.
Filaire explique, «Lorsque le pilote supprime un fichier malveillant, il le remplace par un nouveau fichier bénin comme une sorte d’espace réservé lors de la correction. Mais les chercheurs ont découvert que le système ne vérifie pas spécifiquement ce nouveau fichier. En conséquence, un attaquant pourrait insérer des liens système stratégiques qui ordonnent au pilote d’écraser le mauvais fichier ou même d’exécuter un code malveillant. »
Des chercheurs de la société de sécurité SentinelOne ont découvert et signalé la faille l’automne dernier, qui a ensuite été corrigée.
Microsoft a initialement évalué la vulnérabilité comme «élevée», bien qu’il soit intéressant de noter que pour qu’un attaquant puisse tirer parti du bogue, il aurait besoin d’un accès – physique ou distant – à votre ordinateur. Selon toute vraisemblance, cela signifie que des exploits supplémentaires devraient probablement être déployés.
Microsoft et SentinelOne conviennent également qu’il n’y a aucune preuve que le bogue maintenant corrigé a été exploité de manière malveillante. Et SentinelOne garde les spécificités de la vulnérabilité sous son chapeau afin d’empêcher les pirates de profiter du bogue pendant le déploiement du correctif.
Un porte-parole de Microsoft a déclaré que toute personne ayant installé le correctif du 9 février, manuellement ou via des mises à jour automatiques, est protégée.