Microsoft corrige discrètement une autre « vulnérabilité extrêmement grave » dans Windows Defender
3 minute. lis
Publié le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Microsoft a discrètement publié un autre correctif pour son moteur d'analyse de virus dans Windows Defender, le moteur de protection contre les logiciels malveillants MsMpEng.
Comme le dernière vulnérabilité « folle », celui-ci a également été découvert par le chercheur de Project Zero de Google, Tavis Ormandy, mais cette fois, il l'a divulgué en privé à Microsoft, montrant que les critiques qu'il a suscitées la dernière fois pour sa divulgation publique ont eu un certain effet.
La vulnérabilité permettrait aux applications exécutées dans l'émulateur de MsMpEng de contrôler l'émulateur pour réaliser toutes sortes de méfaits, y compris l'exécution de code à distance lorsque Windows Defender scanne un exécutable envoyé par e-mail.
"MsMpEng inclut un émulateur système x86 complet qui est utilisé pour exécuter tous les fichiers non fiables qui ressemblent à des exécutables PE. L'émulateur s'exécute en tant que NT AUTHORITY\SYSTEM et n'est pas en bac à sable. En parcourant la liste des API win32 prises en charge par l'émulateur, j'ai remarqué ntdll! NtControlChannel, une routine de type ioctl qui permet au code émulé de contrôler l'émulateur.
« Le travail de l'émulateur est d'émuler le CPU du client. Mais, curieusement, Microsoft a donné à l'émulateur une instruction supplémentaire qui autorise les appels API. On ne sait pas pourquoi Microsoft crée des instructions spéciales pour l'émulateur. Si vous pensez que cela semble fou, vous n'êtes pas seul », a-t-il écrit.
"La commande 0x0C vous permet d'analyser des expressions régulières contrôlées par un attaquant arbitraire vers Microsoft GRETA (une bibliothèque abandonnée depuis le début des années 2000)... La commande 0x12 permet un "microcode" supplémentaire qui peut remplacer les opcodes... Diverses commandes vous permettent de modifier les paramètres d'exécution, de définir et de lire le scan attributs et métadonnées UFS. Cela ressemble au moins à une fuite de confidentialité, car un attaquant peut interroger les attributs de recherche que vous définissez, puis les récupérer via le résultat de l'analyse », a écrit Ormandy.
"Il s'agissait potentiellement d'une vulnérabilité extrêmement grave, mais probablement pas aussi facile à exploiter que le premier jour zéro de Microsoft, corrigé il y a à peine deux semaines", a déclaré Udi Yavo, co-fondateur et CTO d'enSilo, dans une interview avec Threatpost.
Yavo a critiqué Microsoft pour ne pas avoir mis en bac à sable le moteur antivirus.
"MsMpEng n'est pas en bac à sable, ce qui signifie que si vous pouvez exploiter une vulnérabilité là-bas, la partie est terminée", a déclaré Yavo.
Le problème a été découvert le 12 mai par l'équipe Project Zero de Google, et le correctif a été envoyé la semaine dernière par Microsoft, qui n'a pas publié d'avis. Le moteur est régulièrement mis à jour automatiquement, ce qui signifie que la plupart des utilisateurs ne devraient plus être vulnérables.
Microsoft subit une pression croissante pour sécuriser ses logiciels, l'entreprise demandant une plus grande coopération des gouvernements et la création d'un La Convention de Genève numérique pour aider à assurer la sécurité des utilisateurs.
