Microsoft a corrigé au cours des dernières heures une importante faille de sécurité dans Windows Defender, que l’on trouve dans tous les Windows depuis la version 7. Signalée par deux chercheurs de Google, elle permettait de faire exécuter arbitrairement un code dans un mail.
Samedi, les chercheurs Tavis Ormandy et Natalie Silvanovich ont commencé à évoquer les détails d’une faille critique de sécurité dans Windows Defender. Particulièrement dangereuse, elle permettait de faire exécuter un code s’il était placé dans la pièce jointe d’un email, avant même que ce dernier soit ouvert par l’utilisateur.
I think @natashenka and I just discovered the worst Windows remote code exec in recent memory. This is crazy bad. Report on the way. 🔥🔥🔥
— Tavis Ormandy (@taviso) 6 mai 2017
Une défaillance dans Windows Defender
Tavis Ormandy s’est fait une spécialité depuis longtemps des failles dans les produits Microsoft, particulièrement Windows. Il fait partie de l’initiative Project Zero de Google, qui ambitionne pour rappel de remonter rapidement aux éditeurs toutes les failles 0-day détectées, avec un compte à rebours de 90 jours pour réagir, sans quoi les détails sont publiés.
Windows Defender, intégré pour rappel dans Windows 7, 8/8.1, RT et 10, est ainsi touché par une telle vulnérabilité. Elle est de type exploitation à distance et « la pire » trouvée récemment. Les deux chercheurs, après avoir annoncé leur découverte, ont indiqué qu'ils travaillaient sur un rapport pour remonter l'information à Microsoft.
Peu de temps après, il donnait quelques informations supplémentaires. On apprenait ainsi que l’attaque fonctionnait contre une installation par défaut, n’avait pas besoin de se trouver sur le même réseau et pouvait être exploitée par un ver. En d’autres termes, toutes les caractéristiques d’une faille critique : exploitation depuis Internet et automatisable.
L'utilisateur n'a rien à faire pour déclencher l'attaque
Tandis que le rapport était envoyé à Microsoft, les deux chercheurs publiaient les premiers détails de la faille. Elle réside précisément dans MsMpEng, le moteur de détection de Defender activé par défaut dans tous les Windows concernés, y compris Server 2012 et moutures ultérieures, Security Essentials, System Centre Endpoint Protection et plusieurs autres produits de l’éditeur, notamment Forefront.
La faille peut être exploitée en faisant cliquer l’utilisateur sur un lien, depuis un site ou une messagerie. Mais l’exploitation peut également se faire depuis l’envoi d’un simple email, sans qu’il soit besoin de l’ouvrir. Defender le scanne, ce qui est suffisant pour déclencher le code à exécuter. Le ou les pirates peuvent alors provoquer une corruption en mémoire. Le code est en fait si court qu'il peut tenir dans un tweet, comme l'a montré Natalie Silvanovich.
CVE-2017-0290 is tweetable :)
var e = new Error();https://t.co/0RDygaVW6B({message : 7 });https://t.co/xkH9SQpNJE
— Natalie Silvanovich (@natashenka) 9 mai 2017
Selon les chercheurs, Defender fait une erreur de « confusion des types » dans NScript, un composant dont la mission est de surveiller l’activité dans le système de fichier ou le réseau. Comme Ormandy l’explique, il s’agit d’un interpréteur JavaScript disposant non seulement de privilèges élevés, mais également d’un fonctionnement hors de toute sandbox, pour évaluer tout code qui ne serait pas de confiance.
En d’autres termes, l’exploitation de la faille commence dès le téléchargement du fichier, qui déclenche une activité sur le système de fichier et le réseau, donc sans intervention de l’utilisateur. À terme, les pirates seraient capables de prendre le contrôle de la machine.
Un correctif déployé à toute allure
Ils ne devraient cependant pas avoir le temps de mettre cette découverte en pratique, à moins que cette vulnérabilité leur soit connue depuis plus longtemps que les chercheurs. Microsoft a en effet déployé cette nuit un correctif, récupéré automatiquement par Windows Update pour mettre à jour le moteur de détection dans Defender. Dans la foulée, une fiche d'information a été mise en ligne.
Actuellement, si vous avez la version 1.1.13704.0 de Windows Defender, vous êtes protégé. Les nouvelles versions du moteur et de la base de signatures s’installent en effet silencieusement et ne réclament pas de redémarrage de la machine. Sous Windows 10, le numéro peut être vu depuis les Paramètres du système, dans la section « Mise à jour et sécurité ». Pour les autres systèmes, il est consultable dans Defender lui-même.
Puisque le déploiement est en cours, il est possible que la mise n’ait pas encore été installée. Auquel cas la solution est simple : lancer une recherche dans Windows Update.
Tavis Ormandy se félicite d’une réaction aussi rapide, puisqu’il aura fallu environ 48 heures à Microsoft pour analyser les détails de la faille et publier le correctif, un planning on ne peut plus serré. Il est probable que la dangerosité de la faille et la possibilité de le déployer sans toucher au système ont joué un grand rôle dans cette rapidité.
Commentaires (97)
#1
pour info, le tweet de tavis sur la rapidité des équipes de microsoft : https://twitter.com/taviso/status/861751140437839872
" />
ça fait plaisir de voir une telle réactivité
#2
:O
#3
Je prédis un commentaire qui rappelle que Linux n’est pas tout rose non plus dès la première page
#4
Tu viens de le faire donc c’est inutile.
Je prédis qu’un INpactien va dire que le ciel est bleu…
#5
#6
Linux n’est pas tout rose non plus, surtout dès la première page d’un ciel bleu
#7
Le ciel est bleu…à bordeaux.
" />
#8
#9
Le mieux quand tu critiques c’est de toujours aller où le vent tourne.
😅
#10
La casse devrait être largement limitée. Qui utilise Defender ?
#11
Windows Defender ne se désactive pas à l’instal d’un anti-virus ?
" /> suite à l’instal de Avast)
" />
(Vrai question, sur mon win10, il s’est désactivé
PS: le ciel est bleu vers Agen aussi
#12
#13
#14
#15
Je suis en slow ring et pas de mise à jour. Apparemment on n’est pas concernés. J’ai le nouveau Defender depuis quelques temps.
#16
Si si effectivement, vu que c’est un antivirus il se désactive automatiquement s’il détecte qu’un autre antivirus est actif.
#17
Le tweet de Nabilla
" /> Purée, les sommets 
" />
#18
Par contre le firewall MS est relou. J’ai Defender en AV et Comodo en firewall, et bah j’ai une alerte comme quoi le firewalls MS et désactivé…
:/
#19
La protection en temps réel est active par défaut depuis Windows 7, sauf si on installe un autre antivirus.
" />
Théoriquement. Parce que sur ma machine Win 7, j’ai beau avoir un autre antivirus, la protection en temps réel est toujours là
#20
Je parle dans l’interface du nouveau Defender. Si t’as pas celui de MS activé mais un autre c’est considéré comme un problème.
#21
Le ciel est bleu aujourd’hui comparé à ce weekend! C’est fou! :)
#22
Ben oui, c’est ce qu’il me dit:
" />
" /> qui s’en sert si ce n’est lors d’un fresh install comme Edge ou IE11 pour télécharger Firefox 
" /> (m’enfin pour Win10 quoi)
Etat du PC: Windows Defender est désactivé donc
Mais comme dit Ricard
#23
Pourtant il est plutôt bon en antivirus gratuit sur les derniers tests
http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html
#24
#25
non seulement il est pas trop mal, mais en plus il est intégré au système !
nombre tata janine ont WDEF c’est une certitute…
moi perso j’ai sophos car je possède leur UTM donc je centralise les conf des antivirus, sinon je serais en windef… par ce que avast et cie c’est devenue du gros nawak enfin avast ça à toujours été en fait. (j’utilisais antivir)
#26
J’avais mis la page pour w7, mais effectivement sur les derniers résultats w10 il est en dessous du reste, mais il est integré au systeme et largement moins usine à gaz qu’avast par exemple
#27
#28
#29
un peu HS mais si on fait la moyenne entre les failles remontées par Google et pas patchées à temps et celle-ci patchée quasi dans la foulée de la remontée, ça donne quoi pour MS
#30
c’est pas plutôt le réglage du centre de sécurité ?
Panneau de configuration\Tous les Panneaux de configuration\Centre de maintenance
Et tu indiques que le produit tiers utilisé est ok, comme ça plus d’alerte
Ou là et tu décoches la case
Panneau de configuration\Tous les Panneaux de configuration\Centre de maintenance\Modifier les paramètres du Centre de maintenance
#31
#32
#33
Réactif sur ce coup la Microsoft ça fait plaisir. Perso j’ai fini par lâcher Avast au profit de Defender je m’en porte pas plus mal
#34
#35
#36
#37
ah ouais mais non alors
" />
" />
mais bon pour la base de départ
#38
#39
Il y a un truc que je ne comprend pas dans la news.
Particulièrement dangereuse, elle permettait de faire exécuter un code s’il était placé dans la pièce jointe d’un email, avant même que ce dernier soit ouvert par l’utilisateur.
Vous parlez uniquement d’un client lourd type thunderbird pour gérer les mails ?
Pake j’ai du mal à voir comment defender pourrait analyser les mails dans les webmails sans que l’utilisateur ne fasse rien.
#40
Je suis assez d’accord, mais d’après vous quel est le meilleur anti-virus gratuit en terme de protection ?
#41
J’ai pris la smart security suite, à environ 80€ sur 3 ans pour 3 postes
" />
" />
Vive les licences allemandes
#42
Effectivement ça a l’air bien mieux qu’il y a quelques années. On atteint des niveaux se détection très corrects.
https://www.av-test.org/fr/antivirus/particuliers-windows/windows-7/f%C3%A9vrier…
Et:
https://www.av-comparatives.org/wp-content/uploads/2017/04/avc_factsheet2017_03….
Car il y a quelques années je me souviens alors lu des tests semblant sérieux qui ne l’intégraient même pas aux autres car la comparaison n’était pas vraiment sérieuse.
Sans aller jusque là, on lit dans ces rapports qu’ils ont fait beaucoup de progrès depuis 2015 et 2016 (taux de détection très moyen ci-dessous:
 https://www.av-comparatives.org/wp-content/uploads/2016/07/avc_prot_2016a_en.pdf
https://www.av-comparatives.org/wp-content/uploads/2015/12/avc_prot_2015b_en.pdf
https://www.av-comparatives.org/wp-content/uploads/2015/07/avc_prot_2015a_en.pdf
#43
BitDefender, licence française, propose (proposait?) pour 90€ un pack 20 pc/mac/android pour 3 ans.
J’en suis très content.
Le “family pack”.
#44
Cela dépend de ce que tu fais comme utilisation de ton PC…
Si tu ne fais par exemple que du jeu et très peu de navigation en dehors de site genre NXI, alors l’antivirus de W10 te suffit…
Si par contre tu vas sur des sites plus sensible ou tu télécharges un peu tout et n’importe quoi, alors la oui tu auras peut etre bien besoin d’autre chose que W10, mais pas sur qu’un “gratuit” suiffise
(Attention je ne dis pas que les payants sont mieux, j’ai eu pas mal de galère avec des AV tous payant et réputés et à chaque fois sur 3 PC, deux étaient devenus des veaux ou avait des incompatibilités avec jenesaisqueltrucquifaitqueçamerde… Tout ça pour ne jamais rien détecter)
Bref selon ton utilisation, à toi de voir. En gratuit celui que j’appréciais était Antivir
#45
on avait bitdefender il y a quelques années, mais les changements d’interface et la sensation que le soft s’alourdissait m’ont fait aller voir ailleurs
" />
#46
Ce n’est pas pour moi, mais mes parents (au niveau professionnel), personnellement je suis sous Arch Linux et je ne vois pas vraiment l’intérêt d’un antivirus au vu de mon utilisation.
#47
le truc qui a le meilleur ratio efficacité/temps c’est la sensibilisation du PEBKAK, à mon avis 
" />
edit: j’ai mis avast sur le pc de maman
#48
Je comprends.
D’ailleurs, en HS, quelqu’un a t’il vu/lu un test sérieux de la BitDefenderBox?
https://www.bitdefender.fr/box/
Je trouve intéressant le principe, à ma connaissance le premier, d’essayer de sécuriser le réseau personnel entier et plus périphérique par périphérique, vu que tout est connecté au wifi désormais.
#49
une passoire t’es dur.
pour le pékin moyen ça suffit largement.
et au pire ça fait du travail pour les auto-entrepreneurs qui réparent le pc de tata janine !
#50
ba perso j’ai un UTM qui fait tout ça ^^
plus des antivirus sur les postes, qui sont aussi géré via l’UTM.
par ce que l’utm c’est bien, mais ça ne protège pas d’une clef usb infectée !
#51
Pour naviguer n’importe j’ajouterai qu’un antivirus ne suffit pas, une extension type noscript ou umatrix protège bien, si on sait ce que l’on autorise bien sûr… WOT aussi était bien mais vu qu’ils faisaient n’importe quoi avec les données utilisateurs je le déconseille.
Se méfier aussi de l’interception TLS des solutions de sécurité suite à la généralisation du https, qui peuvent compromettre la sécurité des navigateurshttps://zakird.com/papers/https_interception.pdf
#52
J’ai recommencé a utilisé Defender suite a la mise a niveau creators de win 10.
Pas encore trouver de test de cette version pour comparer.
En gratuit avant j’utilisai panda qui marche bien et qui installe pas une collection divers et varier de soft en bonus.
#53
Personnellement, comme je fais relativement attention, je me contente de Defender qui me suffit pour mon usage. Il m’arrive de faire une analyse avec un autre antivirus pour voir mais je n’ai jamais rien eu de détecté donc pou le moment, je préfère éviter les usines à gaz.
Du reste, la meilleure protection antivirus c’est l’ICC (Interface Chaise-Clavier).
#54
Et c’est relativement grand public?
Car sans avoir fait trop de recherche, la BitDefenderBox a l’air d’être un UTM pour monsieur tout le monde.
#55
je suis aussi en smart security au bureau et nod32 en perso.
eset est depuis très longtemps l’un des meilleurs antivirus (1er ou 2eme) et très léger en impact système.
j’ai nod32 depuis la version2 c’est à dire 10-15ans et il m’a bien protégé plus d’une fois. Pourtant je fais super gaffe mais en tipiak c’est vite fait de se faire avoir.
#56
Oui, j’ai déjà fait, Comodo apparaît comme “On” dans le Security and Maintenance, le pare-feu Windows est désactivé, (public, private )Windows. J’ai désactivé les messages et rien. Ceci dit je suis insider slow ring et ce problème vient d’une build datant d’avant la Creator Update et donc le nouveau Defender. Avant je n’avais pas ce problème.
#57
#58
heu non pas vraiment, c’est un produit pro.
mais sophos offre la licence pour une utilisation home avec TOUTE les fonctions hors personnalisation (logo etc).
#59
ah mais non Win 10 je touche pas, je sais pas
" />
#60
#61
#62
#63
C’est encore un truc pour te dire que si tu utilises pas tous les produits MS tu es menacé(e).
" />
#64
On l’a dans l’OS !
" />
#65
Tout le monde tant qu’un autre antivirus n’est pas installé
#66
#67
#68
#69
#70
#71
Windows Defender est un antivirus.
Pourquoi en installer un autre ? La majorité des utilisateurs n’en éprouvent plus le besoin.
#72
#73
#74
#75
#76
#77
#78
A partir de Windows 8, Defender est MSE en fait :)
#79
#80
#81
Tu as une stats là dessus?
" /> ça serait très étonnant que plus de 50% des particuliers installe un antivirus autre
#82
9e/21, On a vu pire comme pire antivirus
" />
#83
[quote:5886889:Lebarbu82]Ben oui, c’est ce qu’il me dit:
" />
Etat du PC: Windows Defender est désactivé donc
quote]
Cela prouve ton incompétence …
#84
Je dirais même plus “Je m’en porte beaucoup mieux !”
#85
#86
Je serais curieux de savoir combien de millions de PC tu as examiné pour faire une assertion aussi péremptoire !!
J’ai réinstallé des tas de PC d’amis et de connaissances (plus d’une cinquantaine à ce jour, passage à Windows 10 en particulier) qui étaient équipés d’Avast ou autres bouzins genre “Norton et compagnie” . Depuis que je les ai reconfiguré en virant ces antivirus et en laissant Windows Defender comme protection, leurs PC tournent beaucoup mieux et n’ont pas récupérés de virus …
#87
#88
#89
Arrête de Filloner !
#90
#91
quand tu dis antivirus, tu inclus le norton en version d’essai fourni en crapware et jamais actualisé ? Parce que ça j’en ai rencontré pas mal…
#92
#93
#94
#95
sans vouloir polémiquer, comment sais tu qu’avec ton Nod32 tu n’es pas infecté ?
C’est une vraie question
#96
#97
Tu comprends comment un antivirus fonctionne ?
" />
Il lit TOUT ce qui passe dans le système.
S’il y a une faille… eh bien, il y a une faille