Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Microsoft colmate une importante faille de sécurité dans Windows Defender

Une version à vérifier
Logiciel 4 min
Microsoft colmate une importante faille de sécurité dans Windows Defender
Crédits : MartialRed/iStock

Microsoft a corrigé au cours des dernières heures une importante faille de sécurité dans Windows Defender, que l’on trouve dans tous les Windows depuis la version 7. Signalée par deux chercheurs de Google, elle permettait de faire exécuter arbitrairement un code dans un mail.

Samedi, les chercheurs Tavis Ormandy et Natalie Silvanovich ont commencé à évoquer les détails d’une faille critique de sécurité dans Windows Defender. Particulièrement dangereuse, elle permettait de faire exécuter un code s’il était placé dans la pièce jointe d’un email, avant même que ce dernier soit ouvert par l’utilisateur.

Une défaillance dans Windows Defender

Tavis Ormandy s’est fait une spécialité depuis longtemps des failles dans les produits Microsoft, particulièrement Windows. Il fait partie de l’initiative Project Zero de Google, qui ambitionne pour rappel de remonter rapidement aux éditeurs toutes les failles 0-day détectées, avec un compte à rebours de 90 jours pour réagir, sans quoi les détails sont publiés.

Windows Defender, intégré pour rappel dans Windows 7, 8/8.1, RT et 10, est ainsi touché par une telle vulnérabilité. Elle est de type exploitation à distance et « la pire » trouvée récemment. Les deux chercheurs, après avoir annoncé leur découverte, ont indiqué qu'ils travaillaient sur un rapport pour remonter l'information à Microsoft.

Peu de temps après, il donnait quelques informations supplémentaires. On apprenait ainsi que l’attaque fonctionnait contre une installation par défaut, n’avait pas besoin de se trouver sur le même réseau et pouvait être exploitée par un ver. En d’autres termes, toutes les caractéristiques d’une faille critique : exploitation depuis Internet et automatisable.

L'utilisateur n'a rien à faire pour déclencher l'attaque

Tandis que le rapport était envoyé à Microsoft, les deux chercheurs publiaient les premiers détails de la faille. Elle réside précisément dans MsMpEng, le moteur de détection de Defender activé par défaut dans tous les Windows concernés, y compris Server 2012 et moutures ultérieures, Security Essentials, System Centre Endpoint Protection et plusieurs autres produits de l’éditeur, notamment Forefront.

La faille peut être exploitée en faisant cliquer l’utilisateur sur un lien, depuis un site ou une messagerie. Mais l’exploitation peut également se faire depuis l’envoi d’un simple email, sans qu’il soit besoin de l’ouvrir. Defender le scanne, ce qui est suffisant pour déclencher le code à exécuter. Le ou les pirates peuvent alors provoquer une corruption en mémoire. Le code est en fait si court qu'il peut tenir dans un tweet, comme l'a montré Natalie Silvanovich.

Selon les chercheurs, Defender fait une erreur de « confusion des types » dans NScript, un composant dont la mission est de surveiller l’activité dans le système de fichier ou le réseau. Comme Ormandy l’explique, il s’agit d’un interpréteur JavaScript disposant non seulement de privilèges élevés, mais également d’un fonctionnement hors de toute sandbox, pour évaluer tout code qui ne serait pas de confiance.

En d’autres termes, l’exploitation de la faille commence dès le téléchargement du fichier, qui déclenche une activité sur le système de fichier et le réseau, donc sans intervention de l’utilisateur. À terme, les pirates seraient capables de prendre le contrôle de la machine.

Un correctif déployé à toute allure

Ils ne devraient cependant pas avoir le temps de mettre cette découverte en pratique, à moins que cette vulnérabilité leur soit connue depuis plus longtemps que les chercheurs. Microsoft a en effet déployé cette nuit un correctif, récupéré automatiquement par Windows Update pour mettre à jour le moteur de détection dans Defender. Dans la foulée, une fiche d'information a été mise en ligne.

Actuellement, si vous avez la version 1.1.13704.0 de Windows Defender, vous êtes protégé. Les nouvelles versions du moteur et de la base de signatures s’installent en effet silencieusement et ne réclament pas de redémarrage de la machine. Sous Windows 10, le numéro peut être vu depuis les Paramètres du système, dans la section « Mise à jour et sécurité ». Pour les autres systèmes, il est consultable dans Defender lui-même.

windows defender faille

Puisque le déploiement est en cours, il est possible que la mise n’ait pas encore été installée. Auquel cas la solution est simple : lancer une recherche dans Windows Update.

Tavis Ormandy se félicite d’une réaction aussi rapide, puisqu’il aura fallu environ 48 heures à Microsoft pour analyser les détails de la faille et publier le correctif, un planning on ne peut plus serré. Il est probable que la dangerosité de la faille et la possibilité de le déployer sans toucher au système ont joué un grand rôle dans cette rapidité.

97 commentaires
Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 09/05/17 à 10:40:26

pour info, le tweet de tavis sur la rapidité des équipes de microsoft :&nbsphttps://twitter.com/taviso/status/861751140437839872

ça fait plaisir de voir une telle réactivité :yes:

Avatar de Whinette INpactien
Avatar de WhinetteWhinette- 09/05/17 à 11:02:29

:O

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 09/05/17 à 11:04:15

Je prédis un commentaire qui rappelle que Linux n'est pas tout rose non plus dès la première page

Avatar de neointhematrix INpactien
Avatar de neointhematrixneointhematrix- 09/05/17 à 11:07:36

Tu viens de le faire donc c'est inutile.

Je prédis qu'un INpactien va dire que le ciel est bleu...

Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 09/05/17 à 11:09:04

jackjack2 a écrit :

dès la première page

totalement HS, mais depuis la dernière version de NXI, j'ai 500 commentaires par page, donc le temps de voir tout ça :8

Avatar de von-block INpactien
Avatar de von-blockvon-block- 09/05/17 à 11:10:50

Linux n'est pas tout rose non plus, surtout dès la première page d'un ciel bleu

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 09/05/17 à 11:13:44

Le ciel est bleu...à bordeaux. :transpi:

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 09/05/17 à 11:17:16

neointhematrix a écrit :

Tu viens de le faire donc c'est inutile.

Je prédis qu'un INpactien va dire que le ciel est bleu...

:fumer:

tpeg5stan a écrit :

totalement HS, mais depuis la dernière version de NXI, j'ai 500 commentaires par page, donc le temps de voir tout ça :8

Totalement HS aussi, mais merci à toi qui m'avait expliqué où se trouve ce paramètre :smack:

von-block a écrit :

Linux n'est pas tout rose non plus, surtout dès la première page d'un ciel bleu

:huit:

Avatar de matroska INpactien
Avatar de matroskamatroska- 09/05/17 à 11:19:29

Le mieux quand tu critiques c'est de toujours aller où le vent tourne.

😅

Avatar de Ricard INpactien
Avatar de RicardRicard- 09/05/17 à 11:19:45

La casse devrait être largement limitée. Qui utilise Defender ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 10