Windows 10 : attention, cette faille majeure dans Microsoft Defender permet d’installer des malwares incognito

Une faille dans l'antivirus gratuit Microsoft Defender permet de passer très facilement les systèmes de défense du logiciel. Un hacker a la possibilité de connaître les emplacements exclus par l'outil d'analyse et d'y installer tous types de malwares.

Voilà 8 ans qu'une faille de sécurité affecte l'antivirus Microsoft Defender, la solution de sécurité qui équipe gratuitement les PC sous Windows 10 et Windows 11, ainsi que les récentes versions de Windows Server. Et voilà 8 ans qu'elle n'a toujours pas été comblée par Microsoft.

En cause : les fichiers à exclure lors d'une analyse antivirale de Microsoft Defender. En effet, la liste des éléments exclus est visible par tous les utilisateurs d'un PC. Dès lors, un hacker qui a la main sur l'ordinateur peut y installer et exécuter n'importe quel malware, sans être inquiété par le système d'exploitation.

Cette faille permet de passer outre les défenses de l'antivirus Microsoft Defender

Quel que soit le logiciel de sécurité utilisé, celui-ci permet généralement d'exclure certains dossiers et fichiers de l'analyse. Une fonctionnalité appréciée sans nul doute par les utilisateurs de générateurs de clés pirates, mais pas que… Bon nombre d'applications très récentes (provenant de Github, par exemple), ou compressées à l'aide d'un logiciel peu standard (les adeptes de la scène demomakers en savent quelque chose) sont parfois déclarés comme étant infectés à tort par un malware. Ces faux positifs sont alors mis en quarantaine par l'outil d'analyse antiviral ou directement supprimés du disque dur.

À lire aussi : Windows Defender : vous pourrez bientôt contrôler la sécurité de votre PC sur Android et iOS

C'est pourquoi les antivirus permettent de spécifier les emplacements à omettre lors d'une analyse du disque dur de l'ordinateur. Mais dans le cas de l'Antivirus Microsoft Defender, il y a un hic et il est de taille : la liste des dossiers à omettre est stockée en clair sur l'ordinateur. Si cette liste n'est consultable qu'en local (il faut donc avoir la main sur un PC), n'importe quel utilisateur a la possibilité d'en voir le contenu. Et peu importe ses droits d'accès : administrateurs comme invités sont tous reléguer au même plan. Une simple exécution de la commande req query permet, depuis Windows 10, de lister tous les éléments qui ne sont pas scannés par l'antivirus, qu'il s'agisse d'un fichier, d'un dossier, d'une extension ou d'un processus.

Dès lors, un attaquant peut enregistrer un malware dans le dossier omis lors d'une analyse et l'exécuter par la suite, sans que Microsoft Defender tire le signal d'alarme. C'est l'expérience d'ailleurs réalisée avec succès le site Bleeping Computer. Selon l'expert en sécurité Nathan McNulty, la faille touche Windows 10 21H1 et Windows 10 21H2. En revanche, elle ne semble pas concerner Windows 11, ce qui est déjà une bonne chose pour celles et ceux qui ont migré vers la nouvelle version de l'OS. Reste qu'aucun correctif n'a été apporté par Microsoft depuis la découverte de ce manquement.

Source : Bleeping Computer