Microsoft Defender : une simple virgule suffit à berner l’antivirus
Un chercheur en sécurité informatique a découvert une faille plutôt étonnante dans Windows Defender. En effet, insérer une simple virgule dans une ligne de commande suffit à berner le logiciel antivirus de Microsoft.
Si vous êtes propriétaire d'un PC sous Windows, vous connaissez forcément Microsoft Defender. Pour cause, la solution antivirus de Microsoft est installée nativement sur l'ensemble des appareils équipés de l'OS du géant américain. Dans l'ensemble, le logiciel offre une protection efficace contre la plupart des cyber-menaces qui peuvent peser sur les utilisateurs.
Malgré tout et comme n'importe quel logiciel, Defender peut parfois abriter des failles de sécurité. En mai 2022, la firme de Redmond a notamment corrigé une vulnérabilité importante sur son antivirus. Présente depuis 2014, cette faille permettait notamment de contourner les protocoles de sécurité de Defender grâce à une clé de registre défaillante. En la modifiant, un attaquant pouvait changer les emplacement exclus de l'analyse antivirale.
Ce n'est pas la seule vulnérabilité découverte sur Defender en 2022. En effet, John Page, un chercheur en sécurité informatique, avait révélé la même année qu'il était possible de contourner la détection de l'antivirus en insérant des points et des virgules dans des lignes de commandes destinées à exécuter des malwares. Après la publication de ses travaux, Microsoft avait publié en urgence un correctif.
A lire également : Windows Defender – une faille de sécurité passe inaperçue pendant 12 ans
Les virgules, l'arme ultime contre Windows Defender ?
Seulement, Microsoft a visiblement fait preuve d'un certain laxisme avec ce patch. Pour cause et comme l'explique le spécialiste dans un tweet publié ce 8 février 2024, il est toujours possible d'exécuter une commande lançant un programme Javascript en y intégrant simplement une seconde virgule !
“En règle générale, Windows Defender détecte et empêche l'exécution de type TrojanWin32Powessere.G, également appelé “POWERLIKS”, qui exploite rundll32.exe. Les tentatives d'exécution échouent et les attaquants recevront généralement un message d'erreur “L'accès est refusé”, rappelle-t-il.
Windows Defender Trojan.Win32/Powessere.G / Mitigation Bypass Part 2
C:sec>rundll32.exe javascript:"….mshtml,RunHTMLApplication ";alert(666)
Access is denied.C:sec>rundll32.exe javascript:"….mshtml,,RunHTMLApplication ";alert(666)
Multi-commas, for the Win! pic.twitter.com/MO8FlmL1Yg
— Hyp3rlinx (@hyp3rlinx) February 8, 2024
Il poursuit : “En 2022, j'ai révélé comment cela pouvait être facilement contourné en empruntant un chemin supplémentaire lors du référencement de mshtml, mais cela a été corrigé depuis. Cependant, j'ai découvert que l'utilisation de plusieurs virgules “,” contournait ce correctif et s'exécuterait avec succès au moment d'écrire ces lignes.
Pour l'heure, Microsoft n'a pas encore réagi à la dernière trouvaille du chercheur en sécurité informatique. Néanmoins, on imagine que le constructeur va rapidement publier un correctif pour combler cette nouvelle faille.
