Microsoft patch une faille de Windows Defender après 12 ans

0

Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans Microsoft Defender Antivirus (anciennement Windows Defender) qui pourrait permettre aux attaquants d’obtenir des droits d’administrateur sur des systèmes Windows non corrigés.

Microsoft Defender Antivirus est la solution anti-malware par défaut sur plus d’un milliard de systèmes exécutant Windows 10 selon les statistiques de Microsoft.

La faille d’élévation des privilèges identifiée comme CVE-2021-24092 a un impact sur les versions de Defender remontant à l’année 2009 et affecte les versions client et serveur à partir de Windows 7 et les versions ultérieures.

Les pirates informatiques disposant de privilèges d’utilisateur de base peuvent l’exploiter localement, dans le cadre d’attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.

microsoft defender

La vulnérabilité affecte également d’autres produits de sécurité de Microsoft, notamment Microsoft Endpoint Protection, Microsoft Security Essentials et Microsoft System Center Endpoint Protection.

SentinelOne a trouvé et signalé la vulnérabilité en Novembre 2020. Microsoft a déployé un correctif la semaine dernière, ainsi que les autres mises à jour de sécurité publiées dans le cadre Patch Tuesday du mois de Février 2021.

Sous le nez de Microsoft pendant 12 ans

La vulnérabilité a été découverte dans le pilote BTR.sys (également connu sous le nom de Boot Time Removal Tool) utilisé pendant le processus de correction pour supprimer les fichiers et les entrées de registre créés par des logiciels malveillants sur les systèmes infectés.

«Avant le correctif, la vulnérabilité était restée inconnue pendant 12 ans, probablement en raison de la nature de la façon dont ce mécanisme spécifique est activé», selon un rapport de SentinelOne publié la semaine dernière.

« Nous supposons que cette vulnérabilité est restée inconnue jusqu’à présent parce que le pilote n’est normalement pas présent sur le disque dur mais plutôt abandonné et activé en cas de besoin (avec un nom aléatoire) puis purgé. »

La dernière version de Microsoft Malware Protection Engine affectée par cette vulnérabilité est la version 1.1.17700.4. La version où le bogue a été corrigé est la version 1.1.17800.5.

Les systèmes patchés contre cette vulnérabilité doivent utiliser Malware Protection Engine version 1.1.17800.5 ou ultérieure.

Plus d’informations sur la façon de vérifier la version de Malware Protection Engine sur vos systèmes sont disponibles ici.

La mise à jour de sécurité de Microsoft Defender s’installe automatiquement

Redmond indique que la mise à jour de sécurité CVE-2021-1647 s’installera automatiquement sur les systèmes exécutant des versions vulnérables de Defender si les mises à jour automatiques sont activées.

Microsoft Defender met automatiquement à jour à la fois le moteur de protection contre les logiciels malveillants (le composant utilisé pour l’analyse, la détection et le nettoyage) et les définitions de logiciels malveillants sur les appareils d’entreprise et domestiques.

Bien que Defender puisse rechercher les mises à jour du moteur et des définitions plusieurs fois par jour, il est conseillé aux clients de rechercher manuellement les mises à jour s’ils souhaitent installer immédiatement des mises à jour de sécurité.

«Bien sûr, même s’il semble que la vulnérabilité n’a pas été exploitée, les individus malveillants trouveront probablement comment l’exploiter sur des systèmes non corrigés», a conclu SentinelOne.

« De plus, étant donné que la vulnérabilité est présente dans toutes les versions de Windows Defender à partir de 2009 environ, il est probable que de nombreux utilisateurs ne parviendront pas à appliquer le correctif, les exposant ainsi à de futures attaques. »

Le mois dernier, le géant américain a corrigé une autre vulnérabilité de Microsoft Defender Antivirus, une faille zero-day exploitée dans la nature qui permettait à des attaquants distants d’exécuter du code malveillant sur des appareils Windows non corrigés.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.