Microsoft a corrigé au cours des dernières heures une importante faille de sécurité dans Windows Defender, que l’on trouve dans tous les Windows depuis la version 7. Signalée par deux chercheurs de Google, elle permettait de faire exécuter arbitrairement un code dans un mail.
Samedi, les chercheurs Tavis Ormandy et Natalie Silvanovich ont commencé à évoquer les détails d’une faille critique de sécurité dans Windows Defender. Particulièrement dangereuse, elle permettait de faire exécuter un code s’il était placé dans la pièce jointe d’un email, avant même que ce dernier soit ouvert par l’utilisateur.
Une défaillance dans Windows Defender
Tavis Ormandy s’est fait une spécialité depuis longtemps des failles dans les produits Microsoft, particulièrement Windows. Il fait partie de l’initiative Project Zero de Google, qui ambitionne pour rappel de remonter rapidement aux éditeurs toutes les failles 0-day détectées, avec un compte à rebours de 90 jours pour réagir, sans quoi les détails sont publiés.
Windows Defender, intégré pour rappel dans Windows 7, 8/8.1, RT et 10, est ainsi touché par une telle vulnérabilité. Elle est de type exploitation à distance et « la pire » trouvée récemment. Les deux chercheurs, après avoir annoncé leur découverte, ont indiqué qu'ils travaillaient sur un rapport pour remonter l'information à Microsoft.
Peu de temps après, il donnait quelques informations supplémentaires. On apprenait ainsi que l’attaque fonctionnait contre une installation par défaut, n’avait pas besoin de se trouver sur le même réseau et pouvait être exploitée par un ver. En d’autres termes, toutes les caractéristiques d’une faille critique : exploitation depuis Internet et automatisable.
L'utilisateur n'a rien à faire pour déclencher l'attaque
Tandis que le rapport était envoyé à Microsoft, les deux chercheurs publiaient les premiers détails de la faille. Elle réside précisément dans MsMpEng, le moteur de détection de Defender activé par défaut dans tous les Windows concernés, y compris Server 2012 et moutures ultérieures, Security Essentials, System Centre Endpoint Protection et plusieurs autres produits de l’éditeur, notamment Forefront.
La faille peut être exploitée en faisant cliquer l’utilisateur sur un lien, depuis un site ou une messagerie. Mais l’exploitation peut également se faire depuis l’envoi d’un simple email, sans qu’il soit besoin de l’ouvrir. Defender le scanne, ce qui est suffisant pour déclencher le code à exécuter. Le ou les pirates peuvent alors provoquer une corruption en mémoire. Le code est en fait si court qu'il peut tenir dans un tweet, comme l'a montré Natalie Silvanovich.
Selon les chercheurs, Defender fait une erreur de « confusion des types » dans NScript, un composant dont la mission est de surveiller l’activité dans le système de fichier ou le réseau. Comme Ormandy l’explique, il s’agit d’un interpréteur JavaScript disposant non seulement de privilèges élevés, mais également d’un fonctionnement hors de toute sandbox, pour évaluer tout code qui ne serait pas de confiance.
En d’autres termes, l’exploitation de la faille commence dès le téléchargement du fichier, qui déclenche une activité sur le système de fichier et le réseau, donc sans intervention de l’utilisateur. À terme, les pirates seraient capables de prendre le contrôle de la machine.
Un correctif déployé à toute allure
Ils ne devraient cependant pas avoir le temps de mettre cette découverte en pratique, à moins que cette vulnérabilité leur soit connue depuis plus longtemps que les chercheurs. Microsoft a en effet déployé cette nuit un correctif, récupéré automatiquement par Windows Update pour mettre à jour le moteur de détection dans Defender. Dans la foulée, une fiche d'information a été mise en ligne.
Actuellement, si vous avez la version 1.1.13704.0 de Windows Defender, vous êtes protégé. Les nouvelles versions du moteur et de la base de signatures s’installent en effet silencieusement et ne réclament pas de redémarrage de la machine. Sous Windows 10, le numéro peut être vu depuis les Paramètres du système, dans la section « Mise à jour et sécurité ». Pour les autres systèmes, il est consultable dans Defender lui-même.
Puisque le déploiement est en cours, il est possible que la mise n’ait pas encore été installée. Auquel cas la solution est simple : lancer une recherche dans Windows Update.
Tavis Ormandy se félicite d’une réaction aussi rapide, puisqu’il aura fallu environ 48 heures à Microsoft pour analyser les détails de la faille et publier le correctif, un planning on ne peut plus serré. Il est probable que la dangerosité de la faille et la possibilité de le déployer sans toucher au système ont joué un grand rôle dans cette rapidité.
merci à NextInpact
