Décidément… Tavis Ormandy de Project Zero (Google) fait encore parler de lui. Le chercheur en sécurité a identifié une nouvelle faille critique affectant MsMpEng, à savoir le moteur de protection contre les logiciels malveillants de Microsoft (Microsoft Malware Protection Engine).
La vulnérabilité affecte notamment Windows Defender dans Windows 10, Windows 8.1, Windows 7 et Windows Server 2008. Toutefois, Microsoft ne mentionne que des systèmes 32 bits impactés. Qui plus est, la faille a été corrigée relativement discrètement sans être divulguée publiquement. Il n'y a donc pas d'alerte rouge.
La vulnérabilité (CVE-2017-8558) existe lorsque MsMpEng n'analyse pas de manière correcte un fichier spécialement conçu, ce qui mène à une corruption de mémoire. Un attaquant est susceptible d'exploiter cette vulnérabilité " pour une exécution de code à distance dans le contexte du compte LocalSystem et prendre le contrôle du système ", écrit Microsoft.
" L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. " Microsoft a été prévenu de cette faille le 7 juin. Une correction a été apportée le 23 juin avec la version 1.1.13903.0 de MsMpEng, soit bien avant l'échéance de 90 jours pour une divulgation publique par Project Zero.
Tavis Ormandy avait déjà souligné la rapidité de réaction de Microsoft suite à sa découverte d'une faille dans MsMpEng qu'il avait qualifiée de follement mauvaise. Entre-temps, il a mis au jour une deuxième faille critique qui a été corrigée aussi discrètement que la troisième.
Pour les deux dernières, le chercheur en sécurité souligne que l'émulateur de système x86 s'exécute en tant que processus System, sans protection sandbox, avec une activation par défaut et accessible à distance pour des attaquants.
I wrote a fuzzer for the unsandboxed x86 emulator in Windows Defender and found arbitrary read/write. https://t.co/t29mYNwiAL
— Tavis Ormandy (@taviso) 23 juin 2017
Adepte du fuzzing, Tavis Ormandy n'a peut-être pas encore fini avec ses trouvailles autour de Windows Defender, dans un contexte où Kaspersky Lab se plaint de cette solution de Microsoft présente par défaut dans Windows 10. Par le passé, Tavis Ormandy avait découvert des failles critiques dans divers produits antivirus ; Kaspersky Lab compris.