Windows Defender : le hacker d'élite de Google débusque une autre faille critique

Le par  |  2 commentaire(s)
Windows-Defender-logo

Tavis Ormandy a découvert une autre vulnérabilité d'exécution de code à distance dans le moteur anti-malware de Microsoft. Elle a été rapidement corrigée.

Décidément… Tavis Ormandy de Project Zero (Google) fait encore parler de lui. Le chercheur en sécurité a identifié une nouvelle faille critique affectant MsMpEng, à savoir le moteur de protection contre les logiciels malveillants de Microsoft (Microsoft Malware Protection Engine).

La vulnérabilité affecte notamment Windows Defender dans Windows 10, Windows 8.1, Windows 7 et Windows Server 2008. Toutefois, Microsoft ne mentionne que des systèmes 32 bits impactés. Qui plus est, la faille a été corrigée relativement discrètement sans être divulguée publiquement. Il n'y a donc pas d'alerte rouge.

La vulnérabilité (CVE-2017-8558) existe lorsque MsMpEng n'analyse pas de manière correcte un fichier spécialement conçu, ce qui mène à une corruption de mémoire. Un attaquant est susceptible d'exploiter cette vulnérabilité " pour une exécution de code à distance dans le contexte du compte LocalSystem et prendre le contrôle du système ", écrit Microsoft.

" L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. " Microsoft a été prévenu de cette faille le 7 juin. Une correction a été apportée le 23 juin avec la version 1.1.13903.0 de MsMpEng, soit bien avant l'échéance de 90 jours pour une divulgation publique par Project Zero.

Tavis Ormandy avait déjà souligné la rapidité de réaction de Microsoft suite à sa découverte d'une faille dans MsMpEng qu'il avait qualifiée de follement mauvaise. Entre-temps, il a mis au jour une deuxième faille critique qui a été corrigée aussi discrètement que la troisième.

Pour les deux dernières, le chercheur en sécurité souligne que l'émulateur de système x86 s'exécute en tant que processus System, sans protection sandbox, avec une activation par défaut et accessible à distance pour des attaquants.

Adepte du fuzzing, Tavis Ormandy n'a peut-être pas encore fini avec ses trouvailles autour de Windows Defender, dans un contexte où Kaspersky Lab se plaint de cette solution de Microsoft présente par défaut dans Windows 10. Par le passé, Tavis Ormandy avait découvert des failles critiques dans divers produits antivirus ; Kaspersky Lab compris.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1970512
C'est beau

Bon pour une fois, a priori Microsoft a réagi rapidement, et c'est tout ce qui importe (peut être ont ils travaillé sur leur réactivité dernièrement ils m'épatent)
Le #1970517
LinuxUser a écrit :

C'est beau

Bon pour une fois, a priori Microsoft a réagi rapidement, et c'est tout ce qui importe (peut être ont ils travaillé sur leur réactivité dernièrement ils m'épatent)


Yep, une excellente chose pour tout le monde
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]