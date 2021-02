Ce n’est pas parce qu’une vulnérabilité est ancienne qu’elle n’est pas utile. Qu’il s’agisse du piratage Adobe Flash ou de l’exploit EternalBlue pour Windows, certaines méthodes sont tout simplement trop bonnes pour que les attaquants les abandonnent, même si elles ont dépassé leur apogée. Mais un bogue critique vieux de 12 ans dans l’antivirus Windows Defender omniprésent de Microsoft a apparemment été négligé par les attaquants et les défenseurs jusqu’à récemment. Maintenant que Microsoft l’a finalement corrigé, la clé est de s’assurer que les pirates n’essaient pas de rattraper le temps perdu.

La faille, découverte par les chercheurs de la société de sécurité SentinelOne, s’est manifestée dans un pilote que Windows Defender, renommé Microsoft Defender l’année dernière, utilise pour supprimer les fichiers et l’infrastructure invasifs que les logiciels malveillants peuvent créer. Lorsque le pilote supprime un fichier malveillant, il le remplace par un nouveau fichier bénin comme une sorte d’espace réservé pendant la correction. Mais les chercheurs ont découvert que le système ne vérifie pas spécifiquement ce nouveau fichier. En conséquence, un attaquant pourrait insérer des liens système stratégiques qui dirigent le pilote pour écraser le mauvais fichier ou même exécuter un code malveillant.

Windows Defender serait infiniment utile aux attaquants pour une telle manipulation, car il est livré avec Windows par défaut et est donc présent dans des centaines de millions d’ordinateurs et de serveurs à travers le monde. Le programme antivirus est également hautement fiable au sein du système d’exploitation, et le pilote vulnérable est signé cryptographiquement par Microsoft pour prouver sa légitimité. En pratique, un attaquant exploitant la faille pourrait supprimer des logiciels ou des données cruciaux, ou même demander au pilote d’exécuter son propre code pour prendre le contrôle de l’appareil.

«Ce bogue permet une élévation des privilèges», déclare Kasif Dekel, chercheur senior en sécurité chez SentinelOne. « Les logiciels exécutés avec de faibles privilèges peuvent devenir des privilèges administratifs et compromettre la machine. »

SentinelOne a signalé le bogue pour la première fois à Microsoft à la mi-novembre et la société a publié un correctif mardi. Microsoft a évalué la vulnérabilité comme un risque «élevé», bien qu’il y ait des mises en garde importantes. La vulnérabilité ne peut être exploitée que lorsqu’un attaquant a déjà accès – distant ou physique – à un équipement cible. Cela signifie qu’il ne s’agit pas d’un guichet unique pour les pirates et qu’il devrait être déployé aux côtés d’autres exploits dans la plupart des scénarios d’attaque. Mais ce serait toujours une cible attrayante pour les pirates qui ont déjà cet accès. Un attaquant pourrait profiter d’avoir compromis n’importe quelle machine Windows pour pénétrer plus profondément dans un réseau ou l’appareil de la victime sans avoir à accéder au préalable à des comptes d’utilisateurs privilégiés, comme ceux des administrateurs.

SentinelOne et Microsoft conviennent qu’il n’y a aucune preuve que la faille a été découverte et exploitée avant l’analyse des chercheurs. Et SentinelOne retient des détails sur la façon dont les attaquants pourraient tirer parti de la faille pour donner le temps au correctif de Microsoft de proliférer. Maintenant que les résultats sont publics, ce n’est qu’une question de temps avant que les mauvais acteurs ne découvrent comment en profiter. Un porte-parole de Microsoft a noté que quiconque a installé le correctif du 9 février ou a activé les mises à jour automatiques est désormais protégé.

Une éternité

Dans le monde des systèmes d’exploitation grand public, une douzaine d’années, c’est long pour qu’une mauvaise vulnérabilité se cache. Et les chercheurs disent qu’il est peut-être présent dans Windows depuis encore plus longtemps, mais leur enquête a été limitée par la durée pendant laquelle l’outil de sécurité VirusTotal stocke les informations sur les produits antivirus. En 2009, Windows Vista a été remplacé par Windows 7 en tant que version actuelle de Microsoft.

Les chercheurs émettent l’hypothèse que le bogue est resté caché pendant si longtemps parce que le pilote vulnérable n’est pas stocké à plein temps sur le disque dur d’un ordinateur, comme le sont vos pilotes d’imprimante. Au lieu de cela, il se trouve dans un système Windows appelé «bibliothèque de liens dynamiques» et Windows Defender ne le charge qu’en cas de besoin. Une fois que le pilote a fini de fonctionner, il est à nouveau effacé du disque.

«Notre équipe de recherche a remarqué que le pilote est chargé dynamiquement, puis supprimé lorsqu’il n’est pas nécessaire, ce qui n’est pas un comportement courant», explique Dekel de SentinelOne. « Nous avons donc examiné la question. Des vulnérabilités similaires peuvent exister dans d’autres produits, et nous espérons qu’en divulguant cela, nous aiderons les autres à rester en sécurité. »

Des bugs historiques surgissent occasionnellement, d’une faille de modem Mac de 20 ans à un bug zombie de 10 ans dans les téléphones de bureau Avaya. Les développeurs et les chercheurs en sécurité ne peuvent pas tout saisir à chaque fois. C’est même arrivé à Microsoft avant. En juillet, par exemple, la société a corrigé une vulnérabilité DNS Windows de 17 ans potentiellement dangereuse. Comme pour tant de choses dans la vie, mieux vaut tard que jamais.