Attaque sur Windows Defender: faille majeure révélée
– Windows Defender peut être trompé pour supprimer des bases de données
– Le problème exploité peut être activé à distance et permettre aux attaquants de supprimer des fichiers et des applications à distance
Des chercheurs ont découvert des failles majeures dans les produits de sécurité de Microsoft et Kaspersky. Ils affirment que Windows Defender peut être trompé pour supprimer des bases de données. Pire encore, l’exploit peut être activé à distance et potentiellement permettre aux attaquants de supprimer des fichiers et des applications à distance. Vraiment effrayant.
Comme l’a rapporté en premier The Register, la société de cybersécurité SafeBreach a discuté de ses découvertes lors de la conférence Black Hat Asia à Singapour. L’équipe affirme que la faille pourrait rester exploitable même si les deux vendeurs affirment avoir corrigé le problème.
Le VP de la recherche en sécurité de SafeBreach, Tomer Bar, et le chercheur en sécurité Shmuel Cohen ont découvert que Windows Defender et Kaspersky Endpoint Detection and Response (EDR) peuvent être manipulés pour détecter des fichiers malveillants « faux ». Ces fichiers peuvent ensuite être utilisés pour affecter une base de données entière et la supprimer.
L’attaque repose sur le fait que les deux sociétés utilisent des signatures de bytes pour détecter les logiciels malveillants. Les signatures de bytes sont des séquences uniques de bytes dans les en-têtes de fichiers. « Notre objectif était de perturber l’EDR en implantant des signatures de logiciels malveillants dans des fichiers légitimes et de les faire passer pour malveillants », ont expliqué les experts.
Il suffisait de trouver une signature de bytes associée à des logiciels malveillants sur la plateforme VirusTotal. Ensuite, les mauvais acteurs créent un nouvel utilisateur qui inclut cette signature et l’insèrent dans une base de données. Rien que détecter ce positif « faux » dans la base de données est suffisant pour que l’EDR le perçoive comme dangereux, supprimant le tout par mesure de précaution. Les pirates pourraient utiliser cet exploit pour bloquer des applications et des services Windows tests, en faisant un outil très dangereux.
Combler les failles
Lorsqu’il a été informé de l’exploit, Kaspersky a affirmé que le problème n’était pas une vulnérabilité de sécurité. « Le comportement du produit est plus dicté par la conception », a déclaré le vendeur. Heureusement, il a toutefois concédé qu’il prévoit d’apporter certaines améliorations pour aider à atténuer le problème. Cohen a déclaré avoir testé ces affirmations et a constaté que les atténuations semblent fonctionner. Cependant, il ne garantit pas que les correctifs ne peuvent pas être contournés.
L’exploit affecte de manière similaire Windows Defender et les produits associés à Microsoft comme Azure Cloud. Les chercheurs ont choisi de ne pas tester la vulnérabilité sur le service basé sur le cloud car les conséquences potentielles sont bien trop importantes. Au lieu de cela, SafeBreach a signalé ses découvertes à Microsoft en janvier 2023. Microsoft a reconnu la faille potentielle sous le nom CVE-2023-24860 et a publié un correctif par la suite.
Évidemment, les chercheurs ne se sont pas arrêtés là. Ils affirment que les correctifs des deux sociétés n’étaient que des correctifs superficiels. Comme les produits de Microsoft sont très étendus, l’équipe a choisi de concentrer ses efforts là-dessus. En décembre 2023, les experts ont une fois de plus réussi à contourner le correctif initial et à déclencher l’exploit. Cette fois, Microsoft est resté impassible et a affirmé que le contournement ne fonctionnait que sur des points de terminaison déjà compromis.
Le duo a donc conclu que les vulnérabilités de suppression à distance sont particulièrement difficiles à corriger lorsque les contrôles de sécurité reposent sur la détection de signatures de bytes. Cohen félicite Microsoft pour sa collaboration, mais soutient que la faille est profondément ancrée dans Defender, et que la seule façon de résoudre complètement le problème nécessiterait une refonte totale du produit.
