Microsoft corrige une vulnérabilité critique dans son moteur de protection

Contre les logiciels malveillants, susceptible d’être exploitée à distance

Avant l’édition d’avril de son traditionnel Patch Tuesday, Microsoft a publié un correctif de sécurité qui vient colmater une vulnérabilité d’exécution de code à distance dans Microsoft Malware Protection Engine (le moteur de protection de Microsoft contre les logiciels malveillants).

L’entreprise explique qu’il existe une vulnérabilité d’exécution de code à distance lorsque Microsoft Malware Protection Engine n’analyse pas correctement un fichier spécialement conçu, ce qui entraîne une altération de la mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de sécurité du compte LocalSystem et prendre le contrôle du système. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.

Pour exploiter cette vulnérabilité, un fichier spécialement conçu doit être analysé par une version concernée de Microsoft Malware Protection Engine. Il existe de nombreux moyens par lesquels l’attaquant pourrait placer un fichier spécialement conçu dans un emplacement analysé par Microsoft Malware Protection Engine. Par exemple, l’attaquant peut utiliser un site web pour transmettre le fichier spécialement conçu au système de la victime, pour que le fichier soit analysé lorsque l’utilisateur consulte le site web. L’attaquant peut aussi transmettre le fichier spécialement conçu dans un courrier électronique ou un message instantané analysé lorsque le fichier est ouvert. En outre, l’attaquant pourrait tirer parti des sites web qui acceptent ou hébergent du contenu fourni par les utilisateurs, afin de charger un fichier spécialement conçu dans un emplacement partagé analysé par la version de Malware Protection Engine qui s’exécute sur le serveur d’hébergement.

Si la protection en temps réel du logiciel anti-programme malveillant concerné est activée, Microsoft Malware Protection Engine analyse automatiquement les fichiers, ce qui entraîne l’exploitation de la vulnérabilité lorsque le fichier spécialement conçu est analysé. Si l’analyse en temps réel n’est pas activée, l’attaquant doit attendre qu’une analyse planifiée se produise pour pouvoir exploiter la vulnérabilité. Les systèmes qui exécutent une version concernée du logiciel anti-programme malveillant sont les plus exposés.

Cette mise à jour vient donc corriger la vulnérabilité en modifiant la manière dont Microsoft Malware Protection Engine analyse les fichiers spécialement conçus.

C’est le chercheur de Google Project Zero, Thomas Dullien, qui répond à l’alias Halvar Flake, qui a découvert que les pirates pouvaient déclencher un problème de corruption de mémoire dans le moteur s’ils pouvaient faire en sorte que Windows Defender et d’autres produits de sécurité concernés analysent un fichier spécialement conçu.

La vulnérabilité, répertoriée comme étant CVE-2018-0986 et classée dans la catégorie « critique », concerne plusieurs produits Microsoft qui utilisent le moteur de protection contre les logiciels malveillants, notamment Exchange Server, Forefront Endpoint Protection 2010, Security Essentials, Windows Defender et Windows Intune Endpoint Protection.

Heureusement, aucune action n’est requise par les utilisateurs finals. Le mécanisme intégré de détection et de déploiement des mises à jour doit appliquer automatiquement le correctif dans les 48 heures suivant la publication, bien que Microsoft indique que le délai exact dépendra du logiciel utilisé, de votre connexion Internet et de la configuration de votre infrastructure.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 23 |

Actu en image