Quand Windows Defender se fait avoir par un simple raccourci
Vous savez comme moi que parfois les failles de sécurité les plus dangereuses sont aussi les plus simples. Imaginez-vous un instant, déjouer complètement Windows Defender, le garde du corps intégré de Microsoft, avec juste… un lien symbolique.
Oui, un simple raccourci Windows créé avec la commande
mklink
, et paf, c’est la protection antivirus qui part en fumée. Et bien c’est exactement ce qu’a déniché un chercheur en sécurité russe connu sous le pseudo de
Two Seven One Three
.
L’astuce ici, c’est que l’attaque joue avec la manière dont Windows Defender gère ses propres mises à jour. Je vous explique… Vous voyez ce dossier C:ProgramDataMicrosoftWindows DefenderPlatform où l’antivirus range ses exécutables ? Eh bien, chaque mise à jour génère un nouveau sous-dossier avec un numéro de version, genre 4.18.24090.11-0. Et au démarrage, Defender se lance à la recherche de la version la plus fraîche pour s’exécuter.
C’est là que ça devient croustillant car le chercheur a découvert qu’avec des droits administrateur, n’importe qui peut créer un nouveau dossier dans Platform. Microsoft a bien sûr pensé à empêcher l’écriture de fichiers malveillants dans ce répertoire critique, mais la création de nouveaux dossiers reste possible. C’est cette faille apparemment mineure qui devient alors une porte d’entrée majeure.
Voici comment l’attaque se déroule : vous créez un lien symbolique avec un nom de version qui semble plus récent, disons 5.18.25070.5-0. Ce lien dirige vers un dossier que vous contrôlez de A à Z, par exemple C:TMPAV.
La commande est un jeu d’enfant :
mklink /D "C:ProgramDataMicrosoftWindows DefenderPlatform5.18.25070.5-0" "C:TMPAV"
Ainsi, au prochain redémarrage de Windows, Defender se dit “Oh chouette, une nouvelle version !” et démarre depuis votre dossier piégé. De là, vous avez alors le contrôle total. Vous pouvez modifier les fichiers de Defender, lui injecter du code via DLL side-loading, ou carrément supprimer les exécutables, car sans ses fichiers principaux, l’antivirus ne peut plus démarrer et toute la protection s’effondre.
Y’a aussi
une variante encore plus sournoise détectée
en début d’année qui consiste à utiliser Process Monitor avec des liens symboliques, cet outil de monitoring système de Microsoft, avec lequel vous pouvez carrément écraser le fichier principal de Defender au démarrage. Il suffit de créer un lien symbolique C:WindowsProcmon.pmb qui pointe vers MsMpEng.exe, et Process Monitor fait le sale boulot pour vous pendant le boot.
Les hackers combinent de plus en plus cette approche avec d’autres méthodes comme le BYOVD (Bring Your Own Vulnerable Driver). Par exemple, le
groupe de ransomware Akira qui utilise des drivers Intel légitimes
pour obtenir un accès kernel et désactiver ainsicomplètement les protections Windows.
Les implications sont énormes car une fois Defender neutralisé, la page Windows Security devient inaccessible car le service n’est plus actif. Il n’y a plus aucune protection en temps réel, plus de détection de malware, rien. La machine devient alors une proie facile pour n’importe quel ransomware ou malware.
Le pire dans tout ça c’est que cette attaque utilise uniquement des outils déjà présents dans Windows. C’est la simplicité même de cette technique qui explique comment elle a pu passer inaperçue si longtemps.
Microsoft n’a pas encore communiqué officiellement sur cette vulnérabilité spécifique déterrée par Two Seven One Three mais vu l’exploitation enfantine et son efficacité redoutable, on peut parier qu’un correctif arrivera rapidement.
En attendant, les entreprises feraient bien de surveiller de très près les modifications dans le dossier Platform de Windows Defender…
Source : korben.info