Discussion :

[Patrick Ruiz]

Microsoft corrige une faille de sécurité dans Windows Defender,
elle permettait d’exécuter du code arbitraire dans un email

Samedi dernier, les chercheurs en sécurité Tavis Ormandy et Natalie Silvanovich de l’équipe du projet Zero de Google ont signalé à Microsoft la présence d’une faille critique dans Windows Defender. La faille référencée CVE-2017-0290 a été corrigée par Microsoft ce lundi.

Pour gagner le contrôle d’un système vulnérable, tout ce qu’un hacker doit faire est de lui transmettre un courriel avec un fichier attaché contenant du code exécutable. Une simple analyse de ce fichier attaché par Windows Defender est suffisante pour déclencher l’exécution du code contenu dans le fichier attaché, ce, que la victime consulte ou non le fichier en question. En exploitant pleinement cette faille, un hacker aurait ainsi le moyen de détourner le système en entier.

Windows Defender utilise un service de protection contre les malwares appelés MsMpEng. Ce service intègre un composant appelé mpengine qui est responsable du scan et de l’analyse des fichiers. La faille de sécurité dont il est question ici est en réalité celle de mpengine comme le souligne le rapport des chercheurs en sécurité du projet Zero de Google. Il faut souligner que cette faille de sécurité touchait à d’autres produits de sécurité de Microsoft qui utilisent aussi MsMpEng.

Ainsi, en plus de Windows Defender, ce sont d’autres produits antimalwares comme Microsoft Security Essentials, Microsoft Endpoint Protection, Microsoft Forefront Security, Microsoft Forefront Endpoint Protection et Microsoft Intune Endpoint Protection qui étaient également affectés. Même si la liste de produits affectés est longue, Microsoft assure que la faille de sécurité n’a pas été exploitée jusqu’ici. Microsoft ajoute que les correctifs sont disponibles par le biais de Windows Update. Ils seront automatiquement appliqués sans qu’il soit nécessaire que les administrateurs système ou les utilisateurs finals n'aient à intervenir.

Sources : Technet, Rapport Tavis

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Windows : la faille exploitée par le ver Stuxnet, corrigée en 2010, demeure la plus utilisée par les hackers, d'après Kaspersky Lab

Windows : une faille zero-day supposée affecter toutes les versions de l'OS, de Windows 2000 à Windows 10, sont en vente à 90 000 dollars US

[abbe2017]

je pose une question clé :

voilà, on a une news qui dit qu'un élément important (si ce n'est fondamentale, en tout cas populaire et préinstallé) possède une faille de sécu importante et dont le correctif sera mis sans besoin d'une autorisation quelconque.

Comme on ne voit pas le code source qui montre par a+b la faille, ni sa correction, comment être certain que le correctif ne sera pas un rootkit pour permettre à un organisme (en 3 lettres..) d'avoir une moyen de regarder le contenu d'un ordinateur ?

Si c'était opensource, on pourrait le voir, mais là, quenéni.
quelle plus belle méthode que celle-la pour propager un cheval de troie légitime....

[JML19]

Bonsoir

Windows est un Cheval de Troie légitime !

[BufferBob]

Comme on ne voit pas le code source qui montre par a+b la faille, ni sa correction, comment être certain que le correctif ne sera pas un rootkit pour permettre à un organisme (en 3 lettres..) d'avoir une moyen de regarder le contenu d'un ordinateur ?

qu'est-ce qui nous dit que tu n'es pas toi-même un membre d'une organisation occulte dirigée par les Franc-Maçons Illuminatis qui cherchent à contrôler l'internet français depuis la face cachée de Jupiter ? après tout je ne te connais pas, donc le doute est permis légitime et pertinent

oh et sinon y'a des gens dont c'est le boulot d'examiner à la loupe les correctifs de sécu de ce genre, avec des outils comme le plugin bindiff de IDA par exemple, et en étudiant directement le code désassemblé, sans parler du fait qu'un rootkit c'est un peu gros et que la NSA n'a pas besoin de s'emmerder avec ça pour faire de l'espionnage de masse

ni la NSA ni les autres non plus d'ailleurs, mais c'est un boulot et l'espionnage est une activité aussi nécessaire à chaque pays que son armée (sans rentrer dans ce débat là), stop l'étroitesse d'esprit complotiste qui mise sur la peur de tout et n'importe quoi, j'aime à penser qu'on vaut mieux que ça intellectuellement parlant dans la sphère informatique-francophone.

[Volgaan]

Si Windows Defender est en version 1.1.13704.0, alors c'est bon, vous êtes protégé de cette faille. Comme la mise à jour se fait silencieusement, c'est sûrement déjà le cas.

[Aeson]

Comme on ne voit pas le code source qui montre par a+b la faille, ni sa correction, comment être certain que le correctif ne sera pas un rootkit pour permettre à un organisme (en 3 lettres..) d'avoir une moyen de regarder le contenu d'un ordinateur ?

C'est vrai qu' on fait tous un code review avant de faire yum update

Encore une fois, la preuve que les codes review sont mal fait est demontré par le bot google qui a trouvé un millier de faille via de la simple analyse de code.

Toujours ce fameux code review imaginaire...