Microsoft a récemment publié l'avis de sécurité 4022344, annonçant une grave vulnérabilité de la sécurité dans le moteur de protection contre les logiciels malveillants.

Moteur de protection contre les logiciels malveillants Microsoft

Cet outil est utilisé par divers produits Microsoft tels que Windows Defender et Microsoft Security Essentials sur des PC grand public. Il est également utilisé par Microsoft Endpoint Protection, Microsoft Forefront, Microsoft System Center Endpoint Protection ou Windows Intune Endpoint Protection.

La vulnérabilité de tous ces produits pourrait permettre l’exécution de code à distance si un programme exécutant Microsoft Malware Protection Engine analysait un fichier fabriqué.

Vulnérabilité Windows Defender corrigée

Tavis Ormandy et Natalie Silvanovich de Google Project Zero ont découvert le «pire exécuteur de code à distance Windows récemment enregistré». Les chercheurs ont parlé à Microsoft de cette vulnérabilité et les informations ont été dissimulées au public afin de permettre à la société 90 jours pour le réparer.

Microsoft a rapidement créé un correctif et diffusé de nouvelles versions de Windows Defender et davantage aux utilisateurs.

Les clients Windows sur lesquels les produits affectés s'exécutent sur leurs appareils doivent s'assurer de leur mise à jour.

Mettre à jour le programme sous Windows 10

• Appuyez sur la touche Windows, tapez Windows Defender, puis appuyez sur Entrée pour charger le programme.
• Si vous exécutez la mise à jour de Windows 10 Creators, vous obtiendrez le nouveau Windows Defender Security Center.
• Cliquez sur l'icône à crémaillère.
• Sélectionnez À propos de à la page suivante.
• Vérifiez la version du moteur pour vous assurer qu'elle est au moins 1.1.13704.0.

Les mises à jour de Windows Defender sont disponibles via Windows Update. Pour plus d'informations sur la mise à jour manuelle des produits anti-programmes malveillants de Microsoft, consultez le centre de protection contre les logiciels malveillants du site Web de Microsoft.

Rapport de vulnérabilité de Google sur le site Web de Project Zero

C'est ici:

Les vulnérabilités dans MsMpEng sont parmi les plus graves possibles dans Windows, en raison des privilèges, de l'accessibilité et de l'omniprésence du service.

Le composant principal de MsMpEng responsable du balayage et de l'analyse s'appelle mpengine. Mpengine est une vaste et complexe surface d’attaque, comprenant des gestionnaires pour des dizaines de formats d’archives ésotériques, des empaqueteurs et des crypteurs exécutables, des émulateurs de système complet et des interpréteurs pour diverses architectures et langages, etc. Tout ce code est accessible aux attaquants distants.

NScript est le composant de mpengine qui évalue tout système de fichiers ou activité réseau ressemblant à JavaScript. Pour être clair, il s'agit d'un interpréteur JavaScript non privilégié et privilégié utilisé pour évaluer le code non fiable, par défaut sur tous les systèmes Windows modernes. C'est aussi surprenant que cela puisse paraître.