Microsoft colmate une importante faille de sécurité dans Windows Defender
Une version à vérifier
Microsoft a corrigé au cours des dernières heures une importante faille de sécurité dans Windows Defender, que l’on trouve dans tous les Windows depuis la version 7. Signalée par deux chercheurs de Google, elle permettait de faire exécuter arbitrairement un code dans un mail.
Samedi, les chercheurs Tavis Ormandy et Natalie Silvanovich ont commencé à évoquer les détails d’une faille critique de sécurité dans Windows Defender. Particulièrement dangereuse, elle permettait de faire exécuter un code s’il était placé dans la pièce jointe d’un email, avant même que ce dernier soit ouvert par l’utilisateur.
I think @natashenka and I just discovered the worst Windows remote code exec in recent memory. This is crazy bad. Report on the way. 🔥🔥🔥
— Tavis Ormandy (@taviso) 6 mai 2017
Une défaillance dans Windows Defender
Tavis Ormandy s’est fait une spécialité depuis longtemps des failles dans les produits Microsoft, particulièrement Windows. Il fait partie de l’initiative Project Zero de Google, qui ambitionne pour rappel de remonter rapidement aux éditeurs toutes les failles 0-day détectées, avec un compte à rebours de 90 jours pour réagir, sans quoi les détails sont publiés.
Windows Defender, intégré pour rappel dans Windows 7, 8/8.1, RT et 10, est ainsi touché par une telle vulnérabilité. Elle est de type exploitation à distance et « la pire » trouvée récemment. Les deux chercheurs, après avoir annoncé leur découverte, ont indiqué qu'ils travaillaient sur un rapport pour remonter l'information à Microsoft.
Peu de temps après, il donnait quelques informations supplémentaires. On apprenait ainsi que l’attaque fonctionnait contre une installation par défaut, n’avait pas besoin de se trouver sur le même réseau et pouvait être exploitée par un ver. En d’autres termes, toutes les caractéristiques d’une faille critique : exploitation depuis Internet et automatisable.
L'utilisateur n'a rien à faire pour déclencher l'attaque
Tandis que le rapport était envoyé à Microsoft, les deux chercheurs publiaient les premiers détails de la faille. Elle réside précisément dans MsMpEng, le moteur de détection de Defender activé par défaut dans tous les Windows concernés, y compris Server 2012 et moutures ultérieures, Security Essentials, System Centre Endpoint Protection et plusieurs autres produits de l’éditeur, notamment Forefront.
La faille peut être exploitée en faisant cliquer l’utilisateur sur un lien, depuis un site ou une messagerie. Mais l’exploitation peut également se faire depuis l’envoi d’un simple email, sans qu’il soit besoin de l’ouvrir. Defender le scanne, ce qui est suffisant pour déclencher le code à exécuter. Le ou les pirates peuvent alors provoquer une corruption en mémoire. Le code est en fait si court qu'il peut tenir dans un tweet, comme l'a montré Natalie Silvanovich.
CVE-2017-0290 is tweetable :)
var e = new Error();https://t.co/0RDygaVW6B({message : 7 });https://t.co/xkH9SQpNJE
— Natalie Silvanovich (@natashenka) 9 mai 2017
Selon les chercheurs, Defender fait une erreur de « confusion des types » dans NScript, un composant dont la mission est de surveiller l’activité dans le système de fichier ou le réseau. Comme Ormandy l’explique, il s’agit d’un interpréteur JavaScript disposant non seulement de privilèges élevés, mais également d’un fonctionnement hors de toute sandbox, pour évaluer tout code qui ne serait pas de confiance.
En d’autres termes, l’exploitation de la faille commence dès le téléchargement du fichier, qui déclenche une activité sur le système de fichier et le réseau, donc sans intervention de l’utilisateur. À terme, les pirates seraient capables de prendre le contrôle de la machine.
Un correctif déployé à toute allure
Ils ne devraient cependant pas avoir le temps de mettre cette découverte en pratique, à moins que cette vulnérabilité leur soit connue depuis plus longtemps que les chercheurs. Microsoft a en effet déployé cette nuit un correctif, récupéré automatiquement par Windows Update pour mettre à jour le moteur de détection dans Defender. Dans la foulée, une fiche d'information a été mise en ligne.
Actuellement, si vous avez la version 1.1.13704.0 de Windows Defender, vous êtes protégé. Les nouvelles versions du moteur et de la base de signatures s’installent en effet silencieusement et ne réclament pas de redémarrage de la machine. Sous Windows 10, le numéro peut être vu depuis les Paramètres du système, dans la section « Mise à jour et sécurité ». Pour les autres systèmes, il est consultable dans Defender lui-même.
Puisque le déploiement est en cours, il est possible que la mise n’ait pas encore été installée. Auquel cas la solution est simple : lancer une recherche dans Windows Update.
Tavis Ormandy se félicite d’une réaction aussi rapide, puisqu’il aura fallu environ 48 heures à Microsoft pour analyser les détails de la faille et publier le correctif, un planning on ne peut plus serré. Il est probable que la dangerosité de la faille et la possibilité de le déployer sans toucher au système ont joué un grand rôle dans cette rapidité.
Commentaires (97)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 09/05/2017 à 17h42
Le 09/05/2017 à 17h43
Le 09/05/2017 à 17h44
Le 09/05/2017 à 17h56
Le 09/05/2017 à 18h00
Le 09/05/2017 à 18h40
Le 10/05/2017 à 06h10
A partir de Windows 8, Defender est MSE en fait :)
Le 10/05/2017 à 07h06
Le 10/05/2017 à 07h42
Le 10/05/2017 à 07h47
Tu as une stats là dessus?
" /> ça serait très étonnant que plus de 50% des particuliers installe un antivirus autre
Le 10/05/2017 à 07h51
9e/21, On a vu pire comme pire antivirus
" />
Le 10/05/2017 à 07h52
[quote:5886889:Lebarbu82]Ben oui, c’est ce qu’il me dit:
" />
Etat du PC: Windows Defender est désactivé donc
quote]
Cela prouve ton incompétence …
Le 10/05/2017 à 07h54
Je dirais même plus “Je m’en porte beaucoup mieux !”
Le 10/05/2017 à 07h56
Le 10/05/2017 à 08h05
Je serais curieux de savoir combien de millions de PC tu as examiné pour faire une assertion aussi péremptoire !!
J’ai réinstallé des tas de PC d’amis et de connaissances (plus d’une cinquantaine à ce jour, passage à Windows 10 en particulier) qui étaient équipés d’Avast ou autres bouzins genre “Norton et compagnie” . Depuis que je les ai reconfiguré en virant ces antivirus et en laissant Windows Defender comme protection, leurs PC tournent beaucoup mieux et n’ont pas récupérés de virus …
Le 10/05/2017 à 08h35
Le 10/05/2017 à 08h37
Le 10/05/2017 à 08h41
Arrête de Filloner !
Le 10/05/2017 à 08h46
Le 10/05/2017 à 08h55
quand tu dis antivirus, tu inclus le norton en version d’essai fourni en crapware et jamais actualisé ? Parce que ça j’en ai rencontré pas mal…
Le 10/05/2017 à 09h17
Le 10/05/2017 à 09h30
Le 10/05/2017 à 10h40
Le 10/05/2017 à 10h49
sans vouloir polémiquer, comment sais tu qu’avec ton Nod32 tu n’es pas infecté ?
C’est une vraie question
Le 10/05/2017 à 10h59
Le 10/05/2017 à 17h43
Tu comprends comment un antivirus fonctionne ?
" />
Il lit TOUT ce qui passe dans le système.
S’il y a une faille… eh bien, il y a une faille
Le 09/05/2017 à 13h35
Oui, j’ai déjà fait, Comodo apparaît comme “On” dans le Security and Maintenance, le pare-feu Windows est désactivé, (public, private )Windows. J’ai désactivé les messages et rien. Ceci dit je suis insider slow ring et ce problème vient d’une build datant d’avant la Creator Update et donc le nouveau Defender. Avant je n’avais pas ce problème.
Le 09/05/2017 à 13h35
Le 09/05/2017 à 13h38
heu non pas vraiment, c’est un produit pro.
mais sophos offre la licence pour une utilisation home avec TOUTE les fonctions hors personnalisation (logo etc).
Le 09/05/2017 à 13h47
ah mais non Win 10 je touche pas, je sais pas
" />
Le 09/05/2017 à 14h19
Le 09/05/2017 à 14h25
Le 09/05/2017 à 14h30
Le 09/05/2017 à 14h36
C’est encore un truc pour te dire que si tu utilises pas tous les produits MS tu es menacé(e).
" />
Le 09/05/2017 à 14h37
On l’a dans l’OS !
" />
Le 09/05/2017 à 14h38
Tout le monde tant qu’un autre antivirus n’est pas installé
Le 09/05/2017 à 15h27
Le 09/05/2017 à 17h10
Le 09/05/2017 à 17h14
Le 09/05/2017 à 17h30
Le 09/05/2017 à 17h39
Le 09/05/2017 à 17h41
Windows Defender est un antivirus.
Pourquoi en installer un autre ? La majorité des utilisateurs n’en éprouvent plus le besoin.
Le 09/05/2017 à 11h50
Le 09/05/2017 à 11h51
non seulement il est pas trop mal, mais en plus il est intégré au système !
nombre tata janine ont WDEF c’est une certitute…
moi perso j’ai sophos car je possède leur UTM donc je centralise les conf des antivirus, sinon je serais en windef… par ce que avast et cie c’est devenue du gros nawak enfin avast ça à toujours été en fait. (j’utilisais antivir)
Le 09/05/2017 à 11h52
J’avais mis la page pour w7, mais effectivement sur les derniers résultats w10 il est en dessous du reste, mais il est integré au systeme et largement moins usine à gaz qu’avast par exemple
Le 09/05/2017 à 11h57
Le 09/05/2017 à 12h04
Le 09/05/2017 à 12h04
un peu HS mais si on fait la moyenne entre les failles remontées par Google et pas patchées à temps et celle-ci patchée quasi dans la foulée de la remontée, ça donne quoi pour MS
Le 09/05/2017 à 12h05
c’est pas plutôt le réglage du centre de sécurité ?
Panneau de configuration\Tous les Panneaux de configuration\Centre de maintenance
Et tu indiques que le produit tiers utilisé est ok, comme ça plus d’alerte
Ou là et tu décoches la case
Panneau de configuration\Tous les Panneaux de configuration\Centre de maintenance\Modifier les paramètres du Centre de maintenance
Le 09/05/2017 à 12h07
Le 09/05/2017 à 12h07
Le 09/05/2017 à 12h08
Réactif sur ce coup la Microsoft ça fait plaisir. Perso j’ai fini par lâcher Avast au profit de Defender je m’en porte pas plus mal
Le 09/05/2017 à 12h14
Le 09/05/2017 à 12h26
Le 09/05/2017 à 12h27
Le 09/05/2017 à 12h28
ah ouais mais non alors
" />
" />
mais bon pour la base de départ
Le 09/05/2017 à 12h31
Le 09/05/2017 à 12h31
Il y a un truc que je ne comprend pas dans la news.
Particulièrement dangereuse, elle permettait de faire exécuter un code s’il était placé dans la pièce jointe d’un email, avant même que ce dernier soit ouvert par l’utilisateur.
Vous parlez uniquement d’un client lourd type thunderbird pour gérer les mails ?
Pake j’ai du mal à voir comment defender pourrait analyser les mails dans les webmails sans que l’utilisateur ne fasse rien.
Le 09/05/2017 à 10h40
pour info, le tweet de tavis sur la rapidité des équipes de microsoft : 
Twitterça fait plaisir de voir une telle réactivité 
" />
Le 09/05/2017 à 11h02
:O
Le 09/05/2017 à 11h04
Je prédis un commentaire qui rappelle que Linux n’est pas tout rose non plus dès la première page
Le 09/05/2017 à 11h07
Tu viens de le faire donc c’est inutile.
Je prédis qu’un INpactien va dire que le ciel est bleu…
Le 09/05/2017 à 11h09
Le 09/05/2017 à 11h10
Linux n’est pas tout rose non plus, surtout dès la première page d’un ciel bleu
Le 09/05/2017 à 11h13
Le ciel est bleu…à bordeaux.
" />
Le 09/05/2017 à 11h17
Le 09/05/2017 à 11h19
Le mieux quand tu critiques c’est de toujours aller où le vent tourne.
😅
Le 09/05/2017 à 11h19
La casse devrait être largement limitée. Qui utilise Defender ?
Le 09/05/2017 à 11h19
Windows Defender ne se désactive pas à l’instal d’un anti-virus ?
" /> suite à l’instal de Avast)
" />
(Vrai question, sur mon win10, il s’est désactivé
PS: le ciel est bleu vers Agen aussi
Le 09/05/2017 à 11h20
Le 09/05/2017 à 11h21
Le 09/05/2017 à 11h23
Le 09/05/2017 à 11h25
Je suis en slow ring et pas de mise à jour. Apparemment on n’est pas concernés. J’ai le nouveau Defender depuis quelques temps.
Le 09/05/2017 à 11h29
Si si effectivement, vu que c’est un antivirus il se désactive automatiquement s’il détecte qu’un autre antivirus est actif.
Le 09/05/2017 à 11h30
Le tweet de Nabilla
" /> Purée, les sommets 
" />
Le 09/05/2017 à 11h31
Par contre le firewall MS est relou. J’ai Defender en AV et Comodo en firewall, et bah j’ai une alerte comme quoi le firewalls MS et désactivé…
:/
Le 09/05/2017 à 11h32
La protection en temps réel est active par défaut depuis Windows 7, sauf si on installe un autre antivirus.
" />
Théoriquement. Parce que sur ma machine Win 7, j’ai beau avoir un autre antivirus, la protection en temps réel est toujours là
Le 09/05/2017 à 11h33
Je parle dans l’interface du nouveau Defender. Si t’as pas celui de MS activé mais un autre c’est considéré comme un problème.
Le 09/05/2017 à 11h34
Le ciel est bleu aujourd’hui comparé à ce weekend! C’est fou! :)
Le 09/05/2017 à 11h34
Ben oui, c’est ce qu’il me dit:
" />
" /> qui s’en sert si ce n’est lors d’un fresh install comme Edge ou IE11 pour télécharger Firefox 
" /> (m’enfin pour Win10 quoi)
Etat du PC: Windows Defender est désactivé donc
Mais comme dit Ricard
Le 09/05/2017 à 11h46
Pourtant il est plutôt bon en antivirus gratuit sur les derniers tests
http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html
Le 09/05/2017 à 12h35
Je suis assez d’accord, mais d’après vous quel est le meilleur anti-virus gratuit en terme de protection ?
Le 09/05/2017 à 12h36
J’ai pris la smart security suite, à environ 80€ sur 3 ans pour 3 postes
" />
" />
Vive les licences allemandes
Le 09/05/2017 à 12h39
Effectivement ça a l’air bien mieux qu’il y a quelques années. On atteint des niveaux se détection très corrects.
https://www.av-test.org/fr/antivirus/particuliers-windows/windows-7/f%C3%A9vrier…
Et:
https://www.av-comparatives.org/wp-content/uploads/2017/04/avc_factsheet2017_03….
Car il y a quelques années je me souviens alors lu des tests semblant sérieux qui ne l’intégraient même pas aux autres car la comparaison n’était pas vraiment sérieuse.
Sans aller jusque là, on lit dans ces rapports qu’ils ont fait beaucoup de progrès depuis 2015 et 2016 (taux de détection très moyen ci-dessous:
 https://www.av-comparatives.org/wp-content/uploads/2016/07/avc_prot_2016a_en.pdf
https://www.av-comparatives.org/wp-content/uploads/2015/12/avc_prot_2015b_en.pdf
https://www.av-comparatives.org/wp-content/uploads/2015/07/avc_prot_2015a_en.pdf
Le 09/05/2017 à 12h43
BitDefender, licence française, propose (proposait?) pour 90€ un pack 20 pc/mac/android pour 3 ans.
J’en suis très content.
Le “family pack”.
Le 09/05/2017 à 12h43
Cela dépend de ce que tu fais comme utilisation de ton PC…
Si tu ne fais par exemple que du jeu et très peu de navigation en dehors de site genre NXI, alors l’antivirus de W10 te suffit…
Si par contre tu vas sur des sites plus sensible ou tu télécharges un peu tout et n’importe quoi, alors la oui tu auras peut etre bien besoin d’autre chose que W10, mais pas sur qu’un “gratuit” suiffise
(Attention je ne dis pas que les payants sont mieux, j’ai eu pas mal de galère avec des AV tous payant et réputés et à chaque fois sur 3 PC, deux étaient devenus des veaux ou avait des incompatibilités avec jenesaisqueltrucquifaitqueçamerde… Tout ça pour ne jamais rien détecter)
Bref selon ton utilisation, à toi de voir. En gratuit celui que j’appréciais était Antivir
Le 09/05/2017 à 12h45
on avait bitdefender il y a quelques années, mais les changements d’interface et la sensation que le soft s’alourdissait m’ont fait aller voir ailleurs
" />
Le 09/05/2017 à 12h46
Ce n’est pas pour moi, mais mes parents (au niveau professionnel), personnellement je suis sous Arch Linux et je ne vois pas vraiment l’intérêt d’un antivirus au vu de mon utilisation.
Le 09/05/2017 à 12h52
le truc qui a le meilleur ratio efficacité/temps c’est la sensibilisation du PEBKAK, à mon avis 
" />
edit: j’ai mis avast sur le pc de maman
Le 09/05/2017 à 12h52
Je comprends.
D’ailleurs, en HS, quelqu’un a t’il vu/lu un test sérieux de la BitDefenderBox?
https://www.bitdefender.fr/box/
Je trouve intéressant le principe, à ma connaissance le premier, d’essayer de sécuriser le réseau personnel entier et plus périphérique par périphérique, vu que tout est connecté au wifi désormais.
Le 09/05/2017 à 12h52
une passoire t’es dur.
pour le pékin moyen ça suffit largement.
et au pire ça fait du travail pour les auto-entrepreneurs qui réparent le pc de tata janine !
Le 09/05/2017 à 12h54
ba perso j’ai un UTM qui fait tout ça ^^
plus des antivirus sur les postes, qui sont aussi géré via l’UTM.
par ce que l’utm c’est bien, mais ça ne protège pas d’une clef usb infectée !
Le 09/05/2017 à 12h54
Pour naviguer n’importe j’ajouterai qu’un antivirus ne suffit pas, une extension type noscript ou umatrix protège bien, si on sait ce que l’on autorise bien sûr… WOT aussi était bien mais vu qu’ils faisaient n’importe quoi avec les données utilisateurs je le déconseille.
Se méfier aussi de l’interception TLS des solutions de sécurité suite à la généralisation du https, qui peuvent compromettre la sécurité des navigateurshttps://zakird.com/papers/https_interception.pdf
Le 09/05/2017 à 12h54
J’ai recommencé a utilisé Defender suite a la mise a niveau creators de win 10.
Pas encore trouver de test de cette version pour comparer.
En gratuit avant j’utilisai panda qui marche bien et qui installe pas une collection divers et varier de soft en bonus.
Le 09/05/2017 à 13h05
Personnellement, comme je fais relativement attention, je me contente de Defender qui me suffit pour mon usage. Il m’arrive de faire une analyse avec un autre antivirus pour voir mais je n’ai jamais rien eu de détecté donc pou le moment, je préfère éviter les usines à gaz.
Du reste, la meilleure protection antivirus c’est l’ICC (Interface Chaise-Clavier).
Le 09/05/2017 à 13h14
Et c’est relativement grand public?
Car sans avoir fait trop de recherche, la BitDefenderBox a l’air d’être un UTM pour monsieur tout le monde.
Le 09/05/2017 à 13h26
je suis aussi en smart security au bureau et nod32 en perso.
eset est depuis très longtemps l’un des meilleurs antivirus (1er ou 2eme) et très léger en impact système.
j’ai nod32 depuis la version2 c’est à dire 10-15ans et il m’a bien protégé plus d’une fois. Pourtant je fais super gaffe mais en tipiak c’est vite fait de se faire avoir.