Vous savez comme moi que parfois les failles de sécurité les plus dangereuses sont aussi les plus simples. Imaginez-vous un instant, déjouer complètement Windows Defender, le garde du corps intégré de Microsoft, avec juste… un lien symbolique. Oui, un simple raccourci Windows créé avec la commande mklink, et paf, c’est la protection antivirus qui part en fumée. C’est exactement ce qu’a déniché un chercheur en sécurité russe connu sous le pseudo de Two Seven One Three.
L’astuce ici, c’est que l’attaque joue avec la manière dont Windows Defender gère ses propres mises à jour. Vous voyez ce dossier C:\ProgramData\Microsoft\Windows Defender\Platform où l’antivirus range ses exécutables ? Eh bien, chaque mise à jour génère un nouveau sous-dossier avec un numéro de version, genre 4.18.24090.11-0. Au démarrage, Defender se lance à la recherche de la version la plus fraîche pour s’exécuter. C’est ici que le problème commence à se dessiner.
Microsoft pourrait rapidement faire face à cette vulnérabilité simple mais redoutable.
Le chercheur a découvert qu’avec des droits administrateur, n’importe qui peut créer un nouveau dossier dans Platform. Bien que Microsoft ait tenté de sécuriser ce répertoire critique, la création de nouveaux dossiers reste possible, ce qui devient une porte d’entrée majeure pour les cybercriminels. Ainsi, l’attaque se déroule très simplement : vous créez un lien symbolique avec un nom de version qui semble plus récent, par exemple 5.18.25070.5-0, pointant vers un dossier que vous contrôlez, tel que C:\TMP\AV.
Il suffit d’utiliser la commande suivante pour réaliser cela : mklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25070.5-0" "C:\TMP\AV". Au prochain redémarrage de Windows, Defender se dit “Oh chouette, une nouvelle version !” et commence à s’exécuter depuis votre dossier piégé. Cela permet alors aux hackers de modifier les fichiers de Defender, d’injecter du code malveillant ou même de supprimer les exécutables, laissant ainsi le PC vulnérable à toutes sortes d’attaques.
Il existe également une variante encore plus sournoise de cette méthode, utilisant Process Monitor, qui permet d’écraser le fichier principal de Defender au démarrage. Les implications de cette vulnérabilité sont énormes, car une fois que Defender est neutralisé, la protection en temps réel disparaît, rendant la machine complètement vulnérable aux ransomwares et autres malwares. Le fait que cette attaque utilise uniquement des outils déjà présents dans Windows est d’autant plus préoccupant.
Pour l’instant, Microsoft n’a pas encore communiqué officiellement sur cette vulnérabilité, mais vu son exploitation facile et son efficacité, un correctif pourrait rapidement voir le jour. En attendant, il est recommandé aux entreprises de surveiller de près les modifications dans le dossier Platform de Windows Defender pour éviter toute exploitation malveillante.
