Table des matières
Un chercheur en sécurité a mis en lumière une méthode inédite pour désactiver Microsoft Defender sur Windows 11, en utilisant un mécanisme inattendu. Cette approche, qui s’appuie sur le système de rapports de crash de Windows, se révèle plus simple et discrète que les méthodes traditionnelles. Découvrons comment ce procédé pourrait remettre en question la sécurité des systèmes d’exploitation de Microsoft.
Les 3 points clés à retenir
Le système Windows Error Reporting (WER) a pour fonction de transmettre à Microsoft des rapports de crash. Ces rapports permettent d’analyser les dysfonctionnements d’applications. Le processus principal, WerFault.exe, gère les applications ordinaires, tandis que les programmes sensibles, notamment les antivirus, sont traités par WerFaultSecure.exe. Ce dernier dispose d’autorisations accrues pour accéder à la mémoire des programmes et analyser leur état.
Le chercheur, connu sous le pseudonyme TwoSevenOneThree, a développé un outil nommé EDR-Freeze qui exploite le fonctionnement de WerFaultSecure. Cette technique repose sur l’interruption du processus de rapport de crash à un moment précis, laissant l’antivirus dans un état de pause prolongée. Contrairement aux attaques nécessitant l’accès au noyau via des pilotes vulnérables, cette méthode reste confinée à l’espace utilisateur.
Bien que l’outil EDR-Freeze soit actuellement une preuve de concept, il représente un défi potentiel pour les éditeurs d’antivirus. Le code de l’outil étant disponible sur GitHub, il est important pour les entreprises de prendre des mesures préventives. Celles-ci incluent la restriction de l’utilisation de Windows Error Reporting sur les machines sensibles et la mise en place de règles de contrôle d’applications pour limiter l’exécution de WerFaultSecure.exe.
Des solutions de surveillance peuvent également être mises en place pour détecter toute tentative de rapport sur des processus critiques. Un agent de supervision peut envoyer des signaux de vitalité réguliers pour vérifier le bon fonctionnement des systèmes de sécurité. Ces mesures doivent être assurées par des composants séparés, car un antivirus gelé ne peut plus se défendre seul. En attendant une mise à jour de Microsoft, ces stratégies peuvent atténuer le risque, bien qu’elles ne soient pas infaillibles.
Microsoft Defender, anciennement connu sous le nom de Windows Defender, est un antivirus intégré aux systèmes d’exploitation Windows. Initialement lancé en 2006 pour Windows XP, il a évolué pour offrir une protection complète contre les logiciels malveillants. Avec l’arrivée de Windows 10, Microsoft Defender est devenu une solution de sécurité par défaut, fournissant une protection en temps réel sans frais supplémentaires pour les utilisateurs. Les récentes révélations sur les vulnérabilités exploitables démontrent que, malgré ses avancées, la sécurité logicielle reste un domaine en constante évolution.