Une faille de sécurité a été découverte sur Microsoft Windows Defender

Une faille de contournement de protection affectant le produit Microsoft Windows Defender vient d’être identifiée.

Windows Defender intègre une nouvelle fonctionnalité de contrôle d'accès granulaire aux dossiers. Elle permet de bloquer les modifications apportées aux dossiers et leur contenu par des logiciels non approuvés. Cette fonctionnalité utilise une approche similaire à celle utilisée par les pare-feux pour autoriser/bloquer l'accès aux dossiers afin d’assurer une protection contre les attaques par ransomware.

Par défaut, Microsoft dispose d'une liste prédéfinie des logiciels autorisés à apporter des modifications aux dossiers protégés.

Les exécutables des produits Microsoft Office sont inclus dans la liste blanche afin que ces programmes puissent effectuer des modifications dans les dossiers protégés sans restriction. Ce niveau d'accès est accordé même si un utilisateur malveillant utilise des objets OLE/COM. Ainsi, un développeur de ransomware pourrait adapter son logiciel pour utiliser des objets OLE afin de modifier/supprimer/chiffrer des fichiers de manière invisible pour le propriétaire des fichiers.

Un exemple de code d’exploitation a été publié et Microsoft a été notifié. Microsoft a décidé de ne pas la classer en tant que faille de sécurité mais a déclaré que ce type de contournement sera corrigé prochainement.