Il est possible de contourner l'interface AMSI de Microsoft

Les logiciels malveillants incorporant un caractère nul dans leurs codes peuvent contourner les analyses de sécurité effectuées par l'interface AMSI (Anti-Malware Scan Interface) sur les postes Windows 10. Microsoft a corrigé cette vulnérabilité la semaine dernière lors de la publication des mises à jour de sécurité de février 2018.

La vulnérabilité réside dans AMSI (Anti-Malware Scan Interface), une interface de sécurité générique qui sert de point intermédiaire entre les applications et les antivirus locaux. Le bug découvert semble affecter uniquement l'interface PowerShell d'AMSI. L'interpréteur Windows Script Host d'AMSI ne semble pas affecté.

La vulnérabilité réside dans le fait qu’AMSI scanne un fichier jusqu'au caractère nul puis ignore le reste. Un attaquant pourrait cacher des commandes malveillantes derrière un caractère nul pour contourner les contrôles AMSI.

En théorie, l'application du patch suffit pour résoudre ce problème. Toutefois, les fournisseurs de logiciels utilisant AMSI pour analyser le contenu PowerShell doivent vérifier s'ils peuvent gérer correctement les caractères nuls.