Un chercheur en sécurité a récemment dévoilé une méthode innovante pour désactiver Microsoft Defender sur Windows 11, sans avoir besoin de manipuler le noyau du système d’exploitation. Cette découverte repose sur une exploitation astucieuse de l’outil de rapports de crash de Windows, mettant en lumière des vulnérabilités inattendues dans le fonctionnement des antivirus.
Les 3 points clés à retenir
- Un chercheur a réussi à mettre Microsoft Defender en pause prolongée en utilisant l’outil de rapports de crash de Windows.
- Contrairement aux méthodes traditionnelles, cette technique n’interfère pas avec le noyau, mais reste dans l’espace utilisateur.
- Bien que l’outil EDR-Freeze ne soit qu’une preuve de concept, il représente un risque potentiel pour les solutions antivirus.
Découverte de la faille par un chercheur en sécurité
TwoSevenOneThree, un chercheur en sécurité informatique, a mis au point un outil nommé EDR-Freeze capable de désactiver temporairement Microsoft Defender. Ce dernier tire parti du système Windows Error Reporting (WER), généralement utilisé pour diagnostiquer les pannes d’application.
Le processus WerFaultSecure.exe, chargé de gérer les applications sensibles, est au cœur de cette exploitation. Grâce à ses autorisations avancées, il peut accéder à la mémoire des programmes pour en analyser l’état, ce qui est essentiel lors de la création de rapports détaillés des crashs.
Méthode d’exploitation de l’outil WerFaultSecure
L’outil EDR-Freeze fonctionne en déclenchant intentionnellement le processus WerFaultSecure pour générer un rapport sur un antivirus ciblé. Ce faisant, il interrompt le processus à l’instant où l’antivirus est mis en pause, empêchant ainsi sa réactivation. Cette méthode ne nécessite pas l’utilisation de pilotes vulnérables, mais utilise plutôt une séquence logique prévue par Microsoft.
Conséquences et réactions des éditeurs antivirus
Bien que EDR-Freeze soit encore à l’état de preuve de concept, son code est accessible au public sur GitHub, ce qui pourrait inspirer des attaques réelles. Les éditeurs de solutions antivirus doivent donc envisager des mesures préventives pour contrer cette technique, notamment en limitant l’usage de Windows Error Reporting sur les machines sensibles.
Des stratégies de sécurité telles que la désactivation de certaines fonctions de WER ou la mise en place de règles strictes grâce à des outils comme AppLocker ou WDAC sont envisageables. Cependant, elles doivent être soigneusement testées pour éviter d’affecter les applications légitimes qui dépendent de ces rapports de plantage.
Microsoft et l’évolution de Windows Error Reporting
Microsoft a introduit Windows Error Reporting avec Windows XP pour améliorer la stabilité du système en collectant des informations sur les plantages d’applications. WER a évolué au fil des années pour inclure des outils plus sophistiqués, tels que WerFaultSecure.exe, afin de mieux analyser les logiciels critiques. Cependant, cette évolution a également ouvert la porte à des exploitations non prévues par les développeurs.
La découverte de cette faille par TwoSevenOneThree souligne la nécessité pour Microsoft de revoir le fonctionnement de WerFaultSecure pour renforcer la sécurité des systèmes Windows. En attendant, les utilisateurs et les entreprises doivent être vigilants et envisager des solutions de contournement pour protéger leurs systèmes contre cette nouvelle menace potentielle.