Vulnérabilité critique dans Microsoft Malware Protection Engine

CVE-2017-11937

Mikaël GUILLERM11 décembre 2017

0 2 minutes de lecture

Alors que demain nous allons avoir le Tuesday Patch de Microsoft, la firme de Redmond vient de pousser un correctif de sécurité pour tous ses systèmes d’exploitation (sous support). Il est rare que Microsoft pousse des mises à jour en dehors du Tuesday Patch, ce qui prouve bien la criticité de ce patch.

Estampillée CVE-2017-11937, cette faille est présente dans le Malware Protection Engine (moteur de protection anti-malware) présent dans Windows Defender mais aussi dans d’autres applications tierces comme Forefront, Endpoint Protection, Exchange Server, Security Essentials, Intune.

Si cette faille venait à être exploitée, l’attaquant pourrait obtenir des droits pour exécuter un code arbitraire sur le système attaqué. Un contrôle total de la machine peut être obtenu avec toutes les conséquences que cela engendre.

Pour être exécuté,, l’antimalware doit scanner un fichier spécifique, conçu par l’attaquant pour provoquer une corruption de la mémoire et ainsi récupérer le contrôle total. Ce fichier peut être reçu par mail, clé usb ou encore via un site de partage de fichiers.

Microsoft ajoute :

«Si le logiciel AntiMalware concerné est activé en temps réel, Malware Protection Engine analyse automatiquement les fichiers, ce qui entraîne l’exploitation de la vulnérabilité lors de l’analyse du fichier»

Le fichier en question doit être disponible sur l’ordinateur. Il peut être envoyé par email, au travers d’une application de messagerie ou par de simples liens vers des sites Web hébergeant le fichier.

Le patch est d’ores et déjà disponible, mais étant donné le risque critique, il sera installé automatiquement par Windows. Pour le vérifier, il suffit de se rendre dans les paramètres Windows, puis dans Windows Defender et de vérifier que la nouvelle version du moteur (1.1.14405.2 ou supérieur) a bien été installée.