On peut contourner l'antivirus Windows Defender avec une simple virgule
C'est une découverte insolite qu'a réalisée un chercheur en sécurité informatique : il est possible de tromper la vigilance de l'outil de protection Windows Defender en insérant une simple virgule dans une ligne de commande !
Soyons honnêtes, la sécurité informatique en générale et celle de Windows en particulier, s'est considérablement améliorée depuis la démocratisation des outils numériques. Il est loin le temps où naviguer sur Internet sans utiliser un logiciel antivirus dédié était une pratique peu recommandable. Depuis de nombreuses années, l'outil de protection Windows Defender, intégré par défaut au système d'exploitation de Microsoft, constitue un rempart tout à fait solide et suffisant contre la plupart des menaces qui peuvent guetter nos ordinateurs. Le programme antivirus de Microsoft tourne en permanence en tâche de fond, afin de détecter tout programme suspect et potentiellement malveillant, pour en empêcher l'exécution avant que l'ordinateur ne soit compromis.
En matière de sécurité cependant, certaines failles se cachent dans les détails les plus anodins. Un chercheur en sécurité informatique du nom de John Page, alias @hyp3rlinx sur X (ex-Twitter), avait révélé en 2022 qu'il était possible de berner la surveillance de l'outil de protection Windows Defender en insérant des points et des virgules dans des lignes de commande visant à exécuter des programmes malveillants. Depuis, Microsoft a apporté des correctifs à son logiciel antivirus afin d'empêcher l'exploitation de cette faille, mais n'a visiblement pas poussé la réflexion suffisamment loin. Dans un tweet publié le 8 février 2024, le même Hyp3rlinx a en effet montré qu'il était toujours possible d'exécuter une commande lançant un programme Javascript, qui devrait normalement être détecté comme dangereux et donc bloqué par Windows Defender, en ajoutant simplement… une deuxième virgule dans la commande !
Windows Defender Trojan.Win32/Powessere.G / Mitigation Bypass Part 2
— Hyp3rlinx (@hyp3rlinx) February 8, 2024
C:\sec>rundll32.exe javascript:"\..\..\mshtml,RunHTMLApplication ";alert(666)
Access is denied.
C:\sec>rundll32.exe javascript:"\..\..\mshtml,,RunHTMLApplication ";alert(666)
Multi-commas, for the Win! pic.twitter.com/MO8FlmL1Yg
Qu'on se rassure toutefois, le danger réel de cette faille est plus limité qu'il n'y paraît. Afin d'exploiter cette vulnérabilité, un attaquant potentiel doit disposer d'un accès assez large à la machine visée, ce qui suppose d'avoir déjà franchi beaucoup d'autres barrières de sécurité. Les conditions à réunir pour mettre en oeuvre ce contournement de Windows Defender sont donc nombreuses et il est peu probable de voir cette technique employée à grande échelle pour compromettre les ordinateurs domestiques de monsieur et madame tout le monde. Mais cette découverte est intéressante sur le plan ludique, car elle montre à quel point les mécanismes de protection même les plus sophistiqués peuvent se révéler vulnérables à des attaques en apparence triviales. Elle rappelle également qu'en matière de sécurité informatique, la recherche décentralisée par de multiples acteurs, ingénieux et malins, reste la méthode la plus efficace pour identifier des failles de sécurité, et que dissimuler le code source des logiciels n'empêche aucunement la découverte et l'exploitation de vulnérabilités. Une preuve supplémentaire des vertus de l'open source, tant pour les développeurs que pour les utilisateurs.