Samedi sécurité : la faille de Microsoft Defender
Hier matin beaucoup se sont réveillés avec la gueule de bois, ou plutôt le célèbre BSoD Écran Bleu de la Mort (sic) sur leurs PC.
La mise-à-jours poussée par la société CrowdStrike, littéralement "grève de foule", a provoqué le plantage d'innombrables PC Windows à travers le monde, entraînant l'équivalent d'une grève massive!
L'outil de sécurité et de défense est de lui-même devenu l'équivalent d'un rançongiciel lorsqu'on utilise BitLocker pour chiffrer le stockage interne et que l'on a pas de gestion de clés de déchiffrement!
Microsoft Defender a lui aussi eu une belle faille de sécurité, permettant de planter des PC à distance sur la simple connaissance d'une des adresses email utilisée depuis Outlook ou un autre client Windows!
La faille de Microsoft Defender
La faille de Microsoft Defender était classique, sans intérêt, et dans tout autre logiciel, ça serait terminé avec un message d'erreur, un log système, et on en parle plus.
Sauf que les antivirus ont des droits extrêmement élevés, et qui plus est peuvent avoir des drivers au niveau Kernel, entraînant alors le plantage de celui-ci et le bel écran bleu de la mort qui tue...
Pour couronner le tout, Microsoft Defender lit chaque email reçu par les clients Windows (non les interfaces Web comme GMail), les mets dans une file d'attente, et les libère de cette pile après analyse. Analyse qui ne se terminait pas puisque le crash arrivait à cette étape.
Microsoft Defender est comme de bien entendu lancé au démarrage de Windows, et se met immédiatement au travail, en reprenant où il en était.
L'attaque
Sur la réception par un client Windows d'un email contenant une pièce-jointe exploitant la faille de Microsoft Defender, le PC plante immédiatement.
Il faut donc le redémarrer.
Mais dès le redémarrage de Windows, Microsoft Defender est aussi relancé et commence immédiatement à analyser le dernier fichier dont l'analyse n'avait pas été complétée (et éliminé de la pile): la pièce jointe qui avait déclenché le plantage!
Les mêmes causes amenant les mêmes effets, Microsoft Defender plante alors joyeusement le Kernel et donc le PC.
Et ainsi de suite...
Pour conclure
Le problème de CrowdStrike n'est pas unique, ni nouveau, je pense que quasiment tous les antivirus présent depuis quelques décennies ont eu leur crash!
Même Microsoft n'a pu empêcher cela avec le sien, et avec des conséquences proches de celles de celui de CrowdStrike, sauf que pour ce dernier il n'y a pas eu besoin d'attaque...
La sauvegarde ou plutôt les sauvegardes sont les meilleures préventions.
PS: les forums ont encore une fois dérapé donc acte.