Une mise à jour récente de Microsoft Defender, l’antivirus gratuit distribué par Microsoft avec l’OS Windows 10, présente des failles inquiétantes. La dernière version permet de télécharger des fichiers infectés par des virus. Ce problème a été découvert par le chercheur en cybersécurité Mohammad Askar qui révèle que même activé, Microsoft Defender permet le téléchargement de toutes sortes de fichiers, y compris des fichiers infectés.
Deux versions de Windows Microsoft Defender concernées
Askar a trouvé cette anomalie dans les versions 4.18.2007.9 et 4.18.2009.9 de Windows Defender et a essayé d’utiliser la nouvelle fonction de l’antivirus pour télécharger un fichier malveillant sur son ordinateur. D’après son expérience, Defender a finalement permis de télécharger le fichier infecté. La seule chose rassurante est que Windows Defender détecte tout de même le virus et le bloque la première fois qu’il est scanné. Mais l’antivirus de Microsoft permet curieusement de télécharger le fichier malgré l’avertissement.
Microsoft Defender contient l’outil MpCmdRun.exe, qui est utilisé pour exécuter l’antivirus en ligne de commande. La nouveauté introduite dans les deux versions concernées est la commande « -DownloadFile« , qui n’existait pas auparavant, et qui peut être utilisée pour télécharger un fichier spécifique, à partir d’une adresse Web spécifique vers un dossier spécifique de votre ordinateur.
Cette fonctionnalité est une aubaine pour les pirates informatiques, car Defender est préinstallé avec le système d’exploitation Windows 10 et ne peut être supprimé, de sorte qu’il est présent sur une majorité de PC. Techniquement, l’antivirus de Microsoft peut être utilisé par des scripts comme LOLBIN, c’est-à-dire « Living off the Land binaries« . Ce terme désigne les fichiers système qui sont absolument légitimes et officiels, mais qui peuvent être exploités par des pirates informatiques à des fins dangereuses.
Windows Defender est-il risqué ?
À ce stade, la question est de savoir dans quelle mesure Microsoft Defender peut être dangereux. Il est important de même préciser que les fichiers infectés téléchargés par le chercheur en sécurité ont été découverts par Defender lors du scan et qu’il faut tout même insister pour installer le fichier vérolé sur l’ordinateur.
Donc à première vue, le risque est minime si vous tenez compte de l’avertissement de Defender et ne téléchargez par les fichiers détectés comme malveillants.
