Un outil capable de désactiver Microsoft Defender vient de voir le jour. Ce programme détourne une fonction prévue par Microsoft pour se faire passer pour un antivirus certifié aux yeux de Windows. Avec cette tactique, il peut berner l’antivirus par défaut du système d’exploitation… ouvrant la porte à tous les abus.
Un chercheur a mis au point un outil capable de désactiver Microsoft Defender, l’antivirus par défaut des ordinateurs sous Windows. Baptisé Defendnot par son créateur, l’outil exploite l’API du Windows Security Center (WSC) pour couper l’antivirus sans alerter les mécanismes de sécurité de l’ordinateur. Cette interface de programmation fournie par Microsoft permet aux logiciels de sécurité, comme les antivirus, de déclarer leur statut au système d’exploitation.
Ils obtiennent ainsi le droit de désactiver Microsoft Defender. Quand un antivirus tiers est installé et reconnu par Windows, Microsoft Defender se désactive en fait tout seul. Le système d’exploitation est programmé afin d’éviter que plusieurs antivirus fonctionnent en simultané. Ce scénario pourrait ralentir les performances de l’ordinateur ou créer des conflits entre les antivirus. Par exemple, l’antivirus pourrait bloquer les mêmes fichiers que Defender.
À lire aussi : Pourquoi Microsoft Defender est un cauchemar pour votre PC
Comment Defendnot berne les protections de Windows
Comme l’explique le créateur de Defendnot, es3n1n, l’outil est capable d’utiliser l’API de Microsoft pour faire croire à Windows qu’un faux antivirus est un vrai. Il passe d’ailleurs tous les contrôles de validation mis en place par l’éditeur. Conscient des risques, Microsoft a en effet développé une série de protections autour de l’API Security Center. La firme a notamment mis en place un système de protection qui empêche les programmes non autorisés de modifier ou d’espionner les processus sensibles, et un dispositif de signatures numériques. Celles-ci doivent s’assurer que seuls des programmes de confiance, c’est-à-dire certifiés par Microsoft, peuvent s’enregistrer correctement.
Toutes ces protections ont été contournées et bernées par Defendnot. Pour arriver à ses fins, il insère son code dans Taskmgr.exe, le gestionnaire des tâches de Windows. L’astuce consiste à se servir de ce programme officiel pour faire croire à Windows qu’il est un vrai antivirus, mais en utilisant un faux nom. Defendnot permet à l’utilisateur de choisir le nom d’antivirus qu’il veut afficher dans Windows, et de désactiver l’enregistrement dans le centre de sécurité pour passer inaperçu. Enfin, le programme s’ajoute dans le planificateur de tâches de Windows pour rester actif même après un redémarrage de l’ordinateur.
À lire aussi : une faille de sécurité « critique » a été découverte dans Microsoft Defender
Une erreur de conception au sein de Windows
Il s’agit uniquement d’un projet de recherche. La création de l’outil montre néanmoins comment il est possible de manipuler Windows pour lever les sécurités de Microsoft Defender. Il faut s’attendre à ce que ce bug de conception finisse par être exploité par les cybercriminels. C’est le fonctionnement de Windows qui est à l’origine de la défaillance. Microsoft ne devrait pas pouvoir corriger le tir avec un simple patch.
Notez que Microsoft Defender est désormais capable de détecter et de mettre en quarantaine Defendnot avant que celui-ci ne se mette à se faire passer pour un antivirus.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
es3n1n