Un anti-virus qui sert de vecteur à la propagation de virus, ça fait désordre. C'était pourtant le cas de Windows Defender dont une faille dans MsMpEng, son moteur d'analyse, permettait l'exécution de code à distance. Microsoft a rapidement corrigé cette faille, mais MsMpEng en comportait une deuxième.

Cette seconde faille, comme la première, a été découverte par le chercheur en sécurité Davis Ormandy. Il explique : MsMpEng comporte un émulateur système x86 complet qui est utilisé pour exécuter tout fichier suspect qui se présente comme fichier PE, c'est à dire un fichier exécutable. Cette émulateur tourne en tant que AUTHORITY\SYSTEM et n'est pas confiné dans un bac à sable.

En passant en revue la liste des API Win32 que cette émulateur supporte, j'ai remarqué la fonction NtControlChannel de la librairie ntdll, qui est une fonction de contrôle d'entrée/sortie qui permet au code émulé de contrôler l'émulateur.

Ces contrôles d'entrée/sortie permettent pas mal de hacks, toujours selon Davis Ormandy. Par exemple travailler avec des expressions régulières mal formées, susceptibles de provoquer des plantages, charger du code qui remplacera le code normalement exécuté, rediriger le flux d'exécution, accéder à des metadonnées de volumes UFS (ce qui peut poser un problème de confidentialité), etc.

Dans un billet, Davis Ormandy dont un petit exemple de code en C, très simple, montrant comme exploiter cette vulnérabilité qu'il juge critique, ainsi que des exemples exploitant les possibilités d'attaques énumérées ci-dessus.

Microsoft, qui a été prévenue discrètement de l'existence de cette vulnérabilité, et l'a corrigée, non moins confidentiellement, c'est-à-dire sans faire de communication officielle. 

Le correctif est poussé via Windows Update,. Tous les utilisateurs qui ont désactivé les mises à jour automatiques sur leurs Windows ont tout intérêt à appliquer d'urgence les correctifs en attente. Car maintenant que cette faille est publique et que des exploits existent, il est probable que les cybercriminels s'en donnent à coeur joie pour attaquer les machines non à jour. Espérons que la mésaventure WannaCry aura servi de leçon.