Des exploits Windows Defender publiés sont désormais utilisés dans des attaques

Un ensemble de failles de sécurité Windows publié en ligne par un chercheur au début du mois a déjà été utilisé dans au moins une intrusion réelle, selon la société de cybersécurité Huntress. Cette évolution transforme ce qui relevait d’une divulgation publique de vulnérabilité en un risque opérationnel concret pour les organisations qui s’appuient sur Microsoft Defender et n’ont pas encore appliqué les correctifs disponibles ni les mesures compensatoires.

Huntress a indiqué que des attaquants exploitent trois vulnérabilités connues sous les noms de BlueHammer, UnDefend et RedSun. Parmi elles, seule BlueHammer a pour l’instant été corrigée par Microsoft, l’entreprise ayant déployé un correctif plus tôt cette semaine. Les autres problèmes, tels qu’ils sont décrits dans le texte source fourni, laissent encore planer une incertitude quant au niveau d’exposition de certaines organisations si elles dépendent des protections Defender par défaut ou non modifiées.

L’incident souligne aussi une tension ancienne en sécurité informatique : la divulgation publique peut pousser les éditeurs à réagir plus vite, mais la publication d’un code d’exploitation détaillé avant un déploiement large des correctifs peut immédiatement abaisser la barrière d’entrée pour des acteurs malveillants. Dans ce cas, TechCrunch a rapporté que l’activité d’exploitation semble utiliser du code publié par un chercheur opérant sous le nom de Chaotic Eclipse.

Comment les failles sont entrées dans le domaine public

Selon le texte source, Chaotic Eclipse a d’abord publié du code qu’il disait capable d’exploiter une vulnérabilité Windows non corrigée, tout en exprimant sa frustration face à la gestion du problème par Microsoft. Quelques jours plus tard, le chercheur a publié d’autres éléments d’exploitation pour UnDefend et RedSun, dont du code hébergé sur GitHub. Les trois vulnérabilités affectent Microsoft Defender et peuvent permettre à un attaquant d’obtenir des privilèges élevés, au niveau administrateur, sur un système Windows ciblé.

Cette chronologie importe parce que la publication d’exploits modifie rapidement l’environnement de menace. Une fois qu’un code fonctionnel est public, les attaquants n’ont plus besoin de découvrir eux-mêmes la faille ni de développer leurs propres outils à partir de zéro. Ils peuvent adapter le matériel publié, l’automatiser et le tester rapidement sur des systèmes exposés.

Le texte source n’identifie pas l’organisation victime, ni l’acteur malveillant responsable. Mais l’absence d’attribution ne réduit pas l’importance de l’affaire. En pratique, les défenseurs disposent désormais de preuves confirmées que des attaquants opportunistes ou ciblés agissent sur la base de ces divulgations.

Photo illustration of Dario Amodei of Anthropic.
More in News

Anthropic dépose confidentiellement pour lancer le processus d’introduction en bourse

Anthropic indique avoir soumis une ébauche de déclaration d’enregistrement à la Securities and Exchange Commission des États-Unis, lançant ainsi le processus vers une cotation publique.

Read article

Pourquoi les failles liées à Defender sont particulièrement sensibles

Les produits de sécurité occupent une place privilégiée dans les systèmes d’entreprise. Les outils antivirus et de protection des terminaux disposent souvent d’une visibilité profonde sur les fichiers, la mémoire, les processus et le comportement du système d’exploitation. Cet accès leur permet de détecter et de bloquer les menaces, mais il signifie aussi que les faiblesses de la couche de sécurité peuvent devenir exceptionnellement précieuses pour les attaquants.

Si une faille dans Defender peut servir à obtenir un accès de haut niveau, à désactiver des protections ou à aider un malware à persister sur un système, l’attaquant ne contourne pas seulement une mesure de sécurité. Il peut saper le logiciel dont de nombreuses organisations dépendent comme mécanisme défensif central. Cela crée un risque aval disproportionné, surtout dans des environnements où Defender est largement déployé et considéré comme une confiance centrale.

Le texte source indique que les trois failles affectent Defender et peuvent permettre une élévation de privilèges. Même sans autre détail technique, cela suffit à expliquer pourquoi un code d’exploitation public attirerait immédiatement l’attention des équipes de sécurité comme des attaquants.

La position de Microsoft et le débat sur la divulgation

Microsoft a indiqué à TechCrunch qu’elle soutient la divulgation coordonnée des vulnérabilités, pratique du secteur dans laquelle les chercheurs signalent les problèmes en privé et laissent le temps à l’investigation et à la remédiation avant de publier les détails techniques. Ce modèle vise à réduire le risque que les défenseurs soient pris au dépourvu.

Cet épisode montre le revers de la médaille lorsque ce processus se brise. La pression publique peut mettre au jour des tensions non résolues entre chercheurs et éditeurs, mais les organisations prises au milieu en héritent le risque. Une fois les détails de l’exploit disponibles, la fenêtre de correction sûre se réduit brutalement.

Dans le même temps, le texte source montre que Microsoft a déjà corrigé BlueHammer, ce qui suggère qu’au moins une partie de la chaîne de réponse est active. La préoccupation la plus immédiate concerne l’état des autres problèmes divulgués et la question de savoir si les organisations disposent d’orientations claires d’atténuation en attendant des correctifs plus larges.

I put my smart TV setup behind a router-based VPN and never looked back - here's why
More in News

L’usage d’un VPN sur les Smart TV devient un enjeu de sécurité du réseau domestique

Un VPN basé sur le routeur pour les Smart TV est présenté non seulement comme un moyen d’accéder au streaming, mais aussi comme une façon de réduire l’exposition des données sur l’ensemble des appareils connectés du foyer.

Read article

Ce que cela signifie maintenant pour les organisations

Le principal enseignement à court terme est qu’il ne s’agit plus de bugs théoriques. Au moins une organisation a déjà été compromise à l’aide des vulnérabilités publiées. La priorité passe donc du suivi de l’actualité à la gestion active d’une exposition en cours.

Les équipes de sécurité utilisant Microsoft Defender devraient vérifier si les correctifs BlueHammer ont bien été appliqués, consulter les avis Microsoft pour obtenir les dernières recommandations et examiner les systèmes à la recherche de signes d’élévation de privilèges inhabituelle ou de manipulation de Defender. Comme du code d’exploitation public est en cause, les organisations doivent aussi supposer que des activités de reproduction sont probables.

Il y a également une leçon plus large pour les dirigeants de la sécurité d’entreprise. La solidité défensive ne se mesure pas seulement aux outils installés. Elle dépend aussi de la rapidité avec laquelle les éditeurs corrigent, de la vitesse à laquelle les organisations déploient les mises à jour, et de la capacité des équipes à détecter les abus lorsque le logiciel de sécurité lui-même devient une partie du chemin d’attaque.

L’histoire immédiate concerne trois failles Windows et une intrusion confirmée. L’histoire plus large porte sur la vitesse à laquelle une capacité offensive passe désormais d’un billet de chercheur à un usage opérationnel. Dans cet environnement, la latence des correctifs, la visibilité sur le comportement des terminaux et une réponse aux incidents disciplinée comptent plus que jamais.

Cet article est basé sur le reportage de TechCrunch. Lire l’article original.

Originally published on techcrunch.com