Microsoft Defender sur Windows comporte une vulnérabilité permettant à une personne malveillante de connaitre les emplacements exclus de l'analyse et y implanter des logiciels malveillants.

Il est courant de procéder à des exclusions pour éviter que l'antivirus n'affecte le fonctionnement d'applications légitimes détectées par erreur comme des logiciels malveillants.

En connaissant la liste des exclusions de Microsoft Defender, un acteur de la menace qui a déjà compromis une machine Windows peut alors stocker et exécuter des logiciels malveillants à partir des dossiers exclus sans craindre d'être repéré.

Les chercheurs en sécurité ont découvert que la liste des emplacements exclus de l'analyse de Microsoft Defender n'est pas protégée et que tout utilisateur local peut y accéder.

Antonio Cocomazzi, un chercheur en sécurité de SentinelOn, souligne qu'il n'existe aucune protection pour ces informations, qui doivent être considérées comme sensibles, et que l'exécution de la commande "reg query" révèle tout ce que Microsoft Defender a pour instruction de ne pas analyser, qu'il s'agisse de fichiers, de dossiers, d'extensions ou de processus.

Un autre expert en sécurité, Nathan McNulty, a confirmé que le problème est présent sur les versions 21H1 et 21H2 de Windows 10, mais qu'il n'affecte pas Windows 11.

McNulty a également confirmé que l'on peut saisir la liste des exclusions dans l'arborescence du registre avec les entrées qui stockent les paramètres de la stratégie de groupe. Ces informations sont plus sensibles car elles fournissent des exclusions pour plusieurs ordinateurs.

Architecte de sécurité versé dans la protection de la pile Microsoft, McNulty prévient que Microsoft Defender sur un serveur a "des exclusions automatiques qui sont activées lorsque des rôles ou des fonctions spécifiques sont installés" et que celles-ci ne couvrent pas les emplacements personnalisés.

Bien qu'un acteur de la menace ait besoin d'un accès local pour obtenir la liste des exclusions de Microsoft Defender, c'est loin d'être un obstacle. De nombreux attaquants se trouvent déjà sur des réseaux d'entreprise compromis et cherchent un moyen de se déplacer latéralement aussi furtivement que possible.

Cette faiblesse de Microsoft Defender n'est pas nouvelle et a été mise en évidence publiquement dans le passé par Paul Bolton, un consultant principal en sécurité, qui affirme avoir remarqué ce problème il y a environ huit ans et avoir reconnu l'avantage qu'il procurait à un développeur de logiciels malveillants.

Étant donné que cela fait si longtemps et que Microsoft n'a toujours pas réglé le problème, les administrateurs réseau devraient consulter la documentation pour configurer correctement les exclusions de Microsoft Defender sur les serveurs et les machines locales via les stratégies de groupe.