L’outil, intégré notamment à Windows Defender, est censé protéger l’internaute des vils malwares qui traînent sur le Net et dans les messageries. Paradoxe qui serait cocasse s’il n’était pas aussi inquiétant, Malware Protection Engine était lui-même affligé d’une méchante faille simple à exploiter.
Microsoft n’a pas attendu son habituelle mise à jour de sécurité du mardi pour pousser en urgence un correctif. Celui-ci vise à combler une vulnérabilité critique de Malware Protection Engine, un outil de Redmond dédié à la lutte contre les programmes malveillants. On le retrouve évidemment intégré à Windows Defender, mais aussi à Endpoint Protection, Forefront ou encore Exchange Server. Autant dire que CVE-2017-11937 est particulièrement grave.
Il suffit à un attaquant d’utiliser un « fichier spécialement conçu ». Malware Protection Engine procèdera à son analyse. C’est là que se trouve la faille : le scan ne s’effectuera pas correctement, ce qui entraînera une corruption de la mémoire. L’attaquant pourra alors exécuter du code à distance et prendre le contrôle de la machine infectée. Libre à lui d’espionner les activités de sa victime, d’installer d’autres programmes malveillants.
Zero-Day
A lire l’éditeur, exploiter cette faille est relativement simple. Et c’est le cas ! Malware Protection Engine fonctionne constamment en arrière-plan et analyse tout ce qui lui passe à portée de main. Microsoft expose plusieurs cas de figure : un simple site Web consulté, un message instantané, un mail, un serveur hébergeant du contenu produit par les utilisateurs. Dans chacune de ces situations, la seule analyse automatique du fichier ouvre la porte à une infection de la machine.
Néanmoins, la faille n’aurait jamais été exploitée, selon Redmond. Le correctif est disponible, mais devant la gravité de cette vulnérabilité, Microsoft a poussé automatiquement la nouvelle version du fichier mpengine.dll incriminé. En théorie, il est donc inutile d’effectuer soi-même la mise à jour mais, pour plus de prudence, mieux vaut vérifier que c’est bien la version 1.1.14405.2 de Malware Protection Engine qui tourne sur votre Windows.