Microsoft Defender a bien corrigé la faille RoguePlanet, mais un chercheur a découvert dans la nouvelle version du moteur un autre comportement inquiétant, capable de remplir presque entièrement le disque d’un PC.

Alors que Microsoft vient tout juste de corriger RoguePlanet, la faille de Defender qui permettait à un attaquant d’obtenir les privilèges SYSTEM sur Windows, Nightmare-Eclipse revient déjà à la charge. À l’origine de sa divulgation, le chercheur mène depuis plusieurs mois un bras de fer public avec Microsoft et publie désormais ses découvertes sans attendre les correctifs, pour dénoncer la lenteur du groupe à traiter ses signalements. En analysant la nouvelle version du moteur de Defender, il affirme cette fois avoir trouvé un moyen d'épuiser tout l’espace disponible sur le disque.
Un cache sans limite capable de saturer le stockage
En décortiquant la version corrigée du moteur de Defender, Nightmare-Eclipse a ainsi découvert que l’antivirus n’appliquait pas ses limites habituelles aux données Zone.Identifier. Si vous ne le saviez pas, Windows associe ce petit flux invisible aux fichiers provenant d’Internet pour conserver une trace de leur origine et afficher, si nécessaire, un avertissement de sécurité à leur ouverture.
Pour les analyser, Defender en stocke temporairement une copie sur le disque. Le moteur impose normalement une taille maximale aux fichiers qu’il met ainsi en cache ou en quarantaine, afin d’éviter qu’ils n’occupent trop d’espace. Mais cette limite ne s’appliquerait pas aux données Zone.Identifier, qu’un attaquant pourrait artificiellement gonfler.
Pour le démontrer, le chercheur explique avoir placé sur un serveur SMB malveillant un fichier auquel il avait associé un flux Zone.Identifier démesuré. Pendant sa transmission, le serveur cesse volontairement de répondre à l’une des demandes de lecture de Defender, sans pour autant fermer la connexion. L’antivirus reste alors bloqué sur l’opération et ne libère pas les données qu’il a déjà mises en cache, lesquelles finissent par saturer le disque dur ou le SSD.

Un nouveau bug, mais un correctif toujours indispensable
Une telle attaque pourrait naturellement rendre Windows instable, empêcher certaines applications ou mises à jour de fonctionner et provoquer des plantages. Microsoft n’a pas encore commenté publiquement ce nouveau problème, et l’on ne sait pas non plus s’il a été introduit par le correctif ou s’il existait déjà dans le moteur de Defender.
Pour rappel, la mise à jour analysée par Nightmare-Eclipse avait été déployée pour corriger RoguePlanet, une vulnérabilité critique qui détournait les opérations de quarantaine de Defender pour permettre à un utilisateur disposant de droits limités d’exécuter du code avec les privilèges SYSTEM. Le chercheur l’avait rendue publique en juin, sur fond de règlement de comptes avec Microsoft.
RoguePlanet s’inscrivait dans une série de failles divulguées sans attendre leurs correctifs, parmi lesquelles BlueHammer, RedSun, UnDefend, YellowKey et GreenPlasma. Microsoft a depuis publié des mises à jour pour les principales vulnérabilités concernées, dont RoguePlanet, corrigée dans la version 1.1.26060.3008 du moteur de Defender.
Malgré le nouveau problème signalé, il ne faut donc surtout pas bloquer ni désinstaller cette mise à jour. La saturation du disque repose pour l’instant sur une démonstration très encadrée, tandis que RoguePlanet permettait réellement à un attaquant déjà présent sur la machine d’obtenir le niveau d’accès le plus élevé de Windows.
- Moteur de détection de dernière génération efficace et discret
- Intégration dans Windows 10 et Windows 11
- Pare-feu