La vulnérabilité Zero-Day baptisée RoguePlanet cible les systèmes Windows en exploitant des mécanismes liés à Windows Defender. Elle permet à des attaquants de contourner certaines protections de sécurité et d’obtenir un accès non autorisé aux systèmes affectés.

Qu’est-ce qu’une vulnérabilité Zero-Day ?

Une vulnérabilité Zero-Day est une faille de sécurité inconnue du fabricant au moment de sa découverte ou de son exploitation, ne disposant d’aucun correctif disponible. Le terme « Zero-Day » fait référence au nombre de jours dont dispose l’éditeur pour corriger la faille avant qu’elle soit exploitée : zéro. Ces vulnérabilités sont particulièrement dangereuses car elles peuvent être exploitées librement pendant toute la période séparant leur découverte de la publication d’un correctif. Cette fenêtre peut durer des jours, des semaines, voire des mois.

La vulnérabilité RoguePlanet est une faille d’élévation de privilèges locale affectant Microsoft Defender. Elle exploite une condition de concurrence (race condition) dans le traitement de certains fichiers par Defender. Un attaquant disposant déjà d’un accès local sur un système Windows peut manipuler ce mécanisme afin d’exécuter du code avec les privilèges SYSTEM, le niveau d’autorisation le plus élevé du système d’exploitation. Une fois exploitée, cette faille peut permettre la prise de contrôle complète de la machine, l’installation de logiciels malveillants, la désactivation de protections de sécurité, l’accès à des données sensibles ou encore le déploiement de ransomwares. Bien qu’elle ne permette pas une intrusion à distance à elle seule, RoguePlanet représente une menace importante car elle peut être utilisée après une compromission initiale pour obtenir un contrôle total du système.

Impact et périmètre affecté

RoguePlanet exploite une faiblesse dans le mécanisme de Windows Defender, l’antivirus intégré à Windows. L’ironie de cette vulnérabilité est qu’elle détourne un outil de protection pour en faire un vecteur d’attaque. Windows Defender opérant avec des privilèges élevés sur l’ensemble du parc Windows mondial, l’exposition potentielle est considérable. Microsoft a été notifié et travaille sur un correctif en urgence. En attendant sa disponibilité, des mesures de mitigation temporaires doivent être appliquées, notamment le déploiement de solutions EDR complémentaires ne reposant pas uniquement sur Windows Defender.

Recommandations clés

  • Surveiller le bulletin de sécurité Microsoft et appliquer le correctif dès sa disponibilité via Windows Update
  • Déployer des solutions EDR complémentaires (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint)
  • Appliquer le principe du moindre privilège pour limiter l’impact en cas d’exploitation
  • Surveiller les indicateurs de compromission (IoC) publiés par les équipes de threat intelligence I
  • soler temporairement les systèmes les plus critiques si le correctif ne peut être appliqué immédiatement A
  • ctiver Windows Update en mode automatique pour bénéficier des patches dès leur publication

Articles Similaires