Antivirus de Schrödinger : la protection est-elle morte ou vivante ?

De nombreuses entreprises appliquent aujourd’hui une politique Prenez vos appareils personnels (BYOD, ou « Bring Your Own Device »), permettant aux employés d’utiliser leurs propres appareils à des fins professionnelles. Cette pratique est particulièrement répandue dans les organisations qui adoptent le travail à distance. Le BYOD présente de nombreux avantages évidents, mais sa mise en œuvre crée de nouveaux risques pour les entreprises sur le plan de la cybersécurité.

Pour protéger les systèmes contre les menaces, les services de sécurité de l’information exigent souvent qu’un logiciel de sécurité soit installé sur tous les appareils utilisés à des fins professionnelles. Parallèlement, certains employés, en particulier les techniciens les plus chevronnés, peuvent considérer les logiciels antivirus davantage comme une entrave que comme une aide.

Ce n’est pas l’attitude la plus raisonnable, mais il est difficile de les convaincre du contraire. Le principal problème est que les employés qui croient savoir mieux que les autres peuvent trouver un moyen de déjouer le système. Aujourd’hui, nous étudions l’une de ces méthodes : un nouvel outil de recherche connu sous le nom de Defendnot, qui désactive Microsoft Defender sur les appareils Windows en enregistrant de faux logiciels antivirus.

Comment no-defender a pavé la voie avec un faux antivirus pour désactiver Microsoft Defender

Pour comprendre exactement comment Defendnot désactive Microsoft Defender, il faut remonter un an en arrière. À l’époque, un chercheur utilisant le pseudonyme X es3n1n a créé et publié la première version de l’outil sur GitHub. Appelé no-defender, il était destiné à désactiver l’antivirus intégré Windows Defender.

Pour ce faire, es3n1n a exploité une vulnérabilité dans l’API du Centre de sécurité Windows (WSC). Grâce à elle, le logiciel antivirus informe le système qu’il est installé et prêt à commencer à protéger l’appareil en temps réel. À la réception d’un tel message, Windows désactive automatiquement Microsoft Defender afin d’éviter les conflits entre différentes solutions de sécurité fonctionnant sur le même appareil.

En utilisant le code d’une solution de sécurité existante, le chercheur a créé son propre faux antivirus qui s’est enregistré dans le système et a passé toutes les vérifications de Windows. Une fois Microsoft Defender désactivé, l’appareil est laissé sans protection, puisque no-defender n’offre aucune protection.

Le projet no-defender a rapidement suscité un engouement sur GitHub, cumulant plus de deux mille étoiles. Cependant, la société de développement d’antivirus dont le code a été réutilisé a déposé une plainte pour violation du Digital Millennium Copyright Act (DMCA). L’utilisateur es3n1n a donc été contraint de retirer le code du projet de GitHub, ne laissant qu’une page de description.

Comment Defendnot a succédé à no-defender

Mais l’histoire ne s’arrête pas là. Près d’un an plus tard, le programmeur néo-zélandais MrBruh a incité es3n1n à développer une version de no-defender qui ne reposait pas sur du code tiers. Poussé par le défi et le manque de sommeil, es3n1n a écrit un nouvel outil en quatre jours, qui a été baptisé Defendnot.

Au cœur de Defendnot se trouvait un fichier DLL factice se faisant passer pour un antivirus légitime. Pour contourner tous les contrôles de l’API WSC, y compris Protected Process Light (PPL), les signatures numériques et d’autres mécanismes, Defendnot injecte son fichier DLL dans Taskmgr.exe, qui est signé et déjà considéré comme fiable par Microsoft. L’outil enregistre alors le faux antivirus, ce qui entraîne la désactivation immédiate de Microsoft Defender et laisse l’appareil sans protection active.

En outre, Defendnot permet à l’utilisateur d’attribuer n’importe quel nom à l’ « antivirus ». Comme son prédécesseur, ce projet a rencontré un franc succès sur GitHub, avec 2 100 étoiles au moment de la rédaction. Pour installer Defendnot, l’utilisateur doit disposer de droits d’administrateur (ce que les employés ont très probablement sur leurs appareils personnels).

Comment protéger l’infrastructure de l’entreprise contre l’utilisation abusive du BYOD ?

Defendnot et no-defender se présentent comme des projets de recherche, les deux outils démontrant comment les mécanismes des systèmes de confiance peuvent être manipulés pour désactiver les fonctions de protection. La conclusion est évidente : on ne peut pas toujours se fier à ce que dit Windows.

C’est pourquoi, afin de ne pas mettre en péril l’infrastructure numérique de votre entreprise, nous vous recommandons de renforcer sa politique BYOD par un certain nombre de mesures de sécurité supplémentaires :

• Si possible, imposez aux employés utilisant leurs propres appareils d’installer une protection fiable administrée par l’équipe de sécurité informatique de l’entreprise.
• Si cela n’est pas possible, ne considérez pas les appareils BYOD comme fiables uniquement parce qu’un antivirus y est installé, et limitez leur accès aux systèmes de l’entreprise.
• Contrôlez strictement les autorisations d’accès pour vous assurer qu’elles correspondent aux responsabilités professionnelles des employés.
• Portez une attention particulière à l’activité des appareils BYOD dans les systèmes de l’entreprise et déployez une solution XDR pour surveiller les anomalies comportementales.
• Formez vos employés aux principes de base de la cybersécurité afin qu’ils comprennent le fonctionnement des logiciels antivirus et qu’ils comprennent pourquoi ils ne doivent pas essayer de les désactiver. Pour vous aider, notre plateforme Kaspersky Automated Security Awareness Platform vous offre tout ce dont vous avez besoin et bien plus encore.