Une tactique d’exploitation reposant sur une faille zero-day de Windows Defender, l’antivirus par défaut de Microsoft, vient d’être mise en ligne sur Internet. La divulgation de la méthode découle d’un différend de taille entre un chercheur en cybersécurité et Microsoft. Elle concerne Windows 10, Windows 11 et Windows Server 2019.

Opérant sous le pseudonyme de Chaotic Eclipse, le chercheur a découvert une vulnérabilité dans le code de l’antivirus. La défaillance se situe dans le mécanisme de restauration de fichiers de Windows Defender. En effet, l’antivirus est censé supprimer les fichiers malveillants qu’il détecte. Avec un document piégé, spécialement conçu pour déclencher l’alarme de Defender, il est possible de piéger l’antivirus au moment précis où il tente de nettoyer un fichier. L’attaquant qui exploite la faille peut parvenir à exécuter du code malveillant sur l’ordinateur.

En passant par le MSRC (Microsoft Security Response Center), le canal officiel dédié aux vulnérabilités, le chercheur a prévenu