Microsoft a corrigé une vulnérabilité d’élévation de privilèges vieille de 12 ans dans Windows Defender

[post-views]
février 18, 2021 · 4 min de lecture
Microsoft a corrigé une vulnérabilité d’élévation de privilèges vieille de 12 ans dans Windows Defender

En février 2021, Microsoft a corrigé un bug d’escalade de privilèges dans Microsoft Defender Antivirus (anciennement Windows Defender) qui pourrait permettre aux acteurs malveillants d’obtenir des droits d’administration sur l’hôte vulnérable et de désactiver les produits de sécurité préinstallés. Les experts de SentinelOne, qui ont révélé le problème, rapportent que la faille a été introduite en 2009 et est restée non divulguée pendant plus de 12 ans.

Description de la vulnérabilité de Windows Defender

Le problème (CVE-2021-24092) provient d’une mauvaise configuration liée au pilote BTR.sys, qui fonctionne pour supprimer les ressources du système de fichiers et du registre associées au logiciel malveillant sur la machine compromise. Étant donné que le pilote n’a pas de lien de vérification, les adversaires peuvent en produire un malveillant pour écraser des fichiers arbitraires. En conséquence, CVE-2021-24092 pourrait être exploité par un hacker local non privilégié dans divers types d’intrusions qui n’impliquent pas d’interaction utilisateur.

Les analystes de sécurité supposent que la vulnérabilité est restée non divulguée pendant des années car le pilote n’est généralement pas présent sur le disque dur mais activé uniquement en cas de besoin. Bien que la faille ait été introduite dans Windows Defender il y a longtemps, il n’y a aucune indication d’exploitation dans la nature. Néanmoins, les chercheurs pensent que les adversaires pourraient tenter de tirer parti de cette faille de sécurité contre les utilisateurs non corrigés après la divulgation publique.

CVE-2021-24092 : Détection et atténuation

SentinelOne a signalé la vulnérabilité au Microsoft Security Response Center en novembre 2020, et le fournisseur l’a corrigée avec la version du 9 février 2021. La dernière version du moteur Microsoft Malware Protection affectée par ce bug est la 1.1.17700.4. La première version où ce problème est corrigé est la 1.1.17800.5. Le correctif a été introduit avec la sortie de la version 1.1.17800.5 du moteur Microsoft Malware Protection, donc vous êtes protégé si vous avez cette version (ou une version ultérieure) installée.

Notamment, le correctif pour CVE-2021-24092 est installé automatiquement pour tous les hôtes prenant en charge les versions affectées de Windows Defender. Vérifiez si les mises à jour de Windows Defender sont activées pour procéder à la mise à niveau automatique. Sinon, vous pouvez appliquer les correctifs manuellement pour une atténuation immédiate.

Pour identifier l’activité malveillante associée à CVE-2021-24092, vous pouvez télécharger une règle Sigma dédiée depuis SOC Prime :

https://tdm.socprime.com/tdm/info/BHIyVCep9T3w/ikMPrHcBTwmKwLA9LQs8/

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR : Microsoft Defender ATP, Carbon Black, SentinelOne

MITRE ATT&CK :

Tactiques : Escalade de privilèges

Techniques : Exploitation pour l’escalade de privilèges (T1068)

À moins que vous n’ayez pas accès payant au Threat Detection Marketplace, cette règle Sigma peut être déverrouillée en activant votre essai gratuit sous un abonnement communautaire.

Restez à l’écoute de notre blog pour accéder aux détections les plus pertinentes face aux menaces émergentes. Des règles supplémentaires liées à CVE-2021-24092 seront ajoutées à cet article.

Inscrivez-vous au Threat Detection Marketplace, une plateforme de contenu en tant que service (CaaS) de premier plan mondial qui fournit algorithmes de détection, d’enrichissement, d’intégration et d’automatisation pour aider les performeurs de la sécurité tout en traduisant les big data, logs et télémétrie cloud en signaux de cybersécurité. Vous pouvez diffuser du contenu SOC sélectionné directement vers les outils SIEM, EDR, NSM et SOAR de votre choix, renforçant les capacités de détection des menaces. Vous voulez créer vos propres règles Sigma et soutenir la communauté mondiale de chasse aux menaces ? Rejoignez notre programme de récompenses pour les menaces !

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Blog, Plateforme SOC Prime — 3 min de lecture
Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Steven Edwards
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Blog, Dernières Menaces — 5 min de lecture
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Veronika Telychko