Des pirates contournent l’antivirus Microsoft (Windows Defender).

Un chercheur en sécutité pointe du doigt une vulnérabilité de Microsoft Defender au niveau du stokage de certaines données de l’utilisateur. Il s’agit plus précisément du module d’exclusion de l’antivirus qui ne dispose pas d’une protection de vos données. En effet des données sensibles d’exclusion saisies ou sélectionnées par l’utilisateur sont directement accessibles via la Base de Registre ou la stratégie de groupe de Windows.

Pour ceux qui configurent Windows Defender sur des serveurs, il existe des exclusions automatiques spécifiques.

La faiblesse de la protection par Windows Defender des données d’exclusion, manuelles et automatiques, donne la possibilité à un pirate d’exécuter un logiciel malveillant sans aucun risque d’être détecté .

La faiblesse de Microsoft Defender permet aux pirates de contourner la détection des logiciels malveillants. Les acteurs de la menace peuvent tirer parti d’une faiblesse qui affecte l’antivirus Microsoft Defender sur Windows pour connaître les emplacements exclus de l’analyse et y installer des logiciels malveillants. Le problème persiste depuis au moins huit ans, selon certains utilisateurs, et affecte Windows 10 21H1 et Windows 10 21H2. (Bleeping Computer)

Selon Nathan McNulty, architecte de solutions de sécurité : « Il faut faire attention aux deux emplacements, car les exclusions de la politique vous donneront plus d’informations sur les mouvements latéraux. Il faut limiter les listes d’exclusion et envisager de désactiver la fusion des listes locales chaque fois que vous le pouvez (empêcher l’administrateur local de créer des exclusions). Enfin, pour ceux qui configurent Defender AV sur des serveurs, sachez qu’il existe des exclusions automatiques qui sont activées lorsque des rôles ou des fonctionnalités spécifiques sont installés. (Nathan McNulty)

Configurer les exclusions de l’antivirus Microsoft Defender sur Windows Server. Microsoft Defender Antivirus sur Windows Server 2016 et Windows Server 2019 vous inscrit automatiquement dans certaines exclusions, telles que définies par votre rôle de serveur spécifié. Ces exclusions n’apparaissent pas dans les listes d’exclusions standard affichées dans l’application Sécurité Windows. En plus des exclusions automatiques définies par le rôle du serveur, vous pouvez ajouter ou supprimer des exclusions personnalisées. (Microsoft)

Microsoft Defender, appelé officiellement Antivirus Microsoft Defender, est un composant antivirus de Microsoft Windows. Microsoft a d'abord offert le logiciel en téléchargement comme un programme anti-espion gratuit pour Windows XP. En janvier 2022, Microsoft Defender devient un antivirus multiplateforme avec la prise en charge des vulnérabilités des systèmes d'exploitation mobiles Android et iOS. En juin 2023, Microsoft améliore la protection anti-hameçonnage de Windows 11 avec de nouvelles fonctionnalités. En juillet 2023, La capacité d'analyse du micrologiciel de Defender pour IoT (Firmware Analysis) permet aux équipes de sécurité d'obtenir une visibilité plus approfondie sur les appareils IoT/OT en fournissant de meilleures informations sur le logiciel de base sur lequel ils sont construits.


La base de registre (BDR) est une base de données utilisée par le système d'exploitation Windows. Elle contient les données de configuration du système d'exploitation et des autres logiciels installés désirant s'en servir. En 2009, Microsoft utilise plutôt le terme Registre Windows pour parler de cette base de données. Généralement vous pouvez accéder au Registre via un utilitaire disposant d'une interface graphique. Dans le cas contraire, Windows met à à votre disposition l'utilitaire "Regedit". La Base de données du registre est souvent la cible d'attaques de pirates qui s'en servent pour connaître la configuration du système et la modifier si nécessaire. Pour preuve, l'architecte en sécurité Nathan McNulty, a démontré que des informations sensibles sont accessibles dans le registre et permettent de contourner le module d'exclusion de Windows Defender.


Windows Server est le nom de marque d'un groupe de systèmes d'exploitation serveur publié par Microsoft. Il comprend tous les systèmes d'exploitation Windows portant la marque «Windows Server», mais aucun autre produit Microsoft. Il permet de bénéficier d’une protection multicouche avancée contre les menaces grâce à un serveur à noyau sécurisé. Il exécute vos charges de travail critiques en toute confiance telles que SQL Server. Windows Admin Center gére les machines virtuelles de façon optimisée et accéde à un observateur d’événements amélioré.


Le hacking est initialement la bidouille et l’expérimentation, dont les motivations sont la passion, le jeu, le plaisir, l’échange et le partage. Il s'apparente en partie au piratage informatique. Dans ce cas, c'est une pratique visant à un échange « discret » d'informations illégales ou confidentielles. 


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.