Salut,
C'est à peu près ce que je me suis dit (je l'ai activée), mais plus le temps passe puis je la trouve archaïque et ce soir même complètement nulle suite à un test inspiré par cette remarque.
En effet, cette protection est une liste blanche qui semble reproduire une partie des pires erreurs des années 90.
- Elle ne prend en compte que les exécutables. Résultat, si on a un .jar ou python, etc., il faut autoriser l'interpréteur carrément. Donc, sur un PC de dév ou qui utilise java, n'importe quel script est autorisé. Je n'ose pas tester si un script lancé par word (les produits microsoft sont autorisés par défaut) serait limité.
- Elle ne vérifie pas les checksums !!! Je viens de vérifier ce soir (cf infra).
- Chez moi elle a finit par buguer : parfois, quand je lance un programme, celui-ci plante car il n'arrive pas à écrire (et le concepteur n'a pas prévu le cas...). Il suffit d'ajouter celui-ci à la liste blanche... Sauf, que le log est planté chez moi, et que les programmes bloqués sont bloqués sans trace... Résultat, s'il n'y a qu'un exe ça va, mais si le programme en a 26 voire en appelle un externe à un moment, je n'ai comme seule solution que de tout couper. Pratique déjà.
Pas étonnant que ce soit désactivé par défaut partout !
--- POC ---
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
| #include <stdio.h>
#include <stdlib.h>
int main() {
FILE *fichier = fopen("salut.txt", "w");
if ( !fichier) {
fprintf(stderr, "ouverture echec!\n");
return EXIT_FAILURE;
}
else {
printf( "ouverture OK!\n");
}
fprintf(fichier,"%s","salut le monde ! \n");
fclose(fichier);
return EXIT_SUCCESS;
} |
Voilà, je compile en exe dans mes documents, ça doit écrire dans le répertoire courant. Et en effet, windows defender bloque l'exe. J'autorise l'exe, puis je le remplace par un autre APRES l'avoir autorisé:
Je recompile en changeant le message "salut le monde" ! en "salut tout le monde !", et là, le programme arrive encore à écrire ! Donc, si un malware arrive à remplacer un exécutable (il suffit de trouver un exe autorisé dans un répertoire user et de l'écraser avec du code malin), il peut contourner la protection.
Aussi étrange, alors que je supprime l'autorisation, le programme peut encore écrire pendant plusieurs minutes... est-ce un délai peu sensé ou un bug exploitable ? (à une époque il y avait des exploit par substitution d'exe dans une race condiction où le malware était plus rapide que l'antivirus)
Bref, les protections de linux (non activées par défaut non plus...) me semblent plus sérieuses ! Microsoft a voulu faire quelque chose, mais des années après, leur produit est seulement une version alpha voire béta de ce qu'elle prétend faire.
Partager