Pour contourner la protection Anti-Ransomware de Microsoft, il suffit d'utiliser les outils de Microsoft
Alors ça c’est rigolo. Depuis la dernière Creators Update de Windows 10, Microsoft a eu la bonne idée d’ajouter une fonctionnalité Anti-Ransomware à son Windows Defender.
Pour rappel, Windows Defender est un outil de sécurité censé protéger votre ordinateur contre des virus et autres petites saloperies du genre. C’est donc une bonne idée d’y ajouter une sécurité qui utilise les droits d’accès en place sur les répertoires pour détecter si un programme tiers y accède et tente de chiffrer vos données.
Et d'ailleurs, cela fonctionne bien comme le montre Yago Jesus [sur son blog](http://www.securitybydefault.com/2018/01/microsoft-anti-ransomware-bypass-not.html) qui teste cette protection avec un petit code Python de son cru.file = open('C:/Users/YJ/Documents/test.docx','w') file.write('Random text.') file.close()
En lançant ce script, son Windows Defender se met tout de suite en route…
Seulement voilà, il y a une faille. En utilisant dans un autre script Python des fonctionnalités de chiffrement basé sur les objets OLE de Word (donc en gros, les outils natifs d’Office), et bien ça passe tranquillou la sécurité de Windows Defender.
import win32com.client filetoberansom = r'C:/Users/YJ/Documents/test.docx' word = win32com.client.Dispatch("Word.Application") word.visible = 0 doc = word.Documents.Open(filetoberansom) word.Documents.Item(1).Password= '12345678' word.Documents.Item(1).Save() word.Documents.Item(1).Close() word.Application.Quit()
C’est beau.
Un autre moyen proposé par Yago Jesus consiste simplement à copier les fichiers visés à un autre endroit du disque dur, là où les accès sur les répertoires ne sont pas surveillés, puis supprimer les fichiers d’origine, tout en chiffrant ceux copiés. Et là pareil, Windows Defender n’y verra que du feu.
Yago Jesus a donc contacté Microsoft qui apparemment, vu sa réponse, ne considère pas cela comme une faille de sécurité, mais qui devrait quand même améliorer la fonctionnalité anti-ransomware de Windows Defender dans une prochaine mise à jour.
On ne peut pas penser à tout !
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).