Getty Images
Pendant près de deux ans, les responsables de Microsoft ont bâclé une défense clé de Windows, une défaillance inexpliquée qui a laissé les clients ouverts à une technique d’infection par un logiciel malveillant particulièrement efficace ces derniers mois.
Les responsables de Microsoft ont fermement affirmé que Windows Update ajouterait automatiquement de nouveaux pilotes logiciels à une liste de blocage conçue pour contrecarrer une astuce bien connue dans le manuel d’infection par les logiciels malveillants. La technique des logiciels malveillants, connue sous le nom de BYOVD, abréviation de “apportez votre propre pilote vulnérable”, permet à un attaquant disposant d’un contrôle administratif de contourner facilement les protections du noyau Windows. Plutôt que d’écrire un exploit à partir de zéro, l’attaquant installe simplement l’un des dizaines de pilotes tiers présentant des vulnérabilités connues. Ensuite, l’attaquant exploite ces vulnérabilités pour obtenir un accès instantané à certaines des régions les plus fortifiées de Windows.
Il s’avère cependant que Windows ne téléchargeait pas et n’appliquait pas correctement les mises à jour de la liste de blocage des pilotes, laissant les utilisateurs vulnérables aux nouvelles attaques BYOVD.
Alors que les attaques se multiplient, les contre-mesures de Microsoft languissent
Les pilotes permettent généralement aux ordinateurs de fonctionner avec des imprimantes, des appareils photo ou d’autres périphériques, ou de faire d’autres choses telles que fournir des analyses sur le fonctionnement du matériel informatique. Pour que de nombreux pilotes fonctionnent, ils ont besoin d’un pipeline direct dans le noyau, le cœur d’un système d’exploitation où réside le code le plus sensible. Pour cette raison, Microsoft renforce fortement le noyau et exige que tous les pilotes soient signés numériquement avec un certificat qui vérifie qu’ils ont été inspectés et proviennent d’une source fiable.
Même dans ce cas, cependant, les pilotes légitimes contiennent parfois des vulnérabilités de corruption de mémoire ou d’autres failles graves qui, lorsqu’elles sont exploitées, permettent aux pirates de canaliser leur code malveillant directement dans le noyau. Même après un développeur corrige la vulnérabilité, les anciens pilotes bogués restent d’excellents candidats aux attaques BYOVD car ils sont déjà signés. En ajoutant ce type de pilote au flux d’exécution d’une attaque de malware, les pirates peuvent économiser des semaines de développement et de test.
Le BYOVD est une réalité depuis au moins une décennie. Logiciels malveillants surnommé “Slingshot” employé BYOVD depuis au moins 2012, et d’autres premiers entrants sur la scène BYOVD inclus LoJax, InvisiMoleet RobbinHood.
Au cours des deux dernières années, nous avons assisté à une vague de nouvelles attaques BYOVD. Une de ces attaques à la fin de l’année dernière a été menée par le groupe Lazarus soutenu par le gouvernement nord-coréen. Ce utilisé un pilote Dell mis hors service avec une vulnérabilité de haute gravité visant un employé d’une entreprise aérospatiale aux Pays-Bas et un journaliste politique en Belgique.
Lors d’une autre attaque BYOVD il y a quelques mois, des cybercriminels installé le rançongiciel BlackByte en installant puis en exploitant un pilote bogué pour MSI AfterBurner 4.6.2.15658 de Micro-Star, un utilitaire d’overclocking de carte graphique largement utilisé.
En juillet, un groupe de menaces de ransomwares installé le pilote mhyprot2.sys– un pilote anti-triche obsolète utilisé par le jeu très populaire Genshin Impact—lors d’attaques ciblées qui ont ensuite exploité un vulnérabilité d’exécution de code dans le pilote pour creuser plus loin dans Windows.
UN mois plus tôtles criminels diffusant le rançongiciel AvosLocker ont également abusé du pilote anti-rootkit vulnérable Avast aswarpot.sys pour contourner l’analyse antivirus.
Des articles de blog entiers ont été consacrés à l’énumération des cas croissants d’attaques BYOVD, avec ce message de la société de sécurité Eclypsium et celui-ci d’ESET parmi les plus notables.
Microsoft est parfaitement conscient de la menace BYOVD et a travaillé sur des défenses pour arrêter ces attaques, principalement en créant des mécanismes pour empêcher Windows de charger des pilotes signés mais vulnérables. Le mécanisme le plus courant pour le blocage des pilotes utilise une combinaison de ce qu’on appelle l’intégrité de la mémoire et HVCI, abréviation de Intégrité du code protégé par l’hyperviseur. Un mécanisme distinct pour empêcher l’écriture de mauvais pilotes sur le disque est connu sous le nom d’ASR, ou Attack Surface Reduction.
Malheureusement, aucune des deux approches ne semble avoir fonctionné aussi bien que prévu.