histats

Aucune solution en vue pour une échappatoire d’un kilomètre de large qui a tourmenté les principales défenses de Windows pendant des années

Aucune solution en vue pour une échappatoire d’un kilomètre de large qui a tourmenté les principales défenses de Windows pendant des années

Aucune solution en vue pour une échappatoire d'un kilomètre de large qui a tourmenté les principales défenses de Windows pendant des années

Getty Images

Au cours des 15 dernières années, Microsoft a fait de grands progrès dans le renforcement du noyau Windows, le cœur du système d’exploitation que les pirates doivent contrôler pour réussir à prendre le contrôle d’un ordinateur. L’une des pierres angulaires de ces progrès a été l’introduction de nouvelles restrictions strictes sur le chargement des pilotes système pouvant s’exécuter en mode noyau. Ces pilotes sont essentiels pour que les ordinateurs fonctionnent avec des imprimantes et d’autres périphériques, mais ils constituent également une intervention pratique que les pirates peuvent effectuer pour permettre à leurs logiciels malveillants d’accéder sans entrave aux parties les plus sensibles de Windows. Avec l’avènement de Windows Vista, tous ces pilotes ne pouvaient être chargés qu’après avoir été pré-approuvés par Microsoft, puis signés numériquement pour confirmer qu’ils étaient sûrs.

La semaine dernière, des chercheurs de la société de sécurité ESET ont révélé qu’il y a environ un an, Lazarus, un groupe de piratage soutenu par le gouvernement nord-coréen, a exploité l’année dernière une faille d’un kilomètre de large qui existait depuis le début dans l’application des signatures de pilotes (DSE) de Microsoft. Les documents malveillants que Lazarus a pu inciter les cibles à ouvrir ont pu obtenir le contrôle administratif de l’ordinateur de la cible, mais la protection moderne du noyau de Windows a constitué un formidable obstacle pour que Lazarus atteigne son objectif d’attaquer le noyau.

Le chemin de moindre résistance

Lazarus a donc opté pour l’un des mouvements les plus anciens du manuel d’exploitation de Windows, une technique connue sous le nom de BYOVD, abréviation de apporter votre propre pilote vulnérable. Au lieu de trouver et de cultiver un jour zéro exotique pour pénétrer la protection du noyau Windows, les membres de Lazarus ont simplement utilisé l’accès administrateur dont ils disposaient déjà pour installer un pilote signé numériquement par Dell avant la découverte l’année dernière d’une vulnérabilité critique exploitable pour obtenir le noyau privilèges.

See also  FIFA 23 speed boost hack is impossible to defend against

Le chercheur d’ESET, Peter Kálnai, a déclaré que Lazarus avait envoyé à deux cibles – l’une un employé d’une compagnie aérienne aux Pays-Bas et l’autre un journaliste politique en Belgique – des documents Microsoft Word qui avaient été capturés avec un code malveillant qui infectait les ordinateurs qui l’ouvraient. L’objectif des pirates était d’installer une porte dérobée avancée appelée Blindingcan, mais pour ce faire, ils devaient d’abord désactiver diverses protections Windows. Le chemin de moindre résistance, dans ce cas, consistait simplement à installer dbutil_2_3.sys, le pilote bogué de Dell, responsable de la mise à jour du micrologiciel de Dell via l’utilitaire Bios personnalisé de Dell.

“Pour la première fois dans la nature, les attaquants ont pu exploiter CVE-2021-21551 pour désactiver la surveillance de toutes les solutions de sécurité”, a écrit Kálnai, faisant référence à la désignation utilisée pour tracer la vulnérabilité dans le pilote Dell. “Cela a été fait non seulement dans l’espace du noyau, mais aussi de manière robuste, en utilisant une série d’intégrés Windows peu ou non documentés. Cela a sans aucun doute nécessité une recherche, un développement et des tests approfondis.”

Dans le cas du journaliste, l’attaque a été déclenchée mais rapidement stoppée par les produits ESET, avec un seul exécutable malveillant impliqué.

S’il s’agit peut-être du premier cas documenté d’attaquants exploitant CVE-2021-21551 pour percer les protections du noyau Windows, il ne s’agit en aucun cas du premier cas d’attaque BYOVD. Voici une petite sélection d’attaques BYOVD passées :

  • Un logiciel malveillant appelé SlingShot s’est caché sur les systèmes infectés pendant six ans jusqu’à ce qu’il soit découvert par la société de sécurité Kaspersky. Actif depuis 2012, SlingShot exploitait des vulnérabilités trouvées dès 2007 dans des pilotes tels que Speedfan.sys, sandra.sys, et parce que ces pilotes avaient été signés numériquement à un moment donné, Microsoft n’avait aucun moyen viable d’empêcher Windows de les charger, bien que les vulnérabilités étaient bien connus.
  • RobbinHood, le nom du ransomware qui installe le pilote de carte mère GIGABYTE GDRV.SYS puis exploite la vulnérabilité connue CVE-2018-19320 pour installer son propre pilote malveillant.
  • LoJax, le premier rootkit UEFI connu pour être utilisé dans la nature. Pour accéder aux modules UEFI de la cible, le logiciel malveillant a installé un outil puissant appelé RWEverything qui avait une signature numérique valide.
See also  La marque Supercon 2022 est une visite guidée de l'histoire de l'ordinateur

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *