Si vous utilisez des programmes de triche lorsque vous jouez à des jeux sur PC, vous pourriez mettre votre ordinateur en danger car les vulnérabilités des pilotes signés sont le plus souvent utilisées par les développeurs de jeux de triche pour contourner les mécanismes anti-triche.
Cependant, ils ont également été observés utilisés par plusieurs groupes de menaces persistantes avancées (APT) selon un nouveau rapport d’ESET. La société de sécurité Internet a récemment plongé en profondeur dans les types de vulnérabilités qui se produisent couramment dans les pilotes du noyau et a même trouvé plusieurs pilotes vulnérables dans les logiciels de jeu populaires en même temps.
Les pilotes non signés ou ceux présentant des vulnérabilités peuvent souvent devenir une passerelle non protégée vers le noyau de Windows pour les acteurs malveillants. Bien que le chargement direct d’un pilote malveillant non signé ne soit plus possible dans Windows 11 et Windows 10 et que les rootkits soient considérés comme une chose du passé, il existe toujours des moyens de charger du code malveillant dans le noyau de Windows, notamment en abusant de pilotes légitimes et signés. .
En fait, il existe de nombreux pilotes de fournisseurs de matériel et de logiciels qui offrent des fonctionnalités pour accéder pleinement au noyau avec un effort minimal. Au cours de ses recherches, ESET a découvert des vulnérabilités dans le logiciel de profil μProf d’AMD, l’outil d’analyse comparative populaire Passmark et l’utilitaire système PC Analyser. Heureusement, les développeurs de tous les programmes concernés ont depuis publié des correctifs pour corriger ces vulnérabilités après qu’ESET les ait contactés.
Sommaire
Apportez votre propre conducteur vulnérable
Une technique couramment utilisée par les cybercriminels et les acteurs de la menace pour exécuter du code malveillant dans le noyau Windows est connue sous le nom de Bring Your Own Vulnerable Driver (BYOVD). Peter Kálnai, chercheur principal sur les logiciels malveillants chez ESET, a fourni de plus amples détails sur cette technique dans un communiqué de presse, en déclarant :
« Lorsque les acteurs malveillants doivent exécuter du code malveillant dans le noyau Windows sur des systèmes x64 avec l’application de la signature du pilote en place, le transport d’un pilote de noyau signé vulnérable semble être une option viable pour le faire. Cette technique est connue sous le nom de Bring Your Own Vulnerable Driver, en abrégé BYOVD, et a été observée en cours d’utilisation à la fois par des acteurs APT de premier plan et par des logiciels malveillants de base.
Des exemples d’acteurs malveillants utilisant BYOVD incluent le groupe Slingshot APT qui a implémenté leur module principal Cahnadr en tant que pilote en mode noyau qui peut être chargé par des pilotes de noyau signés vulnérables ainsi que le groupe InvisiMole APT que les chercheurs d’ESET ont découvert en 2018. Le ransomware RobinHood est encore un autre exemple qui exploite un pilote de carte mère GIGABYTE vulnérable pour désactiver l’application de la signature du pilote et installer son propre pilote malveillant.
Dans un long article de blog accompagnant son communiqué de presse, ESET a expliqué que la sécurité basée sur la virtualisation, la révocation de certificats et la liste de blocage des pilotes sont toutes des techniques d’atténuation utiles pour ceux qui s’inquiètent des dangers posés par les pilotes de noyau signés qui ont été détournés par des acteurs malveillants.
Nous avons également souligné le meilleur logiciel de suppression de malware, meilleur logiciel de protection des terminaux et meilleur antivirus
