Les attaques "Apportez votre propre pilote vulnérable" cassent Windows
Agence web » Actualités du digital » Les attaques « Apportez votre propre pilote vulnérable » cassent Windows

Les attaques « Apportez votre propre pilote vulnérable » cassent Windows

La sécurité numérique est un jeu constant du chat et de la souris, de nouvelles vulnérabilités étant découvertes aussi rapidement (sinon plus rapidement) que des problèmes plus anciens sont résolus. Dernièrement, les attaques «Bring Your Own Vulnerable Driver» deviennent un problème complexe pour les PC Windows.

La plupart des pilotes Windows sont conçus pour interagir avec un matériel spécifique – par exemple, si vous achetez un casque chez Logitech et que vous le branchez, Windows peut installer automatiquement un pilote fabriqué par Logitech. Cependant, il existe de nombreux pilotes au niveau du noyau Windows qui ne sont pas destinés à communiquer avec des périphériques externes. Certains sont utilisés pour déboguer les appels système de bas niveau, et ces dernières années, de nombreux jeux PC ont commencé à les installer en tant que logiciels anti-triche.

Windows n’autorise pas l’exécution par défaut des pilotes en mode noyau non signés, à commencer par Windows Vista 64 bits, ce qui a considérablement réduit la quantité de logiciels malveillants pouvant accéder à l’ensemble de votre PC. Cela a conduit à la popularité croissante des vulnérabilités «Bring Your Own Vulnerable Driver», ou BYOVD en abrégé, qui tirent parti des pilotes signés existants au lieu de charger de nouveaux pilotes non signés.

Fonctionnement des appels système avec pilotes sous Windows

Donc comment ça fonctionne? Eh bien, cela implique que des programmes malveillants trouvent un pilote vulnérable qui est déjà présent sur un PC Windows. La vulnérabilité recherche un pilote signé qui ne valide pas les appels aux registres spécifiques au modèle (MSR), puis en profite pour interagir avec le noyau Windows via le pilote compromis (ou l’utiliser pour charger un pilote non signé). Pour utiliser une analogie de la vie réelle, c’est comme la façon dont un virus ou un parasite utilise un organisme hôte pour se propager, mais l’hôte dans ce cas est un autre moteur.

Cette vulnérabilité a déjà été utilisée par des logiciels malveillants dans la nature. Les chercheurs d’ESET ont découvert qu’un programme malveillant, surnommé « InvisiMole », utilisait une vulnérabilité BYOVD dans le pilote de l’utilitaire « SpeedFan » d’Almico pour charger un pilote malveillant non signé. L’éditeur de jeux vidéo Capcom a également publié certains jeux avec un pilote anti-triche qui pourrait être facilement piraté.

Les atténuations logicielles de Microsoft pour les tristement célèbres failles de sécurité Meltdown et Spectre de 2018 empêchent également certaines attaques BYOVD, et d’autres améliorations récentes des processeurs x86 d’Intel et d’AMD comblent certaines lacunes. Cependant, tout le monde ne possède pas les ordinateurs les plus récents ou les dernières versions entièrement corrigées de Windows, de sorte que les logiciels malveillants qui utilisent BYOVD sont toujours un problème permanent. Les attaques sont également incroyablement compliquées, il est donc difficile de les atténuer complètement avec le modèle de pilote actuel de Windows.

La meilleure façon de vous protéger contre tout logiciel malveillant, y compris les vulnérabilités BYOVD découvertes à l’avenir, est de garder Windows Defender activé sur votre PC et de permettre à Windows d’installer les mises à jour de sécurité chaque fois qu’elles sont publiées. Un logiciel antivirus tiers peut également fournir une protection supplémentaire, mais le Defender intégré est généralement suffisant.

Source : ESET

★★★★★