Les recherches d'ESET sur “Bring Your Own Vulnerable Driver” détaillent les attaques contre les pilotes dans le noyau de Windows
Publié le 11/01/2022 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• Le blog détaillé présente un examen approfondi des vulnérabilités des pilotes du noyau (le composant central du système d'exploitation Windows).
• Les vulnérabilités dans les pilotes signés sont principalement utilisées par les développeurs de jeux de triche pour contourner les mécanismes anti-triche, mais elles ont également été utilisées par plusieurs groupes APT et dans des logiciels malveillants.
• L’installation d'un pilote de noyau signé vulnérable est une option populaire pour les attaquants – cette technique est appelée Bring Your Own Vulnerable Driver (BYOVD).
• Cette technique a été utilisée par les groupes Slingshot et InvisiMole APT, la famille de ransomware RobbinHood et LoJax, le tout premier rootkit UEFI utilisé in the wild.
• Les chercheurs d'ESET ont découvert des vulnérabilités dans trois pilotes.
• Le blog détaille les techniques d'atténuation.
https://www.welivesecurity.com/2022/01/11/signed-kernel-drivers-unguarded-gateway-windows-core/ mardi 11 janvier 2022 dès 11.30 CET

BRATISLAVA, PRAGUE — Le 11 janvier 2022 — ESET Research publie aujourd’hui un blog détaillé sur l’étude approfondie d'abus par des pilotes de noyaux vulnérables. Les vulnérabilités des pilotes signés sont principalement utilisées par les développeurs de jeux de triche pour contourner les mécanismes anti-triche, mais on a observé qu’elles étaient aussi utilisées par plusieurs groupes APT et dans des logiciels malveillants de base. Le blog présente des types de vulnérabilités courantes dans les pilotes, détaille plusieurs études de cas de maliciels utilisant ces pilotes vulnérables, analyse des exemples de pilotes vulnérables découverts au cours des recherches et décrit des techniques d'atténuation efficaces contre ce genre d'exploitation. Pour les malfrats ces pilotes sont souvent des passerelles non protégées vers le noyau - composant central du système d'exploitation Windows.

Parmi les différents types de pilotes de noyau, il y a des pilotes «logiciels» qui fournissent des fonctionnalités spécifiques non liées au matériel telles que le débogage et les diagnostics logiciels, l'analyse système, etc. Ils peuvent agrandir la surface d'attaque de manière significative. Bien que dans les nouvelles versions de Windows le chargement direct d'un pilote malveillant non signé ne soit pas possible et que les rootkits du noyau fassent partie du passé, il y a toujours moyen de charger du code malveillant dans le noyau, en particulier en abusant de pilotes signés légitimes. Il y a de nombreux pilotes de divers fournisseurs de matériel et de logiciels qui offrent des fonctionnalités pour accéder au noyau avec un effort minimal.
Les vulnérabilités les plus fréquentes dans les pilotes incluent :

• L’impossibilité d'ajouter des contrôles limitant l'accès lecture/écriture aux registres critiques spécifiques au modèle (MSR) ;
• Exposer la possibilité de mettre d’accéder à la mémoire physique à partir du mode utilisateur lecture/écriture ;
• Exposer la possibilité d'accéder à la mémoire virtuelle du noyau à partir du mode utilisateur lecture/écriture.

« Lorsque des fraudeurs doivent exécuter du code malveillant dans le noyau Windows sur des systèmes x64 avec l'application de la signature du pilote en place, l’installation d'un pilote de noyau signé vulnérable semble être une option valable pour le faire. Cette techniques connue sous le nom de Bring Your Own Vulnerable Driver- BYOVD, et a été observée ‘in the wild’ chez des acteurs APT de premier plan et maliciels de base », explique Peter Kálnai, un des participants à cette recherche.

Parmi les malfrats utilisant la technique BYOVD il y a le groupe Slingshot APT, qui a implémenté Cahnadr, son module principal, comme pilote en mode noyau pouvant être chargé par des pilotes signés vulnérables. InvisiMole APT en est un autre, découvert par les chercheurs d'ESET en 2018. Une variante plus récente du maliciel InvisiMole est, à ce jour, le seul cas qu'ESET a observé pour l'exploitation de MSR sur des systèmes Windows 10 x64 utilisés ‘in the wild’ par un acteur maliciel.

Un autre exemple est le rançongiciel RobbinHood qui, en tant que malware de base, essaye d’atteindre le plus de personnes possible. Le voir utiliser une technique BYOVD est rare mais puissant. Ce rançongiciel utilise un pilote de carte mère GIGABYTE vulnérable pour désactiver l'application de signature du pilote et installer son propre pilote malveillant. Enfin, LoJax, une autre découverte d'ESET en 2018 et tout premier rootkit UEFI utilisé ‘in the wild’, a utilisé le pilote RWEverything pour accéder aux modules UEFI des victimes

Les chercheurs d'ESET ont non seulement répertorié les vulnérabilités existantes, mais en ont également recherché de nouvelles – une liste complète et détaillée de ces vulnérabilités est publiée dans le blog. Les fournisseurs contactés par ESET ont été très proactifs lors du processus de divulgation et ont entrepris de corriger les vulnérabilités découvertes.

« Bien qu'il existe plusieurs mécanismes utilisés par le CPU et/ou le système d'exploitation, la plupart d'entre eux peuvent être contournés avec des techniques intelligentes et ne sont pas très efficaces si l'attaquant s'est bien préparé », explique Kálnai.

Le blog propose les techniques d'atténuation utiles suivantes :

• Sécurité basée sur la virtualisation : une fonctionnalité introduite dans Windows 10 qui tire parti de la virtualisation du matériel pour placer le noyau dans un bac à sable, sécurisant le système d'exploitation avec diverses protections.
• Révocation de certificat : sur les systèmes Windows modernes, les pilotes doivent avoir une signature valide basée sur un certificat « acceptable ». Par conséquent, révoquer le certificat d'un pilote vulnérable serait un moyen facile de le « désarmer » et de le rendre inutile dans la plupart des cas.
• Blocklisting des pilotes : il s'agit d'une pratique adoptée par Microsoft et divers fournisseurs de produits de sécurité tiers, y compris ESET, pour détecter et supprimer les pilotes vulnérables les plus notoires lorsqu'on les trouve sur un système.

A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez nous sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2022 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?