Microsoft n’a pas réussi à protéger adéquatement les PC Windows contre les pilotes malveillants pendant près de trois ans, selon un rapport d’Ars Technica. Alors que Microsoft affirme que ses mises à jour Windows ajoutent de nouveaux pilotes malveillants à une liste de blocage sur les appareils, Ars Technica a constaté que ces mises à jour n’ont jamais réussi à les arrêter.
Cette faille rendait les utilisateurs vulnérables à un certain type d’attaque appelé BYOVD. Les pilotes sont les fichiers que le système d’exploitation de votre ordinateur utilise pour communiquer avec des périphériques et du matériel externes, tels qu’une imprimante, une carte graphique ou une webcam. Étant donné que les pilotes peuvent accéder au cœur du système d’exploitation d’un périphérique, ou noyau, Microsoft exige que tous les pilotes soient signés numériquement, prouvant qu’ils peuvent être utilisés en toute sécurité. Mais si un pilote existant signé numériquement présente une faille de sécurité, les pirates peuvent l’exploiter et accéder directement à Windows.
En août, des pirates ont installé le rançongiciel BlackByte sur un pilote vulnérable utilisé pour l’utilitaire d’overclocking MSI AfterBurner. Un autre incident récent a impliqué des cybercriminels exploitant une vulnérabilité dans le pilote anti-triche du jeu Genshin Impact. Le groupe de piratage nord-coréen Lazarus a mené une attaque BYOVD contre un responsable de l’aérospatiale aux Pays-Bas et un journaliste politique en Belgique en 2021, mais la société de sécurité ESET ne l’a révélé qu’à la fin du mois dernier.
Merci pour tous les commentaires. Nous avons mis à jour la documentation en ligne et ajouté un téléchargement avec des instructions pour appliquer directement la version binaire. Nous corrigeons également les problèmes liés à notre processus de maintenance qui empêchait les appareils de recevoir les mises à jour de la politique.
—Jeffrey Sutherland (@j3ffr3y1974) 6 octobre 2022
Comme l’a noté Ars Technica, Microsoft utilise quelque chose appelé intégrité du code protégé par l’hyperviseur (HVCI) qui est censé protéger contre les pilotes malveillants, que la société affirme avoir activé par défaut sur certains appareils Windows. Cependant, Ars Technica et Will Dormann, analyste principal des vulnérabilités au sein de la société de cybersécurité Analygence, ont constaté que cette fonctionnalité n’offre pas une protection adéquate contre les pilotes malveillants.
Dans un fil de discussion publié sur Twitter en septembre, Dormann explique qu’il a réussi à télécharger un pilote malveillant sur un appareil compatible HVCI, même avec le pilote sur la liste noire de Microsoft. Il a ensuite découvert que la liste noire de Microsoft n’avait pas été mise à jour depuis 2019 et que les fonctionnalités de réduction de la surface d’attaque (ASR) de Microsoft ne protégeaient pas non plus contre les pilotes malveillants. Cela signifie que tout appareil compatible HVCI n’a pas été protégé contre les pilotes infectés pendant environ trois ans.
Microsoft n’a pas abordé les conclusions de Dormann jusqu’au début de ce mois. “Nous avons mis à jour les documents en ligne et ajouté un téléchargement avec des instructions pour appliquer directement la version binaire”, a déclaré Jeffery Sutherland, chef de projet Microsoft, en réponse aux tweets de Dormann. “Nous résolvons également des problèmes avec notre processus de maintenance qui empêchaient les appareils de recevoir des mises à jour.” Microsoft a depuis fourni des instructions sur la façon de mettre à jour manuellement la liste de blocage avec les pilotes vulnérables manquants depuis des années, mais on ne sait toujours pas quand Microsoft commencera à ajouter automatiquement de nouveaux pilotes à la liste.
“La liste des pilotes vulnérables est mise à jour régulièrement, mais nous avons reçu des commentaires selon lesquels il y a eu un écart de synchronisation entre les versions du système d’exploitation”, a déclaré un porte-parole de Microsoft dans un communiqué à Ars Technica. “Nous avons corrigé ce problème et nous le traiterons dans les prochaines et futures mises à jour de Windows. La page de documentation sera mise à jour au fur et à mesure que de nouvelles mises à jour seront publiées.
La source: Arstechnica
