Pourquoi c’est important : Les pirates exploitent les drivers vulnérables depuis des années, et Microsoft ne peut pas facilement résoudre le problème sous-jacent sans mettre en colère certains de ses clients payants qui utilisent des logiciels plus anciens. Au cours des dernières années, une faille dans la politique de Windows a permis à des acteurs malveillants de signer et de charger des drivers en mode Core à signature croisée et de distribuer des logiciels malveillants à des millions d’ordinateurs sous Windows. Les drivers incriminés ont été bloqués, mais la politique reste inchangée.
Si vous pratiquez une bonne hygiène numérique, vous installez probablement les mises à jour de Windows peu après leur date de publication, en particulier lorsqu’elles sont axées sur la sécurité. Cependant, les pirates informatiques ne cessent de s’attaquer à la sécurité du système d’exploitation de Microsoft et de concevoir de nouveaux moyens de contourner les restrictions en place.
Dans un test de sécurité publié cette semaine, le géant de Redmond détaille un problème majeur : pas moins de 133 drivers officiellement signés par ses ingénieurs ont récemment été utilisés par des acteurs malveillants pour distribuer des logiciels malveillants, ce qui semble être un problème récurrent. La campagne en question visait principalement les utilisateurs chinois de Windows, mais, compte tenu de la méthode utilisée, il y a de bonnes raisons de croire qu’elle a été utilisée pour cibler des utilisateurs du monde entier.
Comme l’explique l’équipe de sécurité Talos de Cisco, les pirates ont trouvé une faille dans la politique de Windows qui leur a permis de charger des drivers signés avant le 29 juillet 2015. En utilisant des outils open-source tels que HookSignTool et FuckCertVerifyTimeValidity, ils ont pu compiler de nouveaux drivers et les signer en utilisant des certificats de signature de code provenant d’anciens drivers. Ils ont ainsi pu installer et charger des drivers malveillants sur pratiquement tous les systèmes.
La politique qui rend tout cela possible est destinée à permettre la compatibilité avec les anciens logiciels en leur permettant de charger d’anciens drivers dans Windows 10 et Windows 11 sans qu’ils aient besoin d’être examinés par Microsoft pour des raisons de sécurité. Quant aux outils open-source impliqués dans l’exploit, ils sont très populaires parmi les développeurs de jeux tricheurs qui veulent faire fonctionner leur logiciel dans l’espace du Core ou les pirates numériques qui cherchent à contourner les contrôles DRM sur les applications et les jeux populaires.
La bonne nouvelle, c’est que Microsoft a bloqué les drivers incriminés ainsi que les comptes des développeurs qui les ont écrits. Si vous utilisez Microsoft Defender (anciennement connu sous le nom de Windows Defender) et qu’il est à jour, une simple analyse hors ligne permettra de détecter la présence de drivers malveillants dans votre système. Les dernières mises à jour du Patch Tuesday incluent également une liste de révocation qui empêchera Windows de charger ces drivers.
Cependant, cette approche consistant à bloquer les drivers malveillants une fois qu’ils ont été signalés par les chercheurs en sécurité n’est pas idéale, car les pirates s’en sortent généralement pendant des années avant que leur code ne soit bloqué et Microsoft ne fait rien pour combler la faille qui a rendu ces exploits possibles en premier lieu. Il est vrai que l’un des principaux arguments de vente de Windows est la rétrocompatibilité avec les logiciels plus anciens, de sorte que le géant de Redmond n’aura pas de mal à trouver une meilleure solution.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
