Pilote Windows obsolète, antivirus neutralisés, 3 failles exploitées, ce que les cybercriminels surprennent encore

Les cybercriminels ne manquent jamais de créativité quand il s’agit de contourner les systèmes de sécurité. Dernièrement, ils ont trouvé le moyen de détourner un vieux pilote Windows obsolète, signé il y a près de deux décennies, pour neutraliser les antivirus et systèmes de détection et de réponse aux menaces (EDR). Ce qui est inquiétant, c’est que ce pilote est toujours accepté par Windows, malgré un certificat expiré et révoqué.

Résultat, ces criminels peuvent tuer les protections en place sans autre forme de procès, ouvrant la voie à de potentielles attaques de ransomwares. Les experts en cybersécurité tirent la sonnette d’alarme, notamment les équipes d’Huntress qui ont récemment contré une intrusion de ce type. Mais comment un pilote aussi ancien peut-il encore poser problème aujourd’hui ?

La faille du pilote obsolète

C’est un véritable coup de maître pour ces cybercriminels. Ils exploitent une exception de compatibilité intégrée à Windows 10 depuis sa version 1607. Cette exception permet de charger certains pilotes anciens, signés avant le 29 juillet 2015, qui sont encore associés à une autorité acceptée. En gros, tant qu’ils ont cette signature, ils passent à travers les mailles du filet.

Une fois ce pilote chargé, un utilitaire malveillant peut mettre fin à des processus directement depuis le noyau. C’est du lourd : les services EDR et antivirus sont visés en priorité, avec des suppressions qui tournent en boucle pour éviter toute relance automatique. En clair, ces protections sont rendues aveugles, laissant le champ libre à des activités malveillantes.

Ce mode opératoire n’est pas nouveau, mais son efficacité repose sur le fait que les pilotes vulnérables peuvent être utilisés pour manipuler le noyau, rendant les systèmes de sécurité inefficaces. Et ça, c’est un vrai problème.

Conséquences pour les entreprises

Pour les entreprises, ces attaques représentent un véritable cauchemar. Imagine un instant : tu crois avoir toutes les protections nécessaires, et pourtant, tes données sont à la merci de pirates. Les conséquences peuvent être désastreuses, allant de la perte de données sensibles à des demandes de rançon exorbitantes.

Récemment, une entreprise a été victime de ce type d’attaque après qu’un compte VPN non protégé par une authentification à deux facteurs a été compromis. Une fois l’accès obtenu, les pirates ont procédé à une reconnaissance interne avant de déployer leur utilitaire malveillant. Et voilà, le tour est joué.

Les experts conseillent aux entreprises de renforcer leurs mesures de sécurité, notamment en mettant à jour régulièrement leurs systèmes et en adoptant des pratiques de sécurité robustes, comme l’utilisation de l’authentification multi-facteurs. Mais est-ce suffisant pour contrer ces attaques sophistiquées ?

Les efforts de Microsoft pour contrer la menace

Microsoft est bien conscient de la menace que représentent ces pilotes vulnérables. La liste noire des pilotes vulnérables a été mise en place pour tenter d’atténuer les risques. Cependant, elle n’est pas sans faille. Les administrateurs peuvent désactiver cette liste de blocage, et tous les pilotes vulnérables ne sont pas toujours détectés.

Microsoft a également durci le circuit de signature pour les nouveaux pilotes, mais il reste encore du chemin à faire pour sécuriser totalement le système. Les exploits de type « Admin-to-kernel » démontrent que le danger persiste, même sans pilotes vulnérables.

En attendant que des mesures plus efficaces soient prises, les entreprises doivent rester vigilantes et adopter une approche proactive en matière de sécurité. C’est un peu comme lutter contre un ennemi invisible et toujours en mouvement. Mais c’est le prix à payer pour protéger ses données dans un monde de plus en plus numérique.