Windows, Microsoft révoque des dizaines de pilotes signés et malveillants

July 13, 2023
159 views

Windows est victime d’une centaine de pilotes certifiés et malveillants. Le Patch Tuesday du mois de juillet apporte des solutions mais cette situation est inquiétante.

Les chercheurs en sécurité de chez Sophos ont informé Microsoft de la présence de logiciels malveillants dans des pilotes signés en février 2023. Ils ont découverts que des pilotes « certifiés par le programme Windows Hardware Developer Program du géant étaient utilisés de manière malveillante dans des activités de post-exploitation ».

L’affaire ne concerne pas quelques pilotes mais un total de 133. Microsoft a rapidement pris des mesures en les bloquants et en fermant les comptes des développeurs responsables. Ces pilotes ont été placés sur une liste de révocation Windows Driver.STL. Elle est capitale puisque son rôle est d’interdire leur chargement sur les appareils Windows. Elle est mise à jour régulièrement via le service Windows Update. Microsoft ajoute que cette liste ne peut pas être désactivée, supprimée ou manipulée.

Windows 11, Microsoft Defender v1.391.3822.0 est nécessaire

Les administrateurs Windows doivent s’assurer que les dernières mises à jour sont installées et que les logiciels de sécurité tiers sont également à jour. Il est également demandé de faire des analyses hors connexion afin de détecter les pilotes malveillants installés avant le 2 mars 2023. A noter que les autres services de Microsoft comme Microsoft 365, Azure ou Xbox, ne sont pas concernés par ce problème.

Sophos ajoute que plusieurs des certificats numériques semblent avoir leur origine en Chine. L’analyse montre qu’il y a deux types de pilotes concernés. Certains entrent dans la catégorie des « Endpoint protection killer» similaire aux drivers signés de manière malveillante découverts en 2022. D’autres sont de type rootkit et sont élaborés pour fonctionner silencieusement en arrière-plan.

Sophos ajoute

Parmi les pilotes « endpoint protection killer », 68 avaient été signés par Microsoft et 13 par des certificats appartenant à d’autres sociétés. Parmi les pilotes de rootkit, 32 d’entre eux avaient été signés par Microsoft, 4 avaient été signés par d’autres sociétés et 16 étaient des variantes non signées de l’un des quatre pilotes signés.

Par contre tout ce petit monde ne peut pas être installé sans un compte disposant de droits élevés. Les drivers de type rootkit ont la capacité de surveiller le trafic Internet entrant et sortant et disposent d’une fonctionnalité de serveur de commande et de contrôle.

Tous les pilotes malveillants signalés par Sophos à Microsoft ont été invalidés et révoqués à compter du 11 juillet 2023. Microsoft Defender 1.391.3822.0 ou plus récent est armé pour les détecter.

Source: GinjFo