Les attaques de type « Apportez votre propre pilote vulnérable » brisent Windows

By Flavien ROUX

La sécurité numérique est un jeu constant de chat et de souris, de nouvelles vulnérabilités étant découvertes aussi rapidement (si ce n’est plus) que les anciens problèmes sont corrigés. Dernièrement, les attaques de type « Apportez votre propre pilote vulnérable » sont devenues un problème complexe pour les PC Windows.

La plupart des pilotes Windows sont conçus pour interagir avec un matériel spécifique. Par exemple, si vous achetez un casque de Logitech et que vous le branchez, Windows peut installer automatiquement un pilote fabriqué par Logitech. Cependant, il existe de nombreux pilotes au niveau du noyau Windows qui ne sont pas destinés à communiquer avec des périphériques externes. Certains sont utilisés pour déboguer les appels système de bas niveau et, ces dernières années, de nombreux jeux PC ont commencé à les installer en tant que logiciel anti-triche.

Windows n’autorise pas par défaut l’exécution de pilotes non signés en mode noyau, à partir de Windows Vista 64 bits, ce qui a considérablement réduit le nombre de logiciels malveillants pouvant accéder à l’ensemble de votre PC. Cela a conduit à la popularité croissante des vulnérabilités « Bring Your Own Vulnerable Driver », ou BYOVD en abrégé, qui tirent parti des pilotes signés existants au lieu de charger de nouveaux pilotes non signés.

Comment résoudre le code d’erreur 0x80004005 sur Windows 10 et 11

Alors, comment cela fonctionne-t-il ? Eh bien, il s’agit pour les programmes malveillants de trouver un pilote vulnérable qui est déjà présent sur un PC Windows. La vulnérabilité recherche un pilote signé qui ne valide pas les appels aux registres spécifiques au modèle (MSR), puis en profite pour interagir avec le noyau Windows par le biais du pilote compromis (ou l’utiliser pour charger un pilote non signé). Pour utiliser une analogie dans la vie réelle, c’est comme si un virus ou un parasite utilisait un organisme hôte pour se propager, mais l’hôte dans ce cas est un autre pilote.

A lire également :  Comment créer un code QR dans Google Sheets

Cette vulnérabilité a déjà été utilisée par des logiciels malveillants dans la nature. Les chercheurs d’ESET ont découvert qu’un programme malveillant, surnommé  » InvisiMole « , utilisait une vulnérabilité BYOVD dans le pilote de l’utilitaire  » SpeedFan  » d’Almico pour charger un pilote malveillant non signé. L’éditeur de jeux vidéo Capcom a également publié certains jeux avec un pilote anti-triche qui pouvait être facilement détourné.

Les atténuations logicielles de Microsoft pour les tristement célèbres failles de sécurité Meltdown et Spectre de 2018 empêchent également certaines attaques BYOVD, et d’autres améliorations récentes des processeurs x86 d’Intel et d’AMD comblent certaines lacunes. Cependant, tout le monde ne dispose pas des ordinateurs les plus récents ou des dernières versions entièrement corrigées de Windows, de sorte que les logiciels malveillants qui utilisent BYOVD restent un problème permanent. Les attaques sont également incroyablement compliquées, il est donc difficile de les atténuer complètement avec le modèle de pilote actuel de Windows.

La meilleure façon de se protéger contre tout logiciel malveillant, y compris les vulnérabilités BYOVD découvertes à l’avenir, est de laisser Windows Defender activé sur votre PC et d’autoriser Windows à installer les mises à jour de sécurité dès qu’elles sont publiées. Un logiciel antivirus tiers peut également fournir une protection supplémentaire, mais le Defender intégré est généralement suffisant.

Laisser un commentaire