Getty Images
Les pirates utilisent des logiciels open source populaires auprès des tricheurs de jeux vidéo pour permettre à leurs logiciels malveillants basés sur Windows de contourner les restrictions mises en place par Microsoft pour empêcher que de telles infections ne se produisent.
Le logiciel se présente sous la forme de deux outils logiciels disponibles sur GitHub. Les tricheurs les utilisent pour signer numériquement des pilotes système malveillants afin de pouvoir modifier les jeux vidéo de manière à donner au joueur un avantage injuste. Les pilotes éliminent l’obstacle considérable requis pour que le code de triche s’exécute à l’intérieur du noyau Windows, la couche renforcée du système d’exploitation réservée aux fonctions les plus critiques et les plus sensibles.
Des chercheurs de l’équipe de sécurité Talos de Cisco ont déclaré mardi que plusieurs groupes de menaces de langue chinoise ont réorienté les outils, l’un appelé HookSignTool et l’autre FuckCertVerifyTimeValidity. Au lieu d’utiliser l’accès au noyau pour tricher, les acteurs de la menace l’utilisent pour donner à leurs logiciels malveillants des capacités qu’ils n’auraient pas autrement.
Une nouvelle façon de contourner les restrictions des pilotes Windows
“Au cours de nos recherches, nous avons identifié des acteurs malveillants utilisant HookSignTool et FuckCertVerifyTimeValidity, des outils de falsification d’horodatage de signature qui sont accessibles au public depuis 2019 et 2018 respectivement, pour déployer ces pilotes malveillants”, ont écrit les chercheurs. “Bien qu’ils aient gagné en popularité au sein de la communauté de développement de tricheurs de jeux, nous avons observé l’utilisation de ces outils sur des pilotes Windows malveillants sans rapport avec les tricheurs de jeux.”
Avec les débuts de Windows Vista, Microsoft a adopté de nouvelles restrictions strictes sur le chargement des pilotes système pouvant s’exécuter en mode noyau. Les pilotes sont essentiels pour que les appareils fonctionnent avec un logiciel antivirus, des imprimantes et d’autres types de logiciels et de périphériques, mais ils constituent depuis longtemps une percée pratique pour les pirates informatiques pour exécuter des logiciels malveillants en mode noyau. Ces incursions sont disponibles pour les pirates après l’exploitation, c’est-à-dire une fois qu’ils ont déjà obtenu des privilèges administratifs sur une machine ciblée.
Publicité
Alors que les attaquants qui obtiennent de tels privilèges peuvent voler des mots de passe et prendre d’autres libertés, leurs logiciels malveillants doivent généralement s’exécuter dans le noyau Windows pour effectuer un grand nombre de tâches plus avancées. Selon la politique mise en place avec Vista, tous ces pilotes ne peuvent être chargés qu’après avoir été préalablement approuvés par Microsoft, puis signés numériquement par une autorité de certification de confiance pour vérifier qu’ils sont sûrs.
Les développeurs de logiciels malveillants disposant de privilèges d’administrateur disposaient déjà d’un moyen bien connu de contourner facilement les restrictions du pilote. La technique est connue sous le nom de « apportez votre propre conducteur vulnérable ». Il fonctionne en chargeant un pilote tiers accessible au public qui a déjà été signé et qui contient plus tard une vulnérabilité permettant la prise de contrôle du système. Les pirates installent le post-exploit du pilote, puis exploitent la vulnérabilité du pilote pour injecter leur logiciel malveillant dans le noyau Windows.
Bien que la technique existe depuis plus d’une décennie, Microsoft n’a pas encore conçu de défenses fonctionnelles et n’a pas encore fourni de conseils pratiques pour atténuer la menace malgré l’un de ses dirigeants louant publiquement l’efficacité de Windows pour se défendre contre elle.
La technique découverte par Talos représente une nouvelle façon de contourner les restrictions des pilotes Windows. Il exploite une faille qui existe depuis le début de la politique selon laquelle les droits acquis des conducteurs plus âgés, même lorsqu’ils n’ont pas été examinés pour la sécurité par Microsoft. L’exception, conçue pour garantir que les anciens logiciels pouvaient toujours fonctionner sur les systèmes Windows, est déclenchée lorsqu’un pilote est signé par une autorité de certification approuvée par Windows avant le 29 juillet 2015.
“Si un pilote est signé avec succès de cette manière, il ne sera pas empêché d’être installé et démarré en tant que service”, a expliqué le post de Talos de mardi. « En conséquence, plusieurs outils open source ont été développés pour exploiter cette faille. Il s’agit d’une technique connue, bien que souvent négligée, bien qu’elle représente une menace sérieuse pour les systèmes Windows et qu’elle soit relativement facile à mettre en œuvre, en partie parce que les outils sont accessibles au public.