Les entreprises de sécurité informatique Mandiant, SentinelOne et Sophos ont alerté Microsoft de l’utilisation de pilotes malveillants, pourtant certifiés par le géant de Redmond, dans une série d’attaques informatiques. Des incidents particulièrement inquiétants, car de nombreux services de sécurité font justement implicitement confiance à tout ce qui est certifié par Microsoft.
L’alerte a été donnée le 19 octobre
Après enquête, ce mode opératoire, dévoilé le 13 décembre dernier, serait lié à l’utilisation malveillante de plusieurs comptes développeurs du programme Windows Hardware Developer.
Microsoft, qui a été alertée le 19 octobre, a révoqué les certificats des pilotes concernés et a également suspendu ces comptes suspects.
Selon l’entreprise, ces pilotes malveillants certifiés frauduleusement ont été utilisés, après intrusion dans les systèmes visés, pour faciliter le déploiement de rançongiciels, tels que Cuba ou Hive, par exemple. Comme l’explique SentinelOne, les pilotes malveillants ayant les privilèges les plus élevés dans le système d’exploitation permettaient en effet de contourner des antivirus et des systèmes de détection.
Signature obligatoire
Dans un exemple rapporté par Sophos, le pilote malveillant avait été signé via un certificat Nvidia volé auparavant par des cybercriminels de Lapsus$. De même, un autre pilote louche aurait lui été signé via des certificats émis par une ou plusieurs sociétés chinoises « à la réputation douteuse ».
Microsoft exige une signature des pilotes pour Windows 10 et 11, ainsi que pour Windows Server 2022. Un processus mis en place pour certifier l’identité de l’éditeur du logiciel et donc pour vérifier l’intégrité des pilotes soumis.
Des cybercriminels ont donc réussi à faire dérailler ce processus, probablement en détournant les certificats permettant aux développeurs de soumettre leurs pilotes. Pour SentinelOne, il est d’ailleurs possible que ce processus frauduleux de signature de pilotes soit un service cybercriminel à part entière.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));