Windows 11 de Microsoft
Windows est victime d’une centaine de pilotes certifiés et malveillants. Le Patch Tuesday du mois de juillet apporte des solutions mais cette situation est inquiétante.
Les chercheurs en sécurité de chez Sophos ont informé Microsoft de la présence de logiciels malveillants dans des pilotes signés en février 2023. Ils ont découverts que des pilotes « certifiés par le programme Windows Hardware Developer Program du géant étaient utilisés de manière malveillante dans des activités de post-exploitation ».
L’affaire ne concerne pas quelques pilotes mais un total de 133. Microsoft a rapidement pris des mesures en les bloquants et en fermant les comptes des développeurs responsables. Ces pilotes ont été placés sur une liste de révocation Windows Driver.STL. Elle est capitale puisque son rôle est d’interdire leur chargement sur les appareils Windows. Elle est mise à jour régulièrement via le service Windows Update. Microsoft ajoute que cette liste ne peut pas être désactivée, supprimée ou manipulée.
Les administrateurs Windows doivent s’assurer que les dernières mises à jour sont installées et que les logiciels de sécurité tiers sont également à jour. Il est également demandé de faire des analyses hors connexion afin de détecter les pilotes malveillants installés avant le 2 mars 2023. A noter que les autres services de Microsoft comme Microsoft 365, Azure ou Xbox, ne sont pas concernés par ce problème.
Sophos ajoute que plusieurs des certificats numériques semblent avoir leur origine en Chine. L’analyse montre qu’il y a deux types de pilotes concernés. Certains entrent dans la catégorie des « Endpoint protection killer» similaire aux drivers signés de manière malveillante découverts en 2022. D’autres sont de type rootkit et sont élaborés pour fonctionner silencieusement en arrière-plan.
Sophos ajoute
Parmi les pilotes « endpoint protection killer », 68 avaient été signés par Microsoft et 13 par des certificats appartenant à d’autres sociétés.
Parmi les pilotes de rootkit, 32 d’entre eux avaient été signés par Microsoft, 4 avaient été signés par d’autres sociétés et 16 étaient des variantes non signées de l’un des quatre pilotes signés.
Par contre tout ce petit monde ne peut pas être installé sans un compte disposant de droits élevés. Les drivers de type rootkit ont la capacité de surveiller le trafic Internet entrant et sortant et disposent d’une fonctionnalité de serveur de commande et de contrôle.
Tous les pilotes malveillants signalés par Sophos à Microsoft ont été invalidés et révoqués à compter du 11 juillet 2023. Microsoft Defender 1.391.3822.0 ou plus récent est armé pour les détecter.
Si vous recherchez une carte mère Intel ou AMD, de bonnes affaires sont en cours… Lire d'avantage
À l'occasion du Black Friday, Gigabyte propose une page spéciale sur son site Internet, mettant… Lire d'avantage
Les joueurs espérant des cartes graphiques à prix réduit pendant les fêtes pourraient être déçus.… Lire d'avantage
Microsoft a publié KB5046714 pour les PC Windows 10 22H2. Il s’agit d’une mise à… Lire d'avantage
Positionné à 149,90 € et équipé de deux ventilateurs NF-A14x25r G2 à cadre rond le… Lire d'avantage
Positionné à 149,90 €, le NH-D15 G2 promet des performances Aircooling ultimes. A l'usage est-il… Lire d'avantage
Voir commentaires
Et la liste de ces driver est ...?
Allons, vous devez avoir honte de "balancer" un travail bâclé !
Et l'amabilité et le respect, tu connais ou il faut te faire une liste également?
lol ça sera quoi la prochaine info que vous aller nous Pondre encore et encore