Windows est victime d’une centaine de pilotes certifiés et malveillants. Le Patch Tuesday du mois de juillet apporte des solutions mais cette situation est inquiétante.
Les chercheurs en sécurité de chez Sophos ont informé Microsoft de la présence de logiciels malveillants dans des pilotes signés en février 2023. Ils ont découverts que des pilotes « certifiés par le programme Windows Hardware Developer Program du géant étaient utilisés de manière malveillante dans des activités de post-exploitation ».
L’affaire ne concerne pas quelques pilotes mais un total de 133. Microsoft a rapidement pris des mesures en les bloquants et en fermant les comptes des développeurs responsables. Ces pilotes ont été placés sur une liste de révocation Windows Driver.STL. Elle est capitale puisque son rôle est d’interdire leur chargement sur les appareils Windows. Elle est mise à jour régulièrement via le service Windows Update. Microsoft ajoute que cette liste ne peut pas être désactivée, supprimée ou manipulée.
Les administrateurs Windows doivent s’assurer que les dernières mises à jour sont installées et que les logiciels de sécurité tiers sont également à jour. Il est également demandé de faire des analyses hors connexion afin de détecter les pilotes malveillants installés avant le 2 mars 2023. A noter que les autres services de Microsoft comme Microsoft 365, Azure ou Xbox, ne sont pas concernés par ce problème.
Sophos ajoute que plusieurs des certificats numériques semblent avoir leur origine en Chine. L’analyse montre qu’il y a deux types de pilotes concernés. Certains entrent dans la catégorie des « Endpoint protection killer» similaire aux drivers signés de manière malveillante découverts en 2022. D’autres sont de type rootkit et sont élaborés pour fonctionner silencieusement en arrière-plan.
Sophos ajoute
Parmi les pilotes « endpoint protection killer », 68 avaient été signés par Microsoft et 13 par des certificats appartenant à d’autres sociétés.
Parmi les pilotes de rootkit, 32 d’entre eux avaient été signés par Microsoft, 4 avaient été signés par d’autres sociétés et 16 étaient des variantes non signées de l’un des quatre pilotes signés.
Par contre tout ce petit monde ne peut pas être installé sans un compte disposant de droits élevés. Les drivers de type rootkit ont la capacité de surveiller le trafic Internet entrant et sortant et disposent d’une fonctionnalité de serveur de commande et de contrôle.
Tous les pilotes malveillants signalés par Sophos à Microsoft ont été invalidés et révoqués à compter du 11 juillet 2023. Microsoft Defender 1.391.3822.0 ou plus récent est armé pour les détecter.
G.Skill tente de se distinguer sur le marché des périphériques en lançant le WigiDash, un… Lire d'avantage
G.Skill a étoffé son catalogue produits avec l’annonce du WigiDash. Il s’agit d’un périphérique USB… Lire d'avantage
Lian Li dévoile sa gamme de ventilateurs UNI FAN TL Wireless. La technologie 2,4 GHz… Lire d'avantage
Intel abandonne son initiative x86S, un projet visant à rationaliser l'architecture x86 en supprimant les… Lire d'avantage
Un chanceux a reçu une carte graphique Arc B570 d'Intel. La carte en question est… Lire d'avantage
Intel semble prêt à renouveler son offre d’entrée de gamme avec une nouvelle série de… Lire d'avantage
Voir commentaires
Et la liste de ces driver est ...?
Allons, vous devez avoir honte de "balancer" un travail bâclé !
Et l'amabilité et le respect, tu connais ou il faut te faire une liste également?
lol ça sera quoi la prochaine info que vous aller nous Pondre encore et encore