Windows 11

Windows, Microsoft révoque des dizaines de pilotes signés et malveillants

Plus de 100 drivers sont désormais interdits

Windows est victime d’une centaine de pilotes certifiés et malveillants. Le Patch Tuesday du mois de juillet apporte des solutions mais cette situation est inquiétante.

Les chercheurs en sécurité de chez Sophos ont informé Microsoft de la présence de logiciels malveillants dans des pilotes signés en février 2023. Ils ont découverts que des pilotes « certifiés par le programme Windows Hardware Developer Program du géant étaient utilisés de manière malveillante dans des activités de post-exploitation ».

L’affaire ne concerne pas quelques pilotes mais un total de 133. Microsoft a rapidement pris des mesures en les bloquants et en fermant les comptes des développeurs responsables. Ces pilotes ont été placés sur une liste de révocation Windows Driver.STL. Elle est capitale puisque son rôle est d’interdire leur chargement sur les appareils Windows. Elle est mise à jour régulièrement via le service Windows Update. Microsoft ajoute que cette liste ne peut pas être désactivée, supprimée ou manipulée.

Windows 11, Microsoft Defender v1.391.3822.0 est nécessaire

Les administrateurs Windows doivent s’assurer que les dernières mises à jour sont installées et que les logiciels de sécurité tiers sont également à jour. Il est également demandé de faire des analyses hors connexion afin de détecter les pilotes malveillants installés avant le 2 mars 2023. A noter que les autres services de Microsoft comme Microsoft 365, Azure ou Xbox, ne sont pas concernés par ce problème.

Sophos ajoute que plusieurs des certificats numériques semblent avoir leur origine en Chine. L’analyse montre qu’il y a deux types de pilotes concernés. Certains entrent dans la catégorie des « Endpoint protection killer» similaire aux drivers signés de manière malveillante découverts en 2022. D’autres sont de type rootkit et sont élaborés pour fonctionner silencieusement en arrière-plan.

Sophos ajoute

Parmi les pilotes « endpoint protection killer », 68 avaient été signés par Microsoft et 13 par des certificats appartenant à d’autres sociétés.

Parmi les pilotes de rootkit, 32 d’entre eux avaient été signés par Microsoft, 4 avaient été signés par d’autres sociétés et 16 étaient des variantes non signées de l’un des quatre pilotes signés.

Par contre tout ce petit monde ne peut pas être installé sans un compte disposant de droits élevés. Les drivers de type rootkit ont la capacité de surveiller le trafic Internet entrant et sortant et disposent d’une fonctionnalité de serveur de commande et de contrôle.

Tous les pilotes malveillants signalés par Sophos à Microsoft ont été invalidés et révoqués à compter du 11 juillet 2023. Microsoft Defender 1.391.3822.0 ou plus récent est armé pour les détecter.

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Voir commentaires

Partager
Publié par
Jérôme Gianoli

Article récent

WigiDash de G.Skill, un écran USB tactile de 7 pouces indispensable ?

G.Skill tente de se distinguer sur le marché des périphériques en lançant le WigiDash, un… Lire d'avantage

23/12/2024

Test WigiDash de G.Skill

G.Skill a étoffé son catalogue produits avec l’annonce du WigiDash. Il s’agit d’un périphérique USB… Lire d'avantage

23/12/2024

Ventilateur UNI FAN TL, Lian li propose du sans fil 2,4 GHz

Lian Li dévoile sa gamme de ventilateurs UNI FAN TL Wireless. La technologie 2,4 GHz… Lire d'avantage

20/12/2024

Intel abandonne le projet x86S et forme un partenariat avec AMD

Intel abandonne son initiative x86S, un projet visant à rationaliser l'architecture x86 en supprimant les… Lire d'avantage

20/12/2024

L’Arc B570 d’Intel : un chanceux a déjà reçu sa carte

Un chanceux a reçu une carte graphique Arc B570 d'Intel. La carte en question est… Lire d'avantage

20/12/2024

Wildcat Lake : s’agit-il de la prochaine génération de processeurs d’entrée de gamme d’Intel ?

Intel semble prêt à renouveler son offre d’entrée de gamme avec une nouvelle série de… Lire d'avantage

20/12/2024