Windows

Windows, des milliers de pilotes signés et malveillants existent en raison d’une date

Microsoft bloque plusieurs certificats

Microsoft a banni plus de 100 pilotes Windows la semaine dernière. Cette campagne « coup de poing » a eu lieu suite à la découverte d’acteurs « malveillants » dans le programme Windows Hardware Developer. Leur objectif a été de développer des pilotes signés et s’accompagnant de logiciels malveillants.

Windows, Microsoft révoque des dizaines de pilotes signés et malveillants

Les jours suivant des chercheurs en sécurité de Cisco Talos Intelligence ont mis en évidence une autre menace toujours liée aux pilotes Windows.

Microsoft a mis en place des sécurités dans plusieurs versions de son système d’exploitation Windows pour empêcher justement le chargement de pilotes malveillants ou problématiques. Windows Vista nécessite pour l’exécution de pilotes en mode noyau une signature numérique au travers d’un certificat d’une autorité de certification vérifiée.

Des changements ont été apportés lors de la publication de Windows 10 v1607. Ils ont introduit une mise à jour de la stratégie de signature des pilotes. La firme a exigé que les développeurs soumettent leurs pilotes en mode noyau au portail des développeurs de Microsoft pour les faire signer . Ce changement a été conçu pour limiter « les acteurs malveillants » tout en s’assurant que les drivers répondent aux exigences et aux normes de sécurité.

Microsoft a créé cependant trois exceptions à cette stratégie. Elle ne s’applique pas

  • Aux PCs mis à niveau à partir d’une version antérieure vers Windows 10 v1607,
  • Et aux PC ayant un Démarrage sécurisé Réglez sur Off.

La troisième exception permet à ces drivers d’être signés avec un « certificat d’entité finale délivré avant le 29 juillet 2015 qui est lié à une autorité de certification croisée prise en charge ».

Windows et les drivers signés

Selon Cisco, cette troisième exception est problématique et source d’infection.  Des acteurs malveillants l’exploite pour déployer des pilotes malveillants sans les soumettre à Microsoft. La faille a permis de créer « des milliers de pilotes malveillants et signés » en utilisant des outils qui falsifient l’horodatage de signature.

Dans son article, Cisco recommande de bloquer les certificats :

  • Beijing JoinHope Image Technology Ltd.
  • Shenzhen Luyoudashi Technology Co., Ltd.
  • Jiangsu innovation safety assessment Co., Ltd.
  • Baoji zhihengtaiye co.,ltd
  • Zhuhai liancheng Technology Co., Ltd.
  • Fuqing Yuntan Network Tech Co.,Ltd.
  • Beijing Chunbai Technology Development Co., Ltd
  • 绍兴易游网络科技有限公司
  • 善君 韦
  • NHN USA Inc.

Cisco note que Microsoft a déjà bloqué ces certificats.

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Voir commentaires

Partager
Publié par
Jérôme Gianoli

Article récent

Ventilateur UNI FAN TL, Lian li propose du sans fil 2,4 GHz

Lian Li dévoile sa gamme de ventilateurs UNI FAN TL Wireless. La technologie 2,4 GHz… Lire d'avantage

20/12/2024

Intel abandonne le projet x86S et forme un partenariat avec AMD

Intel abandonne son initiative x86S, un projet visant à rationaliser l'architecture x86 en supprimant les… Lire d'avantage

20/12/2024

L’Arc B570 d’Intel : un chanceux a déjà reçu sa carte

Un chanceux a reçu une carte graphique Arc B570 d'Intel. La carte en question est… Lire d'avantage

20/12/2024

Wildcat Lake : s’agit-il de la prochaine génération de processeurs d’entrée de gamme d’Intel ?

Intel semble prêt à renouveler son offre d’entrée de gamme avec une nouvelle série de… Lire d'avantage

20/12/2024

Core Ultra Arrow Lake-S et le microcode 0x114, les premiers tests confirment-ils une envolée des performances ?

Asus est le premier constructeur de carte mère à déployer le microcode 0x114 d’Intel censé… Lire d'avantage

20/12/2024

Le Ryzen AI 7 350M et son iGPU Radeon 860M dévoilent leurs performances

Les prochains APU Ryzen AI Kraken Point d’AMD se positionnent comme des solutions accessibles pour… Lire d'avantage

20/12/2024