pilotes

40 Pilotes Permettaient aux Pirates d’installer des portes dérobées

Une équipe de chercheurs en sécurité a découvert des vulnérabilités dans plus de 40 pilotes de 20 différentes marques qui permet aux pirates d’obtenir plus de permissions dans le système et cacher le malware pour rester indétectable.

Pour les hackers sophistiqués, maintenir la persistance après avoir compromis la système est l’une des tâches les plus importantes.

Les drivers agissent entre le hardware et le système d’exploitation et dans la plupart des cas ils ont un accès privilégié au kernel du système d’exploitation, une faille dans ce composant peut causer une exécution de code au niveau du kernel.

Cette élévation de privilège peut permettre à un pirate de passer du mode utilisateur (3ème anneau) au mode kernel du système d’exploitation (anneau 0), comme montré dans l’image ci-dessous. Cela leur permet d’installer une porte dérobée persistante dans le système que l’utilisateur ne remarquera surement pas.

pilotes windows driver hacking

Découvert par les chercheurs de la firme Eclypsium, certaines nouvelles vulnérabilités permettent une lecture/écriture arbitraire de la mémoire du kernel, registres spécifiques aux modèles, les registres de contrôle, les registres de débogage et la mémoire physique.

“Toutes ces vulnérabilités permettent au pilote d’agir comme un proxy pour avoir un accès privilégié aux ressources du hardware, ce qui pourrait permettre aux pirates de transformer les outils utilisés pour gérer le système en menaces qui peut élever les privilèges et persiste sur l’hôte,” ont expliqué les chercheurs dans leur rapport intitulé ‘Screwed Drivers.’

“L’accès au kernel ne donne pas seulement au pirate un accès plus privilégié au système d’exploitation, il donne aussi un accès aux interfaces du hardware et du firmware avec qui requiert des privilèges encore plus élevés comme le firmware du BIOS.”

Étant donné que les logiciels malveillants exécutés dans l’espace utilisateur peuvent simplement rechercher un pilote vulnérable sur la machine de la victime afin de le compromettre, les pirates n’ont pas à installer leur propre pilote vulnérable, une installation qui nécessite des privilèges d’administrateur.

Tout les pilotes vulnérables sont listés ci-dessous et ont été certifiés par Microsoft.

  • American Megatrends International (AMI)
  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

La liste inclut trois autres hardware que les chercheurs n’ont pas encore révélé car ils sont plus compliqués à patcher et à déployer.”

“Quelques pilotes vulnérables interagissent avec les cartes graphiques, les cartes réseaux, les disques durs et d’autres appareils,” ont expliqué les chercheurs. “Les malwares persistants à ‘intérieur des appareils peuvent lire, écrire, ou rediriger les données stockées, affichées, ou envoyées sur le réseau. Pareillement, n’importe quels composants pourraient être désactivé lors d’une attaque de déni de service ou de ransomware.”

Les failles de pilotes d’un appareil peuvent être plus dangereuses que les autres vulnérabilités d’application car elles permettent au pirate d’accéder aux anneaux négatifs du firmware qui se trouvent derrière le système d’exploitation et maintenir la persistance sur l’appareil, même si le système d’exploitation est complètement réinstallé.

Comment protéger vos pilotes?

Les chercheurs ont signalé ces vulnérabilités aux compagnies concernées. Intel et Huawei ont déjà distribué des patchs et publié un rapport de sécurité.

En plus de cela, les chercheurs ont aussi promis de partager un script sur GitHub qui aidera les utilisateurs à trouver les vers de pilotes installés sur leurs systèmes, ainsi que du code proof-of-concept, des démonstrations vidéos et des liens de pilotes vulnérables et d’outils.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de