Alerte ! Plus de 100 pilotes Windows signés infestés par des malwares

Lors des récentes mises à jour de sécurité pour Windows et d’autres produits Microsoft, une alerte concernant l’utilisation malveillante de pilotes signés par Microsoft a été émise. Des logiciels malveillants ont été découverts dans plus de 100 pilotes Windows signés, exposant potentiellement des milliers d’utilisateurs à des risques sérieux.

Une découverte inquiétante par des chercheurs en sécurité

En février 2023, des chercheurs en sécurité de Sophos, Trend Micro et Cisco ont informé Microsoft de la présence de logiciels malveillants dans des pilotes signés. Ils ont découvert que des pilotes, certifiés par le programme de développement de matériel de Windows de Microsoft, étaient utilisés de manière malveillante lors d’activités post-exploitation. Les chercheurs ont identifié 133 pilotes différents, pour la plupart certifiés, provenant de plusieurs comptes développeurs et ont rapporté leurs découvertes à Microsoft. Selon Sophos, certains de ces pilotes signés remontent à avril 2021.

Des mesures prises par Microsoft

Microsoft a pris des mesures pour bloquer les pilotes malveillants et a fermé les comptes développeurs responsables. Les pilotes concernés ont été placés sur la liste de révocation de pilotes Windows Driver.STL. Cette liste empêche leur chargement sur les appareils Windows. Elle est régulièrement mise à jour via Windows Update. Microsoft souligne que cette liste n’est pas une partie intégrante de Windows et qu’elle ne peut être désactivée, supprimée ou manipulée.

Recommandations pour les administrateurs Windows

Il est recommandé aux administrateurs Windows de s’assurer que les dernières mises à jour de Windows sont installées et que les logiciels de sécurité tiers sont également à jour. Les administrateurs devraient également effectuer des analyses hors ligne sur leurs appareils pour détecter les pilotes malveillants installés avant le 2 mars 2023. Sophos a publié les empreintes numériques des pilotes malveillants sur GitHub.

Les autres services Microsoft non affectés

Selon les informations fournies par Microsoft, d’autres services de l’entreprise, comme Microsoft 365, Azure ou Xbox, ne sont pas affectés par ce problème.

Politique de Microsoft et origine des certificats

Microsoft avait introduit une politique dans la version 1607 de Windows 10 nécessitant une signature numérique valide pour les pilotes du noyau. Les systèmes Windows avec le démarrage sécurisé activé ne chargent que ces pilotes et refusent de charger les pilotes non numériquement signés. Sophos note que plusieurs des certificats numériques semblent avoir leur origine en Chine, sur la base des noms de sociétés associés aux certificats.

Les deux types principaux de pilotes malveillants découverts

Les chercheurs de Sophos ont découvert deux principaux types de pilotes. Certains appartenaient à la catégorie “tueur de protection de point final”, similaires aux pilotes signés malveillants découverts en 2022. D’autres avaient des capacités de type rootkit et étaient conçus pour fonctionner discrètement en arrière-plan.

Les conséquences de l’installation de ces pilotes

Ces pilotes ne pouvaient être installés que par des comptes dotés de droits élevés. Les pilotes rootkit disposaient de capacités de surveillance du réseau grâce à la plateforme de filtrage Windows. Cela permettait à l’acteur malveillant de surveiller le trafic Internet entrant et sortant. Selon l’analyse de Sophos, certains des rootkits appartiennent à des familles de rootkits Windows connues et comprennent de nombreuses fonctionnalités de serveur de commande et de contrôle, offrant à l’acteur malveillant encore plus de contrôle sur les appareils infectés.

La réaction de Microsoft face à la menace

À compter du 11 juillet 2023, tous les pilotes malveillants signalés à Microsoft par Sophos ont été invalidés et révoqués par Microsoft. Les versions 1.391.3822.0 et ultérieures de l’outil de sécurité intégré de Microsoft, Microsoft Defender, détectent également ces pilotes malveillants.