Check Point met en garde contre les pilotes s’exécutant en mode noyau, c’est-à-dire directement au niveau noyau système avec les droits qui vont avec : niveau admin ! Un pilote malveillant ou ayant des failles peut donc affaiblir la sécurité système.
Check Point donne l’exemple du pilote Truesight.sys. Les hackers ont généré plus de 25 000 variantes. “Ils ont soigneusement altéré certains segments précis du pilote tout en conservant la validité de la signature numérique, de sorte que si l’une des variantes était détectée, les autres demeureraient invisibles“, précise l’éditeur.
“Cette version conservait l’intégralité du code vulnérable et offrait aux attaquants une opportunité inédite d’exploiter la faille tout en esquivant les dispositifs de détection modernes, poursuit Check Point. Paradoxalement, le système de blocage des pilotes vulnérables mis en place par Microsoft, conçu pour empêcher le chargement de pilotes malveillants connus, n’a pas repéré cette version spécifique. Les systèmes ont donc été exposés à de potentielles attaques dévastatrices. Les cybercriminels ont délibérément opté pour la version 2.0.2, dont le code vulnérable leur permettait d’échapper aux méthodes de détection standards, principalement focalisées sur les versions plus récentes. ”
Il est important de bien gérer les pilotes et les mettre à jour. Et il faut que les systèmes interdisent purement et simplement une exécution au niveau noyau.
