Pilier Microsoft détourné pour des attaques par ransomware

Un pilote noyau signé par Microsoft a été détourné par des gangs de ransomware pour neutraliser les logiciels de sécurité avant de chiffrer les systèmes d'entreprise, selon un nouveau rapport. Cette tactique, appelée Bring Your Own Vulnerable Driver (BYOVD), exploite la signature numérique de Microsoft pour contourner les défenses et élever les privilèges sur les réseaux ciblés.
Déroulement de l'attaque
Des chercheurs en sécurité ont observé la famille de ransomware « GodDamn » exploitant un pilote légitime mais vulnérable, préalablement signé par Microsoft. Détourné à des fins malveillantes, ce pilote sert à terminer les processus de protection des points de terminaison et à désinstaller les agents de sécurité dans les environnements Windows. Une fois les défenses neutralisées, le ransomware procède au chiffrement des fichiers et à l'exfiltration des données, aggravant l'impact de chaque intrusion.
L'abus repose sur le processus de validation de Microsoft : les pilotes signés par l'éditeur sont considérés comme fiables par défaut dans Windows, ce qui en fait des outils idéaux pour les attaquants cherchant à échapper à la détection. Bien que Microsoft ait révoqué la signature du pilote après avoir été alerté, l'incident révèle le risque persistant posé par les composants signés mais vulnérables dans la chaîne d'approvisionnement logicielle.
Conséquences pour la défense des entreprises
Cette évolution souligne la sophistication croissante des opérations de ransomware et leur dépendance aux composants signés pour contourner les contrôles de sécurité. Les organisations déjà confrontées aux menaces BYOVD doivent désormais faire face à une complexité supplémentaire, les attaquants exploitant des identités de confiance pour se déplacer latéralement dans les réseaux. La confiance accordée aux signatures de pilotes pour l'intégrité des systèmes est mise à l'épreuve, incitant à renforcer la validation et la surveillance des codes signés.
Pourquoi c'est important
Le détournement d'un pilote signé Microsoft illustre comment les mécanismes de confiance des systèmes d'exploitation peuvent être inversés par les attaquants. Pour les défenseurs, cela signifie que la sécurité traditionnelle des points de terminaison peut ne pas suffire ; une surveillance continue du comportement des pilotes et une réponse rapide à l'abus de composants signés deviennent essentielles. Cet épisode rappelle également que l'intégrité de la chaîne d'approvisionnement – même pour les logiciels signés – exige une vigilance constante pour prévenir les exploitations à grande échelle.
Source : Dark Reading. Synthèse éditoriale assistée par IA — TechnoExpress.

