Pilotes certifiés par Microsoft impliqués dans des attaques de ransomware

cyberaanval microsoft exchange

Microsoft va retirer plusieurs comptes de développeurs de matériel. En effet, il s’est avéré que des pilotes liés à ces comptes étaient impliqués dans des attaques de ransomware.

Le matériel et les logiciels portant un certificat d’un géant technologique comme Microsoft ne devraient plus faire hésiter l’utilisateur sur la qualité du produit. Il s’avère que le contrôle de la qualité n’est pas toujours à la hauteur. En effet, des pilotes portant le certificat du Windows Hardware Developer Program de Microsoft ont été utilisés dans des cyberattaques.   

Pilotes malveillants

« Nous avons été informés de cette activité par SentinelOne, Mandiant et Sophos le 19 octobre 2022 et avons ensuite mené une enquête sur cette activité. Cette enquête a révélé que plusieurs comptes de développeurs du Microsoft Partner Centre soumettaient des pilotes malveillants pour obtenir une signature Microsoft. Une nouvelle tentative de soumettre un pilote malveillant à la signature le 29 septembre 2022 a entraîné la suspension des comptes des fournisseurs début octobre », explique encore le géant technologique.

Avec la signature du programme Windows à la main, le code malveillant se retrouvera en quelques instants au sein des plate-formes de sécurité. En effet, pour obtenir le certificat, les développeurs doivent passer par plusieurs étapes : acheter un certificat EV, passer par un processus d’identification et soumettre des pilotes qui ont été vérifiés par Microsoft.

C’est la deuxième fois en peu de temps que nous apprenons que Microsoft ne prend pas la sécurité des pilotes au sérieux. Un certificat est censé fournir une garantie de sécurité, et si des pilotes malveillants peuvent se passer entre les mailles du filet de sécurité, les conséquences pourraient être désastreuses. Une autre enquête a révélé que pour son système d’exploitation, une liste noire de pilotes à bloquer est restée vide pendant des années.

lire aussi

Cyberattaques

La présence des pilotes certifiés malveillants entraîne des risques de cyberattaques. Les pilotes sont un outil d’attaque populaire des pirates informatiques car ils nécessitent souvent l’accès à un noyau du système d’exploitation pour relier votre PC à un périphérique distant. 

Les trois entreprises de cybersécurité qui ont découvert les problèmes ont vu les pilotes utilisés pour des attaques de ransomware, de SIM swapping et de smishing. Contre ces dernières pratiques, la Belgique veut mieux se protéger. A cet effet, deux millions d’euros ont été récemment alloués aux opérateurs télécoms pour améliorer leur sécurité.

newsletter

Abonnez-vous gratuitement à ITdaily !
Category(Required)
Consent(Required)
This field is for validation purposes and should be left unchanged.
retour à la maison