Des attaquants ont détourné un vieux driver signé il y a près de vingt ans, toujours accepté par Windows malgré un certificat expiré et révoqué, pour killer les solutions de sécurité et préparer le terrain à une attaque de ransomware.
Début février, les équipes d’Huntress ont indiqué avoir contrecarré une intrusion après avoir repéré une connexion anormale au VPN de SonicWall sur un environnement client. Le compte piraté n’était pas protégé par MFA, et l’accès a aussitôt servi à lancer une opération de reconnaissance interne méthodique. Très vite, un exécutable grimé en utilitaire de mise à jour de firmware a été déployé sur un poste. Derrière cette mascarade, le binaire s’appuyait sur un vieux driver noyau dont le certificat avait expiré depuis quinze ans, toujours accepté par Windows, et que les attaquants ont détourné pour neutraliser les protections EDR et antivirus sans autre forme de procès.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un driver signé, révoqué, mais toujours valide pour Windows
Le cœur du dispositif repose sur EnPortv.sys, un ancien driver lié à l’outil d’analyse forensique EnCase. Le pilote est signé avec un certificat émis en 2006, expiré en janvier 2010 et officiellement révoqué depuis. Pourtant, Windows peut encore le charger.
La raison tient au fonctionnement de la politique de signature des pilotes, Driver Signature Enforcement (DSE). Au moment de charger un driver, Windows vérifie en effet que la signature est valide et qu’elle remonte à une autorité de certification reconnue. En revanche, le noyau ne contrôle pas si le certificat a été révoqué après coup. En clair, si le pilote a été signé quand le certificat était encore valable, et qu’un horodatage en atteste, Windows continue de le considérer comme légitime aujourd’hui, même si ce certificat a depuis été révoqué.
Dans ce cas précis, le driver bénéficie aussi d’une exception de compatibilité introduite avec Windows 10 version 1607. Microsoft impose désormais un circuit de signature plus strict pour les nouveaux pilotes, mais certains drivers plus anciens, signés avant le 29 juillet 2015 et encore associés à une autorité acceptée, sont encore chargeables.
Une fois le pilote chargé, l’utilitaire malveillant qui l’a déployé peut mettre fin à des processus depuis le noyau, un mode opératoire qui permet de tuer des services que Windows protège d’ordinaire contre un arrêt forcé, comme les agents EDR et les composants antivirus, la suppression tournant ensuite en boucle toutes les secondes pour empêcher toute relance automatique des éléments neutralisés.
Dans l’incident décrit par Huntress, cette routine cible 59 processus associés au principales solutions de sécurité du marché, parmi lesquelles Microsoft Defender, Bitdefender, CrowdStrike, McAfee, Trend Micro, ESET, mais également SentinelOne, Sophos, Kaspersky ou encore Elastic. L’attaque, qui s’apparentait a priori à un déploiement de ransomware, a finalement été stoppée avant la phase finale.
Limiter l’impact d’une attaque BYOVD
Ce que décrit Huntress relève du Bring Your Own Vulnerable Driver, ou BYOVD, l’idée consistant à détourner un pilote légitime mais vulnérable pour exécuter des actions malveillantes avec les privilèges du noyau (kernel mode).
Pour se prémunir contre ce type d’attaque, il faut déjà sécuriser l’accès initial. L’authentification multifactorielle s’impose sur tous les services exposés, et en priorité sur les accès à distance, VPN compris, afin qu’un identifiant compromis n’ouvre pas la porte sur tout le réseau.
Surveillez aussi régulièrement les journaux d’authentification pour repérer les tentatives refusées juste avant une connexion réussie, les adresses IP inconnues, les changements de méthode de connexion, et plus largement tout ce qui ressemble à un compte utilisé de manière inhabituelle.
Il faut ensuite limiter ce que Windows autorise à charger côté pilotes, donc activer HVCI pour bénéficier du blocage automatique des drivers vulnérables référencés par Microsoft, durcir la politique de contrôle applicatif via WDAC afin de restreindre les drivers et binaires autorisés, et configurer les règles ASR de Microsoft Defender, notamment celle qui bloque l’abus de drivers signés exploités.
Source : Huntress
