Microsoft admet avoir signé un driver qui était en réalité un rootkit

28 juin 2021 à 17h20
25
Windows 10 Clubic © Clubic.com
© Clubic

Un analyste de G Data a découvert qu'un driver, nommé « Netfilter », était en réalité un rootkit.

Ce driver avait été validé par Microsoft et semblait être un faux positif avant que des recherches concluent qu'il s'agissait d'un malware .

Un driver malveillant signé par Microsoft

Depuis Windows Vista, chaque driver doit passer par un processus de vérification de la part de Microsoft pour pouvoir être installé sur un PC. À la suite de celui-ci, l'entreprise le « signe », pour valider sa conformité. Cependant, il semblerait que dans le cas de Netfilter, tout ne se soit pas passé comme prévu.

Le driver semblait légitime à première vue, d'autant plus qu'il avait été signé par Microsoft, mais son comportement a fini par attirer l'attention de Karsten Hahn qui a été rejoint par d'autres spécialistes. Ils ont conclu q'il s'agissait d'un malware en le voyant communiquer avec des serveurs de commande et contrôle en Chine, sans pour autant fournir aucune fonctionnalité légitime.

Le domaine du gaming visé par le malware

Microsoft a indiqué avoir été prévenue du problème. L'entreprise a déclaré ne pas avoir constaté que son infrastructure avait été compromise, ce qui signifie que les créateurs du driver malveillant sont passés par les canaux officiels et ont réussi à obtenir une certification de façon légitime.

Elle a ajouté que le virus ne représentait pas une grande menace, visant en particulier le secteur du gaming en Chine sans s'occuper des entreprises. « L'objectif de l'acteur est d'utiliser le driver pour falsifier sa géolocalisation afin de tromper le système et de jouer de n'importe où. Le logiciel malveillant lui permet de prendre l'avantage dans les jeux et éventuellement d'exploiter d'autres joueurs en compromettant leurs comptes à l'aide d'outils courants comme les keyloggers », indique Microsoft dans son article de blog.

Cependant, il demeure la question de savoir comment une tierce partie malveillante a réussi à obtenir une signature légitime sur un driver. La firme de Redmond ne s'est pas plus épanchée sur le sujet, mais a indiqué mettre en place de nouveaux processus concernant la validation et la signature.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
25
14
Voir tous les messages sur le forum

Lectures liées

Derrière une jeune femme, Marcella Flores, se cachaient des hackers affiliés à l'Iran
Bon plan antivirus : protégez votre vie numérique avec cette offre de Bitdefender à prix jamais vu !
Pourquoi Apple est-elle impuissante face à des logiciels tels que Pegasus ?
Cyberattaque : la France est dans le viseur de hackers chinois
Profitez des offres VPN à prix bradé du moment
Sauvegarde et anticipation : les clés pour se protéger des ransomwares cet été (Vidéo)
Projet Pegasus : pour Edward Snowden, il faut bannir tous les logiciels d'espionnage
Vous pouvez vérifier si votre mobile a été infecté par le logiciel Pegasus, voici comment !
Projet Pegasus : un logiciel espion israélien
Microsoft en cours d'acquisition de RiskIQ, spécialiste de la cyber-sécurité pour $500 millions
Haut de page