Microsoft admet avoir signé un driver qui était en réalité un rootkit

28 juin 2021 à 17h20
25
Windows 10 Clubic © Clubic.com
© Clubic

Un analyste de G Data a découvert qu'un driver, nommé « Netfilter », était en réalité un rootkit.

Ce driver avait été validé par Microsoft et semblait être un faux positif avant que des recherches concluent qu'il s'agissait d'un malware .

Un driver malveillant signé par Microsoft

Depuis Windows Vista, chaque driver doit passer par un processus de vérification de la part de Microsoft pour pouvoir être installé sur un PC. À la suite de celui-ci, l'entreprise le « signe », pour valider sa conformité. Cependant, il semblerait que dans le cas de Netfilter, tout ne se soit pas passé comme prévu.

Le driver semblait légitime à première vue, d'autant plus qu'il avait été signé par Microsoft, mais son comportement a fini par attirer l'attention de Karsten Hahn qui a été rejoint par d'autres spécialistes. Ils ont conclu q'il s'agissait d'un malware en le voyant communiquer avec des serveurs de commande et contrôle en Chine, sans pour autant fournir aucune fonctionnalité légitime.

Le domaine du gaming visé par le malware

Microsoft a indiqué avoir été prévenue du problème. L'entreprise a déclaré ne pas avoir constaté que son infrastructure avait été compromise, ce qui signifie que les créateurs du driver malveillant sont passés par les canaux officiels et ont réussi à obtenir une certification de façon légitime.

Elle a ajouté que le virus ne représentait pas une grande menace, visant en particulier le secteur du gaming en Chine sans s'occuper des entreprises. « L'objectif de l'acteur est d'utiliser le driver pour falsifier sa géolocalisation afin de tromper le système et de jouer de n'importe où. Le logiciel malveillant lui permet de prendre l'avantage dans les jeux et éventuellement d'exploiter d'autres joueurs en compromettant leurs comptes à l'aide d'outils courants comme les keyloggers », indique Microsoft dans son article de blog.

Cependant, il demeure la question de savoir comment une tierce partie malveillante a réussi à obtenir une signature légitime sur un driver. La firme de Redmond ne s'est pas plus épanchée sur le sujet, mais a indiqué mettre en place de nouveaux processus concernant la validation et la signature.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
25
14
SPH
C’est grave. Et ça fait tâche pour Microsoft…
kamellion
ce n’est pas moi qui va les croire sur parole,en sachant ce qu’il ont fait par le passé :<br /> politique hostile envers les communautés des logiciels libres/opensource<br /> collaboration avec la NSA sur la surveillance d’Internet<br /> collaboration avec le régime de Ben Ali<br /> censure en Chine<br /> liste noire de journalistes<br /> blocage de courriels
paulposition
Un seul mot: Bravo! Pour une firme qui se targue de vouloir tout sécuriser, c’est une réussite
benben99
Probablement que Crosoft a signé le driver à la demande du gouvernement américain pour espionner.
Krypton_80
Pas forcément à la demande du gouvernement américain, mais contre quelques billets verts, très certainement.
bmustang
c’est impardonnable comme erreur pour un groupe comme microsoft !? Et ça vient dire qu’il n’y avait pas de risque ? Mais de qui microsoft se moque t’il à dire des âneries pareilles ?
bmustang
Quand on voit que microsoft n’est pas foutu d’appliquer un process validé, pas étonnant qu’il y ait autant de failles corrigés dans windows et le reste des outils microsoft ! Étonnant ces tocards !
caprikorn
Chez Microsoft la signature est accordée comment ? ils scannent le driver, comme nous on peut scanner un fichier, pour détecter si il est sans risque c’est ça ?
mcbenny
Oui, c’est une erreur qui ne devrait pas se produire mais crier à l’incompétence systématique me semble un peu rapide, surtout de la part de gens aussi qualifiés que les lecteur/commenteurs de Clubic.<br /> Combien de drivers signés par jour depuis des décennies ? Combien d’erreurs ?<br /> Et je ne porte pas spécialement MS dans mon coeur, j’apprécie juste l’impartialité.
benben99
mcbenny:<br /> gens aussi qualifiés que les lecteur/commenteurs de Clubic.<br /> Ah oui, parce que tu penses qu’ils n’y a pas de pro de l’informatique et de la sécurité parmi les lecteurs de Clubic?
clockover
Avant de chercher la malveillance, le pot de vin, l’espionnage, il faut déjà juste prendre en compte le plus probable la «&nbsp;bêtise&nbsp;».
clockover
Vu les commentaires non pas vraiment
Voigt-Kampf
La France n’aurait pas récemment permis de gérer les données santé à Crosoft ?
clockover
Il y a rétropédalage à ce sujet.<br /> Mais oui c’est aberrant
ares-team
Il y a que moi qui fait le rapprochement entre ce malware qui vise le Domaine du Gaming, et la sortie du Windows 11 concu pour le Gaming d’après Microsoft ?
Krypton_80
clockover:<br /> il faut déjà juste prendre en compte le plus probable la « bêtise ».<br /> C’est sûr que ça fait tout de suite davantage pro de la sécurité en informatique comme commentaire. On pourrait aussi bien dire «&nbsp;l’ignorance&nbsp;» ou «&nbsp;l’incompétence&nbsp;» à ce moment là. Mais chez Microsoft, c’est peu probable.
clockover
Chez Microsoft la bêtise/l’incompétence/la fatigue/la paresse/etc… n’existe pas d’accord …<br /> Des éléments tellement plus probable qu’une malveillance…<br /> Certains vivent vraiment dans un monde alternatif <br /> Oui en effet quelques billets verts pour placer un rootkit ça fait bien sans même avoir l’histoire en main
Krypton_80
clockover:<br /> Des éléments tellement plus probable qu’une malveillance…<br /> clockover:<br /> ça fait bien sans même avoir l’histoire en main<br /> Tout est dit !
clockover
Exact sauf que bon prêter la bêtise avant la malveillance c’est un principe de base car ça reste la possible le plus probable (rasoir d’ockham toussa).<br /> Je rappelle juste qu’il y a d’autres choses plus probable que la malveillance contrairement à vos dire qui sont dans la certitude de la malveillance.<br /> Je me cite:<br /> «&nbsp;Avant de chercher la malveillance, le pot de vin, l’espionnage, il faut déjà juste prendre en compte le plus probable la « bêtise ».&nbsp;»<br /> Je vous cite:<br /> «&nbsp;Pas forcément à la demande du gouvernement américain, mais contre quelques billets verts, très certainement.&nbsp;»
Krypton_80
clockover:<br /> Je rappelle juste qu’il y a d’autres choses plus probable que la malveillance contrairement à vos dire qui sont dans la certitude de la malveillance.<br /> Exact sauf que spéculer avec des choses supposées être plus probables que de la malveillance, contre de la malveillance qui est très fréquente dans le monde de l’informatique où toutes les opportunités sont bonnes à saisir, c’est juste une question de bon sens, même si «&nbsp;certitude&nbsp;» est un peu exagéré je l’admets.
mcbenny
Il y en a certainement, et j’espère en faire partie dans mon domaine. Mais justement, à voir le nombre régulièrement important de commentaires péremptoires, dédaigneux, supérieurs etc., je me permettais de lancer une pique.<br /> Une fâcheuse habitude de ma part, j’en conviens.
jardinero
Une erreur est toujours possible<br /> Microsoft ne fait pas toujours ce qu’il veut
clockover
Donc vous affirmez que la malveillance plus présente que la bêtise dans le monde de l’informatique ?<br /> Ce n’est pas mon impression personnelle.
Krypton_80
clockover:<br /> Donc vous affirmez que la malveillance plus présente que la bêtise dans le monde de l’informatique ?<br /> En même temps, la malveillance n’est-elle pas une forme de bêtise ?<br /> Tout dépend de quelle sorte de «&nbsp;bêtise&nbsp;» on parle, car c’est un terme assez vague. Je ne dis pas que c’est à l’origine de la direction de l’entreprise, mais si c’est une erreur involontaire, pas sûr que ce soit plus rassurant pour les clients de Microsoft, car il y en aura probablement d’autres, pas toujours détectées.<br /> Il se trouve que j’utilise G Data comme antivirus, peut-être est-ce pour cette raison que le terme «&nbsp;bêtise&nbsp;» me laisse un peu dubitatif. Mais au bénéfice du doute, on va dire que c’est ça, histoire de ne pas paraître trop «&nbsp;supérieur&nbsp;» !
Axel-Swailli
C’est marrant mais dès que Microsoft valide un malware par inadvertance ou que Google valide une apps vérolée il y a une foultitude de personne qui crie au scandale.<br /> Que celui qui n’a jamais commis d’erreur me jette le premier virus <br /> En attendant il faut voir, pour juger de l’incompétance d’une firme ou pas, le nombre incalculable de drivers, logiciels, applis, etc à vérifier et valider et sur le nombre quand 1 passe au travers c’est une infamie il faut peut être un peu relativiser dans cette position je crois bien que Google est bien plus «&nbsp;passoire&nbsp;» que Microsoft ?<br /> Toujours à casser du sucre sur le dos de Microsoft mais qui détient la plus grande part de marché sur les différents supports d’OS ? De part cette position dominante normale qu’ils soient en priorité visés et en rapport aux tentatives d’attaques sur Microsoft on peut dire qu’ils s’en sortent très bien
Krypton_80
Axel-Swailli:<br /> je crois bien que Google est bien plus « passoire » que Microsoft ?<br /> Ah bon? «&nbsp;En 2017, l’équipe Project Zero de Google a découvert de graves failles de sécurité causées par l’exécution spéculative, une technique utilisée par la plupart des processeurs (CPU) modernes pour optimiser les performances. Des chercheurs indépendants ont découvert et nommé séparément ces vulnérabilités Spectre et Meltdown.&nbsp;»
Axel-Swailli
Ah oui ! Et combien d’applis mises en ligne sur le google-play qui étaient vérolées ? Il y a eu un sacré ménage de fait quand Google s’est apperçu qu’un nombre important d’applis avaient été validé et mise sur le Google-Play alors qu’elles étaient vérolées donc ce n’est pas l’apanage de Microsoft de faire des erreurs surtout que de mémoire ça doit être que la seconde fois que MS valide un drivers ou un logiciel contenant un malware donc insignifiant par rapport à Google et ses milliers d’applis vérolées
Krypton_80
Axel-Swailli:<br /> donc insignifiant par rapport à Google et ses milliers d’applis vérolées<br /> Ah oui, on se demande bien pourquoi il y a régulièrement des MàJ de sécurité pour Windows alors. De toutes façons ce n’est pas moi qui a dit que Microsoft a fait une bêtise hein ! Mais c’est sûr qu’ils en font au moins autant que Google. C’est juste une question de transparence avec les utilisateurs.
Axel-Swailli
Les MàJ Windows n’ont rien à voir avec des drivers ou logiciels validés avec un malware mais à des failles dans les codes de programmation qui permettraient à des personnes malveillantes d’intervenir sur les machines, il y a une différence entre créer une ligne de code pouvant être détournée et la validation d’un outils tierce contenant un rootkit ou malware (le deuxième cas étant très rare de la part de Microsoft) Dans la grande majorité des cas les malwares se retrouvent dans des addons de logiciels qui utilisent Windows (extensions de navigateur entre autres) et non de Windows lui même ou dans des drivers (non officiels et non WSQL) téléchargés à droite ou à gauche
Krypton_80
Axel-Swailli:<br /> Dans la grande majorité des cas les malwares se retrouvent dans des addons de logiciels qui utilisent Windows (extensions de navigateur entre autres) et non de Windows lui même ou dans des drivers (non officiels et non WSQL) téléchargés à droite ou à gauche<br /> C’est exactement la même chose pour Google, notamment avec Chrome et les extensions du navigateur. Il n’y a pas 2 poids 2 mesures selon qu’il s’agisse de Microsoft ou de Google.
Axel-Swailli
Encore une preuve (s’il en fallait) que le google play store et son OS Android et une grande passoire à malware en comparaison de Microsoft et son OS Windows (qui ne valide pas tout sans même se soucier de la sécurité)<br /> Clubic.com – 5 Jul 21<br /> Attention à ces 9 applications Android qui siphonnent les mots de passe Facebook<br /> Dr. Web met en garde les utilisateurs Android face à une dizaine d'applications.<br />
Krypton_80
Axel-Swailli:<br /> Encore une preuve (s’il en fallait) que le google play store et son OS Android et une grande passoire à malware<br /> C’est surtout qu’il faut lire un article en entier avant de s’en servir comme source : «&nbsp;toutes disponibles via Google Play avant d’être retirées par Google.&nbsp;», d’autre part cela n’a aucun lien avec le codage de l’OS Android par Google. Tu mélanges un peu tout j’ai l’impression.<br /> J’ajoute que cela ne concerne que les utilisateurs de FB hein, donc on s’en tape à la limite.<br /> Aurais-tu oublié que Google signale aussi des failles à Microsoft depuis des années? …<br /> Clubic.com – 20 Feb 18<br /> Google rend publique une nouvelle vulnérabilité de Microsoft Edge<br /> Camouflet pour Microsoft : Project Zero, l'équipe d'experts en sécurité informatique de Google, a mis au jour une nouvelle faille dans le code source du navigateur web de Windows 10. Google assure n'avoir eu d'autre choix que de la révéler...<br /> Encore une preuve (s’il en fallait) que Microsoft n’est pas tellement meilleur que Google dans ce domaine.
juju251
Krypton_80:<br /> Aurais-tu oublié que Google signale aussi des failles à Microsoft depuis des années? …<br /> Google rend publique une nouvelle vulnérabilité de Microsoft Edge<br /> Encore une preuve (s’il en fallait) que Microsoft n’est pas tellement meilleur que Google dans ce domaine.<br /> Ouais, enfin, ils les signalent à Microsoft, mais surtout les rendent publiques parfois avant que la correction ne soit effectuée (c’est d’ailleurs le cas pour la faille citée dans l’article que tu linkes ) …
Krypton_80
juju251:<br /> mais surtout les rendent publiques parfois avant que la correction ne soit effectuée (c’est d’ailleurs le cas pour la faille citée dans l’article que tu linkes )<br /> En effet, et l’article explique bien pourquoi: «&nbsp;Google lui a laissé 90 jours pour rectifier le tir. Mais comme Microsoft n’a toujours pas publié de correctif, Google s’est senti le droit de rendre sa découverte publique.&nbsp;»
juju251
Tu parles, pour moi c’est juste irresponsable de balancer ça publiquement, tant que ce n’est pas corrigé.<br /> Alors, oui, cela met la pression sur Microsoft, mais d’un autre côté, c’est le risque de voir la faille en question exploitée.
paulposition
juju251:<br /> Tu parles, pour moi c’est juste irresponsable de balancer ça publiquement, tant que ce n’est pas corrigé.<br /> Alors, oui, cela met la pression sur Microsoft, mais d’un autre côté, c’est le risque de voir la faille en question exploitée.<br /> +1000
Krypton_80
Venant du même article que j’ai cité: «&nbsp;D’autant qu’à l’origine, Google a décidé de lancer Project Zero précisément à cause de failles de sécurité dans l’ancêtre d’Edge, Internet Explorer 6. C’était en 2009, une opération baptisée Aurora, menée par une équipe chinoise liée au gouvernement de Pékin ; les hackers avaient pillé les serveurs de Google en exploitant une faille du navigateur de Microsoft…&nbsp;»<br /> Le risque de voir une faille exploitée est inéluctable, pas besoin de la balancer publiquement quand on la cherche vraiment. Mais forcément, comme ça vient de Google, on tape dessus, on a l’habitude.
Voir tous les messages sur le forum

Lectures liées

En Inde, le gouvernement met fin à l'anonymat en ligne
VPN : NordVPN revient en force avec une offre à ne pas louper !
Le meilleur VPN du marché profite d'une promo folle !
Un VPN dans Edge ? Microsoft nous en dit un peu plus
Ukraine : la Russie à l'origine de la cyberattaque de Viasat pour faciliter l'invasion
Attention à certaines clés USB ! Ce malware peut prendre possession de votre PC en un rien de temps
Voici 3 offres VPN pour vous protéger à prix mini !
Microsoft corrige 74 vulnérabilités, dont 7 critiques, affectant toutes les versions de Windows
Malware : les emails vérolés affichent une hausse de 48,3% au premier trimestre
VPN : les données de 21 millions d'utilisateurs se retrouvent sur Telegram
Haut de page