Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant

22 octobre 2021 à 17h22
9
Microsoft Logo © JPstock / Shutterstock.com
© JPstock / Shutterstock.com

Un driver, signé électroniquement par Microsoft, s'est révélé être un rootkit, tel que l'ont découvert les chercheurs de Bitdefender.

C'est la deuxième fois en quelques mois qu'un driver signé par les services de validation de Microsoft est en réalité un logiciel malveillant.

Un rootkit qui redirige le trafic internet

Pour la deuxième fois en quelques mois, un driver possédant une signature WHQL, certifiant normalement qu'il a été vérifié par Microsoft, était en vérité un rootkit. C'est ce qu'ont découvert les chercheurs de Bitdefender en se penchant sur FiveSys. Comme pour Netfilter avant lui, les créateurs du rootkit ont réussi contourner le système et à obtenir une certification de la part de l'entreprise, leur permettant de gagner la confiance des utilisateurs et d'avoir accès à des fonctionnalités sur le système d'exploitation qui leur sont normalement interdites.

Une fois sur la machine de sa victime, le rootkit redirige le trafic internet de la machine infectée à travers un proxy personnalisé, choisi parmi une liste de 300 domaines. Il installe un certificat racine personnalisé pour faire fonctionner la redirection HTTPS, afin d'éviter que le navigateur prévienne l'utilisateur que l'identité du serveur proxy est inconnue. Il se protège en empêchant les modifications du registre et empêche également l'installation de rootkits et de malwares provenant d'autres groupes.

Un rootkit concentré sur la Chine

D'après Bitdefender, FiveSys serait en activité depuis plus d'un an. Il ne se serait pas propagé en dehors de la Chine pour le moment, ses créateurs semblant particulièrement intéressés par ce marché. Les chercheurs pensent qu'il vise particulièrement les jeux en ligne, dans le but de voler des identifiants et détourner les achats faits en jeu.

Les chercheurs ont prévenu Microsoft de leurs trouvailles et l'entreprise a révoqué la signature accordée au faux driver. Bitdefender ne nomme pas précisément un groupe de hackers comme étant à l'origine de ces attaques.

Sources : Neowin , Bitdefender

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
9
10
Yves64250
Le pilote rootkité c’est un pilote générique d’imprimante?
mamide
pauvre Microsoft elle enchaîne les problèmes !
Kriz4liD
Hmm, MS qui certifie un rootkit uqi ne sévit qu’en Chine… Hmmmm<br /> Si par exemple c’était Huawei ou ZTE, tout le monde aurait crié au scandale, on aura 100 articles sur une un possible espionnage de la part des chinois, mais non, c’est MS ? Pas grave, elle révoque le certificat et on plie bagage.
benben99
Un rookit qui vise a attaquer des Chinois et qui a été certifié par Microsoft… Ca peut venir de quel pays pensez vous?
bmustang
on peut penser ce qu’on veut, l’essentiel est qu’il a été débusqué et mis au placard.
Cynian90
La dernière fois j’ai un pote Américain qui a fait tomber sa fourchette au sol dans un restaurant Chinois, clairement une tentative de coup d’état et d’ingérence.
xylf
Heureusement grâce au tpm2 pour votre sécurité… Ah bah non en fait ms certifie les malwares
juju251
C’est vraiment au point leur système de signature, tiens …<br /> Au fait secure boot / TPM, c’est basé sur quoi ?<br /> Ah, un système de signature pour ne pouvoir démarrer que des OS «&nbsp;certifiés sûrs&nbsp;», ah, oui, …
cyrano66
C’est bien pour cette raison que dans un Chinois il vaut mieux manger avec des baguettes.
Voir tous les messages sur le forum

Lectures liées

Google met des bâtons dans les roues de Glupteba, le plus grand botnet connu à ce jour
Les experts en cybersécurité de Kaspersky vous ont concocté un bon plan antivirus à saisir de suite
BadgerDAO, victime du braquage de crypto à 119 millions, supplie son voleur de rendre l'argent
Crypto : la plateforme BitMart piratée, 150 millions d'euros évaporés
Ransomware : le groupe LDLC ciblé par une cyberattaque de Ragnar Locker
Le meilleur antivirus Mac s'offre à -60%, optez pour une sécurité inviolable avec Intego
120 millions de dollars en crypto pour un braquage sans violence de la plateforme décentralisée BadgerDAO
VPN : CyberGhost, Surfshark ou NordVPN ? La sélection à lire pour faire votre choix !
La suite de cybersécurité Avast Ultimate à prix bas : l'idéal pour une protection complète et efficace
Peut-on interdire les mots de passe par défaut ? C'est ce que veut le gouvernement britannique
Haut de page