🚀 LES BONS PLANS DE NOËL ! 🚀 LES BONS PLANS DE NOËL !

Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant

22 octobre 2021 à 17h22
9
Microsoft Logo © JPstock / Shutterstock.com
© JPstock / Shutterstock.com

Un driver, signé électroniquement par Microsoft, s'est révélé être un rootkit, tel que l'ont découvert les chercheurs de Bitdefender.

C'est la deuxième fois en quelques mois qu'un driver signé par les services de validation de Microsoft est en réalité un logiciel malveillant.

Un rootkit qui redirige le trafic internet

Pour la deuxième fois en quelques mois, un driver possédant une signature WHQL, certifiant normalement qu'il a été vérifié par Microsoft, était en vérité un rootkit. C'est ce qu'ont découvert les chercheurs de Bitdefender en se penchant sur FiveSys. Comme pour Netfilter avant lui, les créateurs du rootkit ont réussi contourner le système et à obtenir une certification de la part de l'entreprise, leur permettant de gagner la confiance des utilisateurs et d'avoir accès à des fonctionnalités sur le système d'exploitation qui leur sont normalement interdites.

Une fois sur la machine de sa victime, le rootkit redirige le trafic internet de la machine infectée à travers un proxy personnalisé, choisi parmi une liste de 300 domaines. Il installe un certificat racine personnalisé pour faire fonctionner la redirection HTTPS, afin d'éviter que le navigateur prévienne l'utilisateur que l'identité du serveur proxy est inconnue. Il se protège en empêchant les modifications du registre et empêche également l'installation de rootkits et de malwares provenant d'autres groupes.

Un rootkit concentré sur la Chine

D'après Bitdefender, FiveSys serait en activité depuis plus d'un an. Il ne se serait pas propagé en dehors de la Chine pour le moment, ses créateurs semblant particulièrement intéressés par ce marché. Les chercheurs pensent qu'il vise particulièrement les jeux en ligne, dans le but de voler des identifiants et détourner les achats faits en jeu.

Les chercheurs ont prévenu Microsoft de leurs trouvailles et l'entreprise a révoqué la signature accordée au faux driver. Bitdefender ne nomme pas précisément un groupe de hackers comme étant à l'origine de ces attaques.

Sources : Neowin, Bitdefender

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
9
10
Yves64250
Le pilote rootkité c’est un pilote générique d’imprimante?
mamide
pauvre Microsoft elle enchaîne les problèmes !
Kriz4liD
Hmm, MS qui certifie un rootkit uqi ne sévit qu’en Chine… Hmmmm<br /> Si par exemple c’était Huawei ou ZTE, tout le monde aurait crié au scandale, on aura 100 articles sur une un possible espionnage de la part des chinois, mais non, c’est MS ? Pas grave, elle révoque le certificat et on plie bagage.
benben99
Un rookit qui vise a attaquer des Chinois et qui a été certifié par Microsoft… Ca peut venir de quel pays pensez vous?
bmustang
on peut penser ce qu’on veut, l’essentiel est qu’il a été débusqué et mis au placard.
Cynian90
La dernière fois j’ai un pote Américain qui a fait tomber sa fourchette au sol dans un restaurant Chinois, clairement une tentative de coup d’état et d’ingérence.
xylf
Heureusement grâce au tpm2 pour votre sécurité… Ah bah non en fait ms certifie les malwares
juju251
C’est vraiment au point leur système de signature, tiens …<br /> Au fait secure boot / TPM, c’est basé sur quoi ?<br /> Ah, un système de signature pour ne pouvoir démarrer que des OS «&nbsp;certifiés sûrs&nbsp;», ah, oui, …
cyrano66
C’est bien pour cette raison que dans un Chinois il vaut mieux manger avec des baguettes.
Voir tous les messages sur le forum

Derniers actualités

Amnesty International piraté par un groupe chinois ?
Pour Noël, une tablette Samsung achetée, une offerte !
Découvrez le satellite MTG-I1, ce fleuron européen qui va nous donner la météo
La fibre à moins de 20€ ? C'est possible avec cette offre de Noël !
Cette entreprise relance le Minitel pour le connecter à Internet
Idée cadeau pour Noël : le jeu PS5 Returnal actuellement à -63% chez Amazon
Comment Proton entend déjouer la cybercensure russe grâce à son VPN
Peu de cartes, retards sur les custom : vers un lancement difficile pour les Radeon RX 7900 ?
Google Chromecast : un cadeau de Noël vraiment pas cher !
Condamnés par les smartphones ? Nikon et Panasonic arrêtent les compacts numériques
Haut de page