Virus Code

Cela est d'autant plus critique que l'attaque ne nécessite pas d’accès physique à la machine, et passe inaperçue aux yeux du système !

À l’occasion de la conférence Black Hat, qui se tient actuellement à Las Vegas en ce moment même, des chercheurs en cybersécurité du monde entier se retrouvent pour partager leurs trouvailles. La chose est connue, les logiciels sont écrits par des humains et donc imparfaits par essence, si bien qu’il est toujours possible de trouver un moyen de passer outre les verrous de protection, encore faut-il avoir les connaissances et le temps. Et notre hacker du jour, un israélien du nom de Alon Leviev et ancien champion du monde junior de jiujitsu brésilien avant de passer chez la firme SafeBreach (un gars qu’il ne vaut mieux pas avoir comme ennemi, quoi !), semble avoir des deux à revendre, puisqu’il a bûché avec succès sur une méthode permettant de faire baisser de version certains composants critiques de Windows (à condition d’avoir un accès à la machine, physique ou distant), le tout sans aucune suspicion de la part de l’OS. Une fois ces joyeuses DLL, hyperviseur et autre noyau revenu quelques mises à jour en arrière, il est possible de réutiliser des attaques bien documentées et normalement patchées sans se faire repérer… oups !

Dans les grandes lignes, l’opération consiste à empoisonner une clef du registre pour faire croire qu’une mise à jour est en attente, mais rediriger à la place vers un script malicieux remplaçant des fichiers systèmes pas d’autres de version plus ancienne. Cependant, l’opération nécessite d’être administrateur sur la machine, ce qui n’en fait pas en soi une vulnérabilité puisqu’un administrateur a théoriquement les droits de gérer sa machine comme bon lui semble. En revanche, pour contrer ce type de scénario, Microsoft a implémenté une fonctionnalité nommée VBS (Virtualization-Based Security), qui s’appuie sur les extensions de virtualisation x86 pour faire tourner une machine virtuelle sécurisée à côté du noyau Windows dont l’intégrité est assurée directement au boot grâce à l’UEFI/Secure Boot via un binaire signé numériquement par Microsoft. Sauf qu’en tripatouillant dans les versions et en modifiant des fichiers pourtant vérifiés par l’OS, il est possible de rendre ces mécanismes inopérants, notamment en se basant sur des failles précédentes normalement colmatées. Aïe. Cerise sur le gâteau, notre gus a même trouvé un moyen de passer par le système de restauration de Windows Update pour appliquer cette stratégie… depuis un utilisateur non administrateur. Re-aïe !

Virus Code

Bon, pas sûr que nous allions très loin avec ce code-là !

Informé de la chose depuis février, Microsoft recommande d’utiliser son outil Microsoft Defender for Cloud ainsi que Windows Defender for Endpoint pour détecter une éventuelle intrusion. Cependant, des faux positifs ne sont pas non plus à exclure : renseignez-vous bien avant d’avoir le bouton de mise à la corbeille un peu trop facile ! De plus, le patch permettant d’éviter lesdites intrusions est, quant à lui, toujours en attente (même s’il ne devrait pas tarder). En attendant, surveillez vos utilisateurs ! (Source : SafeBreach)

Et voilà pour le bousin en action !

Double Doc


  • Ils sont forts, leur solution est de passer par un Defender dans le Cloud, moi qui déteste le nuage.

    Je sens qu'à la MAJ 24H2, je vais commencer à basculer sur Linux...

    • Ouais alors quand on regarde un peu sur le liens mis dans l'article, il s'agit d'un bien grand mot (probablement pour le marketing), ça à l'air rien de plus qu'un antivirus comme un autre, qui peut exploiter des outils ancrés dans le système pour être plus performant.

      Toutefois, ça à l'air surtout d'être orienté pour les entreprises avec une certaine infrastructure, comme je l'ai mentionné juste en-dessous, l'attaque a très peu d'intérêt pour les particuliers.

      • Oui, entre ça et la télémétrie toujours plus intrusive et l'IA dont je n'ai vraiment pas besoin qui vont s'ancrer encore plus avec la 24H2, le chemin choisi par M$ s'éloigne de ce que j'attends d'une utilisation desktop.

  • L'attaque est intéressante, le scénario bien démontré et démontre que l'UEFI peut aussi être attaqué (donc probablement que des failles peuvent exister autant pour Linux par exemple).

    Bon, il reste un point quand même, l'attaque demande un accès en tant qu'user à la machine, et c'est déjà un point assez complexe à gérer. Donc avant de paniquer en tant que simple utilisateur que nous sommes généralement, il y a du chemin. Pour des serveurs qui tournent h24 avec des protocoles RDP par contre, ça devient potentiellement inquiétant.

4 commentaires

Laissez votre commentaire

En réponse à Some User