Les experts Sophos ont découvert 100 pilotes malveillants signés par Microsoft Windows Hardware Compatibility Publisher (WHCP). La plupart sont des "tueurs EDR" spécialement conçus pour attaquer et mettre fin à divers logiciels EDR/AV sur les systèmes des victimes.
Sophos X-Ops a détecté 133 pilotes malveillants signés avec des certificats numériques légitimes ; 100 d'entre eux ont été signés par Microsoft Windows Hardware Compatibility Publisher (WHCP). Les pilotes signés WHCP sont intrinsèquement approuvés par tous les systèmes Windows, ce qui permet aux attaquants de les installer sans déclencher d'alerte, puis de mener des activités malveillantes sans pratiquement aucune entrave.
Les pilotes paralysent les logiciels EDR et AV
🔎 Les certificats WHCP utilisés ont été officiellement signés début 2022 (Image : Sophos).
Parmi les pilotes trouvés, 81 étaient des "tueurs EDR" spécialement conçus pour attaquer et mettre fin à divers logiciels EDR/AV sur les systèmes des victimes. Ces pilotes sont similaires à ceux précédemment découverts par Sophos X-Ops en décembre 2022. Les pilotes restants - dont 32 étaient signés par WHCP - étaient des rootkits. Beaucoup de ces programmes sont conçus pour surveiller secrètement les données sensibles envoyées sur Internet. X-Ops a immédiatement signalé les pilotes malveillants à Microsoft dès leur découverte et les problèmes ont été résolus avec le dernier correctif mardi.
Tous les détails de l'enquête sont disponibles dans l'article du blog X—Ops. Cet article fait suite à un article de décembre 2022 dans lequel Sophos, Mandiant et SentinelOne ont signalé que Microsoft avait signé plusieurs pilotes. Ces pilotes ciblaient spécifiquement une large gamme de logiciels AV/EDR.
Hausse inquiétante de l'activité
"Depuis octobre de l'année dernière, nous avons observé une augmentation inquiétante de l'activité des criminels exploitant des pilotes signés de manière malveillante pour mener diverses cyberattaques, y compris des ransomwares. À l'époque, nous pensions que les attaquants continueraient à exploiter ce vecteur d'attaque, ce qui s'est maintenant avéré être le cas. Étant donné que les pilotes communiquent souvent avec le "cœur" du système d'exploitation et sont donc chargés avant le logiciel de sécurité, ils peuvent être particulièrement efficaces pour désactiver les mesures de sécurité en cas d'utilisation abusive, en particulier s'ils sont signés par une autorité de confiance.
De nombreux pilotes malveillants que nous avons détectés ont été spécifiquement conçus pour attaquer et « désactiver » les produits EDR, laissant les systèmes concernés vulnérables à une gamme d'activités malveillantes. Il est difficile d'obtenir une signature pour un pilote malveillant, c'est pourquoi cette technique est principalement utilisée par les acteurs de la menace avancée dans les attaques ciblées. De plus, ces pilotes particuliers ne sont pas spécifiques à un fournisseur, ils ciblent une large gamme de logiciels EDR. Pour cette raison, toutes les équipes de sécurité informatique doivent traiter le sujet et mettre en place des mesures de protection supplémentaires si nécessaire. Il est important pour les organisations d'implémenter les correctifs fournis par Microsoft lors du Patch Tuesday », a déclaré Christopher Budd, directeur de la recherche sur les menaces chez Sophos X-Ops.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.