Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

SentinelLabs détecte des attaques ciblées qui exploitent des pilotes Microsoft malveillants signés

décembre 2022 par SentinelLabs

SentinelLabs vient de publier les résultats d’une recherche récente menée en collaboration avec Mandiant. Elle révèle que des hackers utilisent frauduleusement le portail de signature de code de Microsoft pour légitimer des pilotes malveillants.

 

La signature numérique de ces malwares complique leur détection ou leur exécution par les moyens de sécurité traditionnels. Signés officiellement, ils peuvent dès lors contourner les méthodes de détection basées sur les signatures, ce qui leur permet potentiellement d’infiltrer les réseaux sans être détectés. Signalé à Microsoft, le problème a été et reconnu.

 

Il s’agit d’une évolution préoccupante, car la plupart des solutions de sécurité font implicitement confiance à tout ce qui est signé par Microsoft, notamment les pilotes en mode noyau (kernel-mode). Initialement, l’obligation de signer ces pilotes via le portail Windows Hardware Developer Center visait à fournir un contrôle et une visibilité plus stricts sur les pilotes qui s’exécutent avec les privilèges les plus élevés. Les hackers ont, néanmoins, détecté des failles dans le processus et les ont exploitées à leur profit.

 

Les entreprises doivent rester vigilantes et mettre en œuvre des solutions capables de détecter ces pilotes malveillants en fonction de leurs caractéristiques et de leurs comportements, même lorsqu’ils sont signés avec des certificats numériques Microsoft. Cette approche est essentielle pour se protéger contre d’éventuelles brèches et assurer la sécurité des informations sensibles.

 

L’étude a été réalisée en collaboration avec Mandiant, un partenaire de SentinelOne en matière de technologie et de réponse aux incidents.


Voir les articles précédents

    

Voir les articles suivants