{"id":511023,"date":"2022-12-14T16:16:40","date_gmt":"2022-12-14T18:16:40","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-attaquants-de-ransomware-utilisent-des-pilotes-signes-microsoft-pour-acceder-aux-systemes\/"},"modified":"2022-12-14T16:16:41","modified_gmt":"2022-12-14T18:16:41","slug":"les-attaquants-de-ransomware-utilisent-des-pilotes-signes-microsoft-pour-acceder-aux-systemes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-attaquants-de-ransomware-utilisent-des-pilotes-signes-microsoft-pour-acceder-aux-systemes\/","title":{"rendered":"Les attaquants de ransomware utilisent des pilotes sign\u00e9s Microsoft pour acc\u00e9der aux syst\u00e8mes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Microsoft a r\u00e9v\u00e9l\u00e9 mardi qu&#8217;il avait pris des mesures pour suspendre les comptes utilis\u00e9s pour publier des messages malveillants. <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/gettingstarted\/what-is-a-driver-\" target=\"_blank\">Conducteurs<\/a> qui ont \u00e9t\u00e9 certifi\u00e9s par son Windows <a rel=\"nofollow noopener\" href=\"https:\/\/partner.microsoft.com\/en-us\/dashboard\/Registration\/Hardware\" target=\"_blank\">Programme de d\u00e9veloppement de mat\u00e9riel<\/a> ont \u00e9t\u00e9 utilis\u00e9s pour signer des logiciels malveillants.<\/p>\n<p>Le g\u00e9ant de la technologie a d\u00e9clar\u00e9 que son enqu\u00eate avait r\u00e9v\u00e9l\u00e9 que l&#8217;activit\u00e9 \u00e9tait limit\u00e9e \u00e0 un certain nombre de comptes de programme de d\u00e9veloppement et qu&#8217;aucun autre compromis n&#8217;avait \u00e9t\u00e9 d\u00e9tect\u00e9.<\/p>\n<p>Les logiciels malveillants \u00e0 signature cryptographique sont pr\u00e9occupants, non seulement parce qu&#8217;ils sapent un m\u00e9canisme de s\u00e9curit\u00e9 cl\u00e9, mais permettent \u00e9galement aux acteurs de la menace de subvertir les m\u00e9thodes de d\u00e9tection traditionnelles et d&#8217;infiltrer les r\u00e9seaux cibles pour effectuer des op\u00e9rations hautement privil\u00e9gi\u00e9es.<\/p>\n<p>L&#8217;enqu\u00eate, a d\u00e9clar\u00e9 Redmond, a \u00e9t\u00e9 lanc\u00e9e apr\u00e8s avoir \u00e9t\u00e9 inform\u00e9e de l&#8217;utilisation de pilotes malveillants dans les efforts de post-exploitation, y compris le d\u00e9ploiement de ransomwares, par les soci\u00e9t\u00e9s de cybers\u00e9curit\u00e9 Mandiant, SentinelOne et Sophos le 19 octobre 2022.<\/p>\n<p>Un aspect notable de ces attaques \u00e9tait que l&#8217;adversaire avait d\u00e9j\u00e0 obtenu des privil\u00e8ges administratifs sur les syst\u00e8mes compromis avant d&#8217;utiliser les pilotes.<\/p>\n<p>&#8220;Plusieurs comptes de d\u00e9veloppeurs pour le Microsoft Partner Center ont \u00e9t\u00e9 engag\u00e9s dans la soumission de pilotes malveillants pour obtenir une signature Microsoft,&#8221; Microsoft <a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/ADV220005\" target=\"_blank\">expliqu\u00e9<\/a>.  &#8220;Une nouvelle tentative de soumission d&#8217;un pilote malveillant pour signature le 29 septembre 2022 a entra\u00een\u00e9 la suspension des comptes des vendeurs d\u00e9but octobre.&#8221;<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670949871_285_De-graves-attaques-auraient-pu-etre-mises-en-scene-via.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Selon une analyse de Sophos, des acteurs de la menace affili\u00e9s au ran\u00e7ongiciel Cuba (alias COLDDRAW) ont plant\u00e9 un pilote malveillant sign\u00e9 dans une tentative infructueuse de d\u00e9sactivation des outils de d\u00e9tection des terminaux via un nouveau chargeur de logiciels malveillants appel\u00e9 BURNTCIGAR, qui \u00e9tait <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/unc2596-cuba-ransomware\" target=\"_blank\">r\u00e9v\u00e9l\u00e9 pour la premi\u00e8re fois<\/a> par Mandiant en f\u00e9vrier 2022.<\/p>\n<p>La soci\u00e9t\u00e9 a \u00e9galement identifi\u00e9 trois variantes du pilote sign\u00e9 par des certificats de signature de code appartenant \u00e0 deux soci\u00e9t\u00e9s chinoises, Zhuhai Liancheng Technology et Beijing JoinHope Image Technology.<\/p>\n<p>Le raisonnement derri\u00e8re l&#8217;utilisation de pilotes sign\u00e9s est qu&#8217;il offre un moyen pour les acteurs de la menace de se d\u00e9placer <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/install\/driver-signing\" target=\"_blank\">des mesures de s\u00e9curit\u00e9 cruciales<\/a> qui n\u00e9cessitent que les pilotes en mode noyau soient sign\u00e9s pour que Windows charge le package.  De plus, la technique utilise \u00e0 leur avantage la confiance de facto des outils de s\u00e9curit\u00e9 dans les pilotes certifi\u00e9s par Microsoft.<\/p>\n<p>&#8220;Les acteurs de la menace montent dans la pyramide de la confiance, essayant d&#8217;utiliser des cl\u00e9s cryptographiques de plus en plus fiables pour signer num\u00e9riquement leurs pilotes&#8221;, ont d\u00e9clar\u00e9 Andreas Klopsch et Andrew Brandt, chercheurs chez Sophos. <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2022\/12\/13\/signed-driver-malware-moves-up-the-software-trust-chain\/\" target=\"_blank\">a dit<\/a>.  &#8220;Les signatures d&#8217;un grand \u00e9diteur de logiciels digne de confiance augmentent la probabilit\u00e9 que le pilote se charge dans Windows sans entrave.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1671041799_238_Les-attaquants-de-ransomware-utilisent-des-pilotes-signes-Microsoft-pour.png\" alt=\"Logiciels de ran\u00e7on\" border=\"0\" data-original-height=\"483\" data-original-width=\"728\" title=\"Logiciels de ran\u00e7on\"\/><\/div>\n<p>Mandiant, propri\u00e9t\u00e9 de Google, dans une divulgation coordonn\u00e9e, <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/hunting-attestation-signed-malware\" target=\"_blank\">a dit<\/a> il a observ\u00e9 un groupe de menaces \u00e0 motivation financi\u00e8re connu sous le nom d&#8217;UNC3944 utilisant un chargeur nomm\u00e9 STONESTOP pour installer un pilote malveillant appel\u00e9 POORTRY qui est con\u00e7u pour mettre fin aux processus associ\u00e9s aux logiciels de s\u00e9curit\u00e9 et supprimer des fichiers.<\/p>\n<p>D\u00e9clarant qu&#8217;elle a \u00ab observ\u00e9 en permanence des acteurs de la menace utilisent des certificats de signature de code compromis, vol\u00e9s et achet\u00e9s ill\u00e9galement pour signer des logiciels malveillants \u00bb, la soci\u00e9t\u00e9 de renseignement sur les menaces et de r\u00e9ponse aux incidents a not\u00e9 que \u00ab plusieurs familles de logiciels malveillants distinctes, associ\u00e9es \u00e0 des acteurs de la menace distincts, ont \u00e9t\u00e9 sign\u00e9es avec ce processus.&#8221;<\/p>\n<p>Cela a donn\u00e9 lieu \u00e0 la possibilit\u00e9 que ces groupes de piratage tirent parti d&#8217;un service criminel pour la signature de code (c&#8217;est-\u00e0-dire la signature de pilotes malveillants en tant que service), dans lequel le fournisseur obtient les artefacts de logiciels malveillants sign\u00e9s via le processus d&#8217;attestation de Microsoft au nom des acteurs.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1671041800_911_Les-attaquants-de-ransomware-utilisent-des-pilotes-signes-Microsoft-pour.png\" alt=\"Logiciels de ran\u00e7on\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" title=\"Logiciels de ran\u00e7on\"\/><\/div>\n<p>STONESTOP et POORTRY auraient \u00e9t\u00e9 utilis\u00e9s par UNC3944 dans des attaques visant les secteurs des t\u00e9l\u00e9communications, du BPO, du MSSP, des services financiers, de la crypto-monnaie, du divertissement et des transports, SentinelOne <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/driving-through-defenses-targeted-attacks-leverage-signed-malicious-microsoft-drivers\/\" target=\"_blank\">a dit<\/a>l&#8217;ajout d&#8217;un acteur de menace diff\u00e9rent a utilis\u00e9 un pilote sign\u00e9 similaire qui a entra\u00een\u00e9 le d\u00e9ploiement du ran\u00e7ongiciel Hive.<\/p>\n<p>Microsoft a depuis r\u00e9voqu\u00e9 les certificats des fichiers concern\u00e9s et suspendu les comptes vendeurs des partenaires pour contrer les menaces dans le cadre de sa mise \u00e0 jour Patch Tuesday de d\u00e9cembre 2022.<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que des certificats num\u00e9riques sont utilis\u00e9s abusivement pour signer des logiciels malveillants.  L&#8217;ann\u00e9e derni\u00e8re, un pilote Netfilter certifi\u00e9 par Microsoft s&#8217;est av\u00e9r\u00e9 \u00eatre un rootkit Windows malveillant qui a \u00e9t\u00e9 observ\u00e9 communiquant avec des serveurs de commande et de contr\u00f4le (C2) situ\u00e9s en Chine.<\/p>\n<p>Cependant, ce n&#8217;est pas un ph\u00e9nom\u00e8ne uniquement Windows, car Google a publi\u00e9 ce mois-ci des conclusions selon lesquelles des certificats de plate-forme compromis g\u00e9r\u00e9s par des fabricants d&#8217;appareils Android, notamment Samsung et LG, avaient \u00e9t\u00e9 utilis\u00e9s pour signer des applications malveillantes distribu\u00e9es via des canaux non officiels.<\/p>\n<p>Le d\u00e9veloppement intervient \u00e9galement au milieu d&#8217;un abus plus large de pilotes sign\u00e9s pour saboter les logiciels de s\u00e9curit\u00e9 ces derniers mois.  L&#8217;attaque, appel\u00e9e Bring Your Own Vulnerable Driver (BYOVD), consiste \u00e0 exploiter des pilotes l\u00e9gitimes qui contiennent des lacunes connues pour \u00e9lever les privil\u00e8ges et ex\u00e9cuter des actions post-compromis.<\/p>\n<p>Microsoft, fin octobre, <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/threat-protection\/windows-defender-application-control\/microsoft-recommended-driver-block-rules\" target=\"_blank\">a dit<\/a> c&#8217;est <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-gb\/topic\/october-25-2022-kb5018496-os-build-22621-755-preview-64040bea-1e02-4b6d-bad1-b036200c2cb3\" target=\"_blank\">activation<\/a> la liste de blocage des pilotes vuln\u00e9rables (DriverSiPolicy.p7b) par d\u00e9faut pour tous les appareils avec la mise \u00e0 jour Windows 11 2022, en plus de valider qu&#8217;elle est la m\u00eame sur diff\u00e9rentes versions du syst\u00e8me d&#8217;exploitation, suite \u00e0 un Ars Technica <a rel=\"nofollow noopener\" href=\"https:\/\/arstechnica.com\/information-technology\/2022\/10\/how-a-microsoft-blunder-opened-millions-of-pcs-to-potent-malware-attacks\/\" target=\"_blank\">rapport<\/a> qui a mis en \u00e9vidence des incoh\u00e9rences dans la mise \u00e0 jour de la liste de blocage pour les machines Windows 10.<\/p>\n<p>&#8220;Les m\u00e9canismes de signature de code sont une caract\u00e9ristique importante des syst\u00e8mes d&#8217;exploitation modernes&#8221;, a d\u00e9clar\u00e9 SentinelOne.  &#8220;L&#8217;introduction de l&#8217;application de la signature du pilote a \u00e9t\u00e9 essentielle pour endiguer la vague de rootkits pendant des ann\u00e9es. L&#8217;efficacit\u00e9 d\u00e9croissante de la signature de code repr\u00e9sente une menace pour les m\u00e9canismes de s\u00e9curit\u00e9 et de v\u00e9rification \u00e0 toutes les couches du syst\u00e8me d&#8217;exploitation.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/ransomware-attackers-use-microsoft.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft a r\u00e9v\u00e9l\u00e9 mardi qu&#8217;il avait pris des mesures pour suspendre les comptes utilis\u00e9s pour publier des messages malveillants. Conducteurs qui ont \u00e9t\u00e9 certifi\u00e9s par son Windows Programme de d\u00e9veloppement de mat\u00e9riel ont \u00e9t\u00e9 utilis\u00e9s pour signer des logiciels malveillants. Le g\u00e9ant de la technologie a d\u00e9clar\u00e9 que son enqu\u00eate avait r\u00e9v\u00e9l\u00e9 que l&#8217;activit\u00e9 \u00e9tait [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":511024,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2889,11865,507,4168,4158,4165,4161,133,4157,4159,4171,4170,65,4167,8362,4160,4163,4162,2046,185,4392,4172,4169,6678,5046,10784,4166,4164],"class_list":["post-511023","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-acceder","tag-attaquants","tag-aux","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pilotes","tag-pour","tag-ransomware","tag-securite-informatique","tag-securite-internet","tag-signes","tag-systemes","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/511023","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=511023"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/511023\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/511024"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=511023"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=511023"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=511023"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}