{"id":825772,"date":"2023-07-11T17:08:42","date_gmt":"2023-07-11T19:08:42","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-les-failles-de-la-politique-windows-pour-forger-des-signatures-de-pilotes-en-mode-noyau\/"},"modified":"2023-07-11T17:08:46","modified_gmt":"2023-07-11T19:08:46","slug":"les-pirates-exploitent-les-failles-de-la-politique-windows-pour-forger-des-signatures-de-pilotes-en-mode-noyau","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-les-failles-de-la-politique-windows-pour-forger-des-signatures-de-pilotes-en-mode-noyau\/","title":{"rendered":"Les pirates exploitent les failles de la politique Windows pour forger des signatures de pilotes en mode noyau"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une faille de la politique de Microsoft Windows a \u00e9t\u00e9 observ\u00e9e, principalement exploit\u00e9e par des pirates de langue maternelle chinoise pour falsifier des signatures sur des pilotes en mode noyau.<\/p>\n<p>&#8220;Les acteurs exploitent plusieurs outils open source qui modifient la date de signature des pilotes en mode noyau pour charger des pilotes malveillants et non v\u00e9rifi\u00e9s sign\u00e9s avec des certificats expir\u00e9s&#8221;, a d\u00e9clar\u00e9 Cisco Talos dans un communiqu\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/old-certificate-new-signature\/\" target=\"_blank\">rapport exhaustif en deux parties<\/a> partag\u00e9 avec The Hacker News.  &#8220;Il s&#8217;agit d&#8217;une menace majeure, car l&#8217;acc\u00e8s au noyau fournit un acc\u00e8s complet \u00e0 un syst\u00e8me, et donc un compromis total.&#8221;<\/p>\n<p>Suite \u00e0 la divulgation responsable, Microsoft <a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/ADV230001\" target=\"_blank\">a dit<\/a> il a pris des mesures pour bloquer tous les certificats afin d&#8217;att\u00e9nuer la menace.  Il a en outre d\u00e9clar\u00e9 que son enqu\u00eate avait r\u00e9v\u00e9l\u00e9 que &#8220;l&#8217;activit\u00e9 \u00e9tait limit\u00e9e \u00e0 l&#8217;abus de plusieurs comptes de programme de d\u00e9veloppeur et qu&#8217;aucun compromis de compte Microsoft n&#8217;a \u00e9t\u00e9 identifi\u00e9&#8221;.<\/p>\n<p>Le g\u00e9ant de la technologie, en plus de suspendre les comptes du programme de d\u00e9veloppement impliqu\u00e9s dans l&#8217;incident, a soulign\u00e9 que les acteurs de la menace avaient d\u00e9j\u00e0 obtenu des privil\u00e8ges administratifs sur les syst\u00e8mes compromis avant d&#8217;utiliser les pilotes.<\/p>\n<p>Il convient de souligner que le fabricant de Windows avait d\u00e9ploy\u00e9 des protections de blocage similaires en d\u00e9cembre 2022 pour emp\u00eacher les attaquants de ransomwares d&#8217;utiliser des pilotes sign\u00e9s Microsoft pour les activit\u00e9s de post-exploitation.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/install\/driver-signing\" target=\"_blank\">Application de la signature du conducteur<\/a>qui exige que les pilotes en mode noyau soient sign\u00e9s num\u00e9riquement avec un certificat du portail de d\u00e9veloppement de Microsoft, est une ligne de d\u00e9fense cruciale contre les pilotes malveillants, qui pourraient \u00eatre potentiellement utilis\u00e9s pour \u00e9chapper aux solutions de s\u00e9curit\u00e9, alt\u00e9rer les processus syst\u00e8me et maintenir la persistance.<\/p>\n<p>La nouvelle faiblesse d\u00e9couverte par Cisco Talos permet de forger des signatures sur les pilotes en mode noyau, permettant ainsi de contourner les politiques de certificat Windows.<\/p>\n<p>Ceci est rendu possible gr\u00e2ce \u00e0 une <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/install\/kernel-mode-code-signing-policy--windows-vista-and-later-\" target=\"_blank\">exception<\/a> d\u00e9coup\u00e9 par Microsoft pour maintenir la compatibilit\u00e9, ce qui permet aux pilotes \u00e0 signature crois\u00e9e s&#8217;ils ont \u00e9t\u00e9 &#8220;sign\u00e9s avec un certificat d&#8217;entit\u00e9 finale \u00e9mis avant le 29 juillet 2015 qui se lie \u00e0 une signature crois\u00e9e prise en charge [certificate authority].&#8221;<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>&#8220;La troisi\u00e8me exception cr\u00e9e une faille qui permet \u00e0 un pilote nouvellement compil\u00e9 d&#8217;\u00eatre sign\u00e9 avec des certificats non r\u00e9voqu\u00e9s \u00e9mis avant ou expir\u00e9s avant le 29 juillet 2015, \u00e0 condition que le certificat soit li\u00e9 \u00e0 une autorit\u00e9 de certification \u00e0 signature crois\u00e9e prise en charge&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9. a dit.<\/p>\n<p>Par cons\u00e9quent, un pilote sign\u00e9 de cette mani\u00e8re ne sera pas emp\u00each\u00e9 d&#8217;\u00eatre charg\u00e9 sur un appareil Windows, permettant ainsi aux pirates de profiter de la clause d&#8217;\u00e9chappement pour d\u00e9ployer des milliers de pilotes malveillants sign\u00e9s sans les soumettre \u00e0 Microsoft pour v\u00e9rification.<\/p>\n<p>Ces pilotes malveillants sont d\u00e9ploy\u00e9s \u00e0 l&#8217;aide d&#8217;un logiciel de contrefa\u00e7on d&#8217;horodatage de signature tel que <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Jemmy1228\/HookSigntool\" target=\"_blank\">CrochetSigneOutil<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/hzqst\/FuckCertVerifyTimeValidity\" target=\"_blank\">FuckCertVerifyTimeValidity<\/a>qui sont accessibles au public depuis 2019 et 2018, respectivement.<\/p>\n<p>HookSignTool est accessible via GitHub depuis le 7 janvier 2020, tandis que FuckCertVerifyTimeValidity a \u00e9t\u00e9 engag\u00e9 pour la premi\u00e8re fois dans le service d&#8217;h\u00e9bergement de code le 14 d\u00e9cembre 2018.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1689102522_366_Les-pirates-exploitent-les-failles-de-la-politique-Windows-pour.jpg\" alt=\"Signatures de pilote en mode noyau\" border=\"0\" data-original-height=\"412\" data-original-width=\"728\" title=\"Signatures de pilote en mode noyau\"\/><\/div>\n<p>&#8220;HookSignTool est un outil de falsification de signature de pilote qui modifie la date de signature d&#8217;un pilote pendant le processus de signature en combinant l&#8217;accrochage \u00e0 l&#8217;API Windows et la modification manuelle de la table d&#8217;importation d&#8217;un outil de signature de code l\u00e9gitime&#8221;, a expliqu\u00e9 Cisco Talos.<\/p>\n<p>Concr\u00e8tement, il s&#8217;agit de s&#8217;accrocher au <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/api\/wincrypt\/nf-wincrypt-certverifytimevalidity\" target=\"_blank\">Fonction CertVerifyTimeValidityCertVerifyTimeValidity function<\/a>qui v\u00e9rifie la dur\u00e9e de validit\u00e9 d&#8217;un certificat, pour modifier l&#8217;horodatage de signature lors de l&#8217;ex\u00e9cution.<\/p>\n<p>&#8220;Ce petit projet emp\u00eache le signtool de v\u00e9rifier [sic] validit\u00e9 de l&#8217;heure du certificat et vous permettent de signer votre bac avec un certificat obsol\u00e8te sans modifier manuellement l&#8217;heure du syst\u00e8me \u00bb, lit-on sur la page GitHub de FuckCertVerifyTimeValidity.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>\ud83d\udd10 PAM Security \u2013 Des solutions expertes pour s\u00e9curiser vos comptes sensibles<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Ce webinaire dirig\u00e9 par des experts vous fournira les connaissances et les strat\u00e9gies dont vous avez besoin pour transformer votre strat\u00e9gie de s\u00e9curit\u00e9 des acc\u00e8s privil\u00e9gi\u00e9s.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-button\">R\u00e9servez votre place<\/a><\/section>\n<p>&#8220;Il installe le hook dans crypt32!CertVerifyTimeValidity et le renvoie toujours 0 et fait en sorte que kernel32!GetLocalTime renvoie ce que vous voulez car vous pouvez ajouter &#8220;-fuckyear 2011&#8243; \u00e0 la ligne de commande de signtool pour signer un certificat \u00e0 partir de l&#8217;ann\u00e9e 2011.&#8221;<\/p>\n<p>Cela dit, r\u00e9ussir une contrefa\u00e7on n\u00e9cessite un certificat de signature de code non r\u00e9voqu\u00e9 qui a \u00e9t\u00e9 \u00e9mis avant le 29 juillet 2015, ainsi que le <a rel=\"nofollow noopener\" href=\"https:\/\/ubuntu.com\/server\/docs\/security-certificates\" target=\"_blank\">cl\u00e9 priv\u00e9e et mot de passe du certificat<\/a>.<\/p>\n<p>Cisco Talos a d\u00e9clar\u00e9 avoir d\u00e9couvert plus d&#8217;une douzaine de certificats de signature de code avec des cl\u00e9s et des mots de passe contenus dans un fichier PFX h\u00e9berg\u00e9 sur GitHub dans un r\u00e9f\u00e9rentiel fourchu de FuckCertVerifyTimeValidity.  On ne sait pas imm\u00e9diatement comment ces certificats ont \u00e9t\u00e9 obtenus.<\/p>\n<p>De plus, il a \u00e9t\u00e9 observ\u00e9 que HookSignTool a \u00e9t\u00e9 utilis\u00e9 pour signer \u00e0 nouveau des pilotes pirat\u00e9s afin de contourner les contr\u00f4les d&#8217;int\u00e9grit\u00e9 de la gestion des droits num\u00e9riques (DRM), un acteur nomm\u00e9 &#8220;Juno_Jr&#8221; publiant une version pirat\u00e9e de PrimoCache, une solution de mise en cache logicielle l\u00e9gitime. , dans un forum de cracking de logiciels chinois le 9 novembre 2022.<\/p>\n<p>&#8220;Dans la version crack\u00e9e [&#8230;]le pilote corrig\u00e9 a \u00e9t\u00e9 re-sign\u00e9 avec un certificat d\u00e9livr\u00e9 \u00e0 l&#8217;origine \u00e0 &#8220;Shenzhen Luyoudashi Technology Co., Ltd.&#8221;, qui est contenu dans le fichier PFX sur GitHub&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Talos. &#8220;Cette possibilit\u00e9 de d\u00e9missionner d&#8217;un pilote fissur\u00e9 supprime un obstacle important lors d&#8217;une tentative de contournement des contr\u00f4les DRM dans un pilote sign\u00e9.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1689102522_72_Les-pirates-exploitent-les-failles-de-la-politique-Windows-pour.jpg\" alt=\"Signatures de pilote en mode noyau\" border=\"0\" data-original-height=\"703\" data-original-width=\"728\" title=\"Signatures de pilote en mode noyau\"\/><\/div>\n<p>Ce n&#8217;est pas tout.  HookSignTool est \u00e9galement utilis\u00e9 par un pilote pr\u00e9c\u00e9demment non document\u00e9 identifi\u00e9 comme RedDriver pour falsifier son horodatage de signature.  Actif depuis au moins 2021, il fonctionne comme un pirate de navigateur bas\u00e9 sur un pilote qui exploite la plateforme de filtrage Windows (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/fwp\/windows-filtering-platform-start-page\" target=\"_blank\">PAM<\/a>) pour intercepter le trafic du navigateur et le rediriger vers localhost (127.0.0.1).<\/p>\n<p>Le navigateur cible est choisi au hasard dans une liste cod\u00e9e en dur contenant les noms de processus de nombreux navigateurs chinois populaires tels que Liebao, QQ Browser, Sogou et UC Browser, ainsi que Google Chrome, Microsoft Edge et Mozilla Firefox.<\/p>\n<p>&#8220;J&#8217;ai d&#8217;abord trouv\u00e9 RedDriver lors de mes recherches sur la falsification d&#8217;horodatage de certificat sur les pilotes Windows&#8221;, a d\u00e9clar\u00e9 Chris Neal, chercheur en sensibilisation pour Cisco Talos, \u00e0 The Hacker News.  &#8220;C&#8217;\u00e9tait l&#8217;un des premiers \u00e9chantillons que j&#8217;ai rencontr\u00e9s qui \u00e9tait imm\u00e9diatement suspect. Ce qui a attir\u00e9 mon attention, c&#8217;est la liste des navigateurs Web stock\u00e9s dans le fichier RedDriver.&#8221;<\/p>\n<p>L&#8217;objectif ultime de cette redirection du trafic du navigateur n&#8217;est pas clair, m\u00eame s&#8217;il va sans dire qu&#8217;une telle capacit\u00e9 pourrait \u00eatre utilis\u00e9e \u00e0 mauvais escient pour alt\u00e9rer le trafic du navigateur au niveau des paquets.<\/p>\n<p>Les cha\u00eenes d&#8217;infection RedDriver commencent par l&#8217;ex\u00e9cution d&#8217;un binaire nomm\u00e9 &#8220;DnfClientShell32.exe&#8221;, qui, \u00e0 son tour, initie des communications crypt\u00e9es avec un serveur de commande et de contr\u00f4le (C2) pour t\u00e9l\u00e9charger le pilote malveillant.<\/p>\n<p>&#8220;Nous n&#8217;avons pas observ\u00e9 la livraison du fichier initial, mais il est tr\u00e8s probable que le fichier ait \u00e9t\u00e9 emball\u00e9 pour se faire passer pour un fichier de jeu et qu&#8217;il ait \u00e9t\u00e9 h\u00e9berg\u00e9 sur un lien de t\u00e9l\u00e9chargement malveillant&#8221;, a d\u00e9clar\u00e9 Neal.  &#8220;La victime a probablement pens\u00e9 qu&#8217;elle t\u00e9l\u00e9chargeait un fichier \u00e0 partir d&#8217;une source l\u00e9gitime et a lanc\u00e9 l&#8217;ex\u00e9cutable. &#8216;DNFClient&#8217; est le nom d&#8217;un fichier appartenant \u00e0 &#8216;Dungeon Fighter Online&#8217; qui est un jeu extr\u00eamement populaire en Chine et commun\u00e9ment appel\u00e9 &#8216;DNF&#8217;. .'&#8221;<\/p>\n<p>&#8220;RedDriver a probablement \u00e9t\u00e9 d\u00e9velopp\u00e9 par des acteurs hautement qualifi\u00e9s, car la courbe d&#8217;apprentissage pour d\u00e9velopper des pilotes malveillants est abrupte&#8221;, a d\u00e9clar\u00e9 Cisco Talos.  &#8220;Bien que la menace semble cibler les locuteurs natifs chinois, les auteurs sont probablement aussi des locuteurs chinois.&#8221;<\/p>\n<p>&#8220;Les auteurs ont \u00e9galement d\u00e9montr\u00e9 une familiarit\u00e9 ou une exp\u00e9rience avec les cycles de d\u00e9veloppement de logiciels, un autre ensemble de comp\u00e9tences qui n\u00e9cessite une exp\u00e9rience de d\u00e9veloppement ant\u00e9rieure.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/hackers-exploit-windows-policy-loophole.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une faille de la politique de Microsoft Windows a \u00e9t\u00e9 observ\u00e9e, principalement exploit\u00e9e par des pirates de langue maternelle chinoise pour falsifier des signatures sur des pilotes en mode noyau. &#8220;Les acteurs exploitent plusieurs outils open source qui modifient la date de signature des pilotes en mode noyau pour charger des pilotes malveillants et non [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":825773,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,133,8736,4806,75062,4157,4159,4171,4170,65,4167,4160,2268,4163,4162,6778,2046,4394,1060,185,4172,4169,28040,4166,4164,45020],"class_list":["post-825772","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-exploitent","tag-failles","tag-forger","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-mode","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-noyau","tag-pilotes","tag-pirates","tag-politique","tag-pour","tag-securite-informatique","tag-securite-internet","tag-signatures","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/825772","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=825772"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/825772\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/825773"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=825772"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=825772"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=825772"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}