De nombreuses failles dans la conception des pilotes de 20 fournisseurs de matériel différents exposent les utilisateurs de Microsoft Windows à des problèmes de sécurité généralisés susceptibles de provoquer des attaques de logiciels malveillants persistants.
UNE
Un rapport intitulé "Pilotes vissés", présenté ce week-end à DEF CON par les chercheurs en sécurité d'Eclypsium, demande à Microsoft de prendre en charge des solutions permettant de mieux se protéger contre cette classe de vulnérabilités.
Microsoft devrait répertorier les mauvais conducteurs connus, recommande-t-il.
Les chercheurs d'Eclypsium ont constaté que le problème des pilotes non sécurisés était généralisé, avec plus de 40 pilotes d'au moins 20 fournisseurs différents menaçant la sécurité à long terme du système d'exploitation Windows.
Selon le rapport, les pilotes de tous les principaux fournisseurs de BIOS, y compris les fabricants de matériel Asus, Toshiba, Nvidia et Huawei, présentent des défauts de conception.
L'équipe de recherche a découvert les problèmes de codage et leurs impacts plus généraux tout en poursuivant une étude de sécurité en cours sur le matériel et les microprogrammes, montrant comment des attaquants peuvent utiliser les pilotes de logiciels non sécurisés dans leurs périphériques.
"Puisque notre domaine d'intérêt principal est la sécurité du matériel et des microprogrammes, nous nous sommes naturellement tournés vers les outils de mise à jour du microprogramme Windows", a déclaré Mickey Shkatov, chercheur principal chez Eclypsium.
"Une fois que nous avons commencé à explorer les moteurs utilisés par ces outils, nous avons trouvé de plus en plus de problèmes", a-t-il déclaré à E-Commerce Times.
Les failles de conception des pilotes permettent aux attaquants d’élever les privilèges de l’utilisateur pour leur permettre d’accéder au mode noyau du système d’exploitation. Cette escalade permet à l'attaquant d'utiliser le pilote en tant que proxy pour obtenir un accès hautement privilégié aux ressources matérielles, selon le rapport. Il ouvre un accès en lecture et en écriture à l'espace d'E / S du processeur et du jeu de puces, aux registres de modèle (MSR), aux registres de contrôle (CR), aux registres de débogage (DR), à la mémoire physique et à la mémoire virtuelle du noyau.
"Microsoft a un engagement fort en matière de sécurité et a fait ses preuves dans les enquêtes et la mise à jour proactive des périphériques concernés dès que possible. Pour une protection optimale, nous vous recommandons d'utiliser Windows 10 et le navigateur Microsoft Edge", a déclaré un porte-parole de Microsoft dans un commentaire adressé à le commerce en ligne par Rachel Tougher, représentant de la société.
Précaution de mesure
Les attaquants devraient d’abord compromettre un ordinateur afin d’exploiter des pilotes vulnérables, selon Microsoft.
Toutefois, les défauts de conception du pilote pourraient aggraver la situation, selon le rapport d'Eclypsium. Ils pourraient en fait faciliter la tâche de compromettre un ordinateur.
Par exemple, tout programme malveillant exécuté dans l'espace utilisateur pourrait rechercher un pilote vulnérable sur la machine victime. Selon le rapport, il pourrait ensuite l’utiliser comme un moyen d’exercer un contrôle total sur le système et potentiellement sur le micrologiciel sous-jacent.
Si un pilote vulnérable ne se trouve pas déjà sur un système, les privilèges d'administrateur seraient nécessaires pour installer un pilote vulnérable, reconnaissent les chercheurs. Néanmoins, les pilotes fournissant un accès au BIOS ou aux composants du système pour faciliter la mise à jour du micrologiciel, l'exécution de diagnostics ou la personnalisation des options du composant peuvent permettre aux attaquants d'utiliser ces outils pour élever les privilèges et persister de manière invisible sur l'hôte.
Pour aider à atténuer cette vulnérabilité, les utilisateurs Windows doivent appliquer
Windows Defender Application Control pour bloquer les logiciels et pilotes vulnérables connus, selon Microsoft.
Les clients peuvent mieux se protéger en allumant
intégrité de la mémoire pour les périphériques capables, Microsoft a également suggéré.
Risque probablement faible à modéré
Les entreprises de sécurité stimulent les opportunités de vente en fonction des vulnérabilités. Des rapports tels que les informations fournies par Eclypsium sont des véhicules de vente, a déclaré Rob Enderle, analyste principal du groupe Enderle, et il n’est pas inhabituel de voir les résultats surestimer les problèmes.
"Dans ce cas, ils mettent en évidence les pilotes vulnérables, ce qui pourrait permettre à une personne d'élever ses privilèges et de s'emparer d'un système. Toutefois, l'attaquant devrait passer par le périphérique compromis, ce qui signifie qu'il lui faudrait accès au système et, avec accès, vous pouvez faire beaucoup de choses pour compromettre un PC ", a déclaré Enderle au E-Commerce Times.
Il est également possible que l’utilisateur soit amené à utiliser un logiciel malveillant. Cela profiterait de la vulnérabilité de ce pilote, mais l’attaquant aurait besoin de savoir que la vulnérabilité existait en premier lieu pour que cela fonctionne, a-t-il noté.
"Compte tenu de l'environnement hostile dans lequel nous évoluons et du fait que nous avons des attaquants au niveau des États, toute vulnérabilité est une préoccupation", a averti Enderle. "Cependant, comme le vecteur d'attaque est compliqué et qu'une attaque efficace nécessite une connaissance du PC, le risque réel est faible à modéré."
Il vaut certainement la peine de regarder et de s’assurer que les mises à jour de pilotes corrigent ces vulnérabilités et qu’elles sont appliquées à temps, a-t-il ajouté.
Impact généralisé
Les flux de conception de pilote s’appliquent à toutes les versions modernes de Microsoft Windows. Selon le rapport, il n'existe actuellement aucun mécanisme universel permettant d'empêcher une machine Windows de charger l'un de ces mauvais pilotes connus.
L'implémentation de stratégies de groupe et d'autres fonctionnalités spécifiques à Windows Pro, Windows Enterprise et Windows Server peut offrir une certaine protection à un sous-ensemble d'utilisateurs. Une fois installés, ces pilotes peuvent résider sur un périphérique pendant de longues périodes à moins d’être spécifiquement mis à jour ou désinstallés, ont déclaré les chercheurs.
Ce ne sont pas seulement les pilotes déjà installés sur un système qui peut poser un risque. Les logiciels malveillants peuvent ajouter des pilotes pour augmenter les privilèges et obtenir un accès direct au matériel, ont averti les chercheurs.
Les conducteurs en question ne sont ni voyous ni non-sanctionnés, ont-ils souligné. Tous les pilotes proviennent de fournisseurs tiers de confiance, signés par des autorités de certification valides et certifiés par Microsoft.
Selon le rapport, Microsoft et les fournisseurs tiers devront être plus vigilants face à ces types de vulnérabilités.
Le logiciel de signature n'est pas toujours fiable
Les certificats de signature de code sont utilisés pour signer numériquement les applications, les pilotes et les logiciels. Le processus permet aux utilisateurs finaux de vérifier l’authenticité de l’éditeur, selon Chris Hickman, responsable de la sécurité chez
Keyfactor, mais il y a un risque à faire confiance à un logiciel signé.
"Les cyberattaqueurs opportunistes peuvent compromettre les certificats et les clés vulnérables chez les producteurs de logiciels, en installant souvent des logiciels malveillants qui détonent une fois qu'un micrologiciel ou une mise à jour logicielle est installé sur le système de l'utilisateur. C'est là que réside le plus grand risque pour la sécurité", a-t-il déclaré à E-Commerce Times.
La découverte par Eclypsium selon laquelle les défauts de conception des pilotes de logiciels incluent de nombreux fabricants de matériel et partenaires logiciels incite les entreprises et les utilisateurs de logiciels grand public à faire face à la menace, a déclaré Hickman. Ce vecteur d’attaque ressemble au piratage Asus de ce printemps.
"Les attaquants peuvent exploiter le code et les certificats pour créer et déployer des logiciels malveillants lorsque les entreprises exécutent des mises à jour standard – et généralement fiables -", a-t-il noté.
La signature de code ne garantit pas que les logiciels malveillants ne peuvent pas être introduits dans les logiciels. Avant de signer le code, d'autres étapes doivent être suivies, telles que le test du code et l'analyse des vulnérabilités, a expliqué Hickman.
Une fois le code signé, il sera installé tel qu'il a été signé, quel que soit son contenu, tant que le certificat de signature de code provient d'une source approuvée. Par conséquent, la sécurité, le soin et le contrôle des certificats de signature de code devraient être aussi importants pour DevOps que les autres formes de garantie de code légitime, a-t-il déclaré.
Réponse et correctifs
Selon Shkatov, tous les fournisseurs concernés ont été informés plus de 90 jours avant que Eclypsium ne planifie la divulgation des vulnérabilités.
Intel et Huawei ont informé Eclypsium qu’ils avaient publié des avis et des correctifs. Phoenix et Insyde ne publient pas directement les correctifs destinés aux utilisateurs finaux, mais ont publié des correctifs destinés à leurs clients OEM pour une éventuelle distribution aux utilisateurs finaux.
"On nous a parlé de solutions qui seront publiées par deux autres fournisseurs, mais nous n'avons pas encore de calendrier précis", a déclaré M. Shkatov. "Huit fournisseurs ont accusé réception de notre avis, mais nous ne savons pas si des correctifs seront publiés ni dans les délais impartis. Cinq fournisseurs n'ont pas répondu du tout."
Commentaires
Laisser un commentaire