Windows 10 et 11 : oups, la liste des pilotes malveillants n’a pas été mise à jour depuis 3 ans !
Afin de protéger Windows 10 et Windows 11, Microsoft a placé sur liste noire les pilotes malveillants ou obsolètes. L'ennui, c'est que la liste de ces pilotes n'a pas été mise à jour depuis 2019, alors que de nouveaux drivers défectueux sont apparus depuis.
Aujourd'hui, quand on souhaite mettre à jour les pilotes de son PC, il n'y a rien à faire. Quand ce n'est pas Windows Update qui s'en charge, c'est une application constructeur qui s'occupe de tout. Mais certains sites diffusent aussi des pilotes, via des applications tiers ou des exécutables classiques, et c'est là que les choses se compliquent. Car derrière ces drivers se cachent parfois des malwares, capables de prendre le contrôler d'une machine, de voler toutes les données de l'utilisateur, de les chiffrer, d'espionner la victime, etc.
Afin de contrecarrer ces pilotes tiers qui pullulent sur le Web, Microsoft a mis en place une liste noire. Celle-ci interdit à tout pilote tiers d'être installé sur la machine, que ce soit à la demande de l'utilisateur, ou lorsqu'un ordinateur est déjà corrompu et qu'il tente de forcer une installation de drivers. En théorie, ce système permet de repousser toute tentative d'intrusion dans le système face à un attaquant. Sauf que pendant près de trois ans, Microsoft a omis de pousser la mise à jour de cette liste auprès des utilisateurs.
Les pilotes malveillants pullulent sur le Web
Petit rappel des faits : pour qu'un pilote fonctionne directement, il a besoin d'un accès direct au noyau de Windows. Par conséquent, et afin d'éviter qu'un logiciel malveillant tente de compromettre le système, Microsoft exige que chaque pilote soit signé à l'aide d'un certificat. Néanmoins, certains pilotes pourtant légitimes peuvent faire les frais d'une ou de plusieurs vulnérabilités. Et si un développeur vient à corriger la faille en question, les anciens pilotes restent un terrain de jeu idéal pour un attaquant. Ce phénomène de pilotes malveillants, appelé BYOVD, existe depuis une bonne dizaine d'années et est considéré aujourd'hui comme l'une des pires menaces de piratage.
Comme le rappelle le site Ars Technica, le groupe Lazarus s'est récemment illustré en piratant les comptes d'une entreprise aérospatiale des Pays-Bas et un journaliste belge. Ils ont réussi leur attaque à l'aide d'un ancien pilote Dell. Autre exemple : des hackers ont répandu en juillet dernier un malware en exploitant une faille dans le pilote mhyport2.sys, un vieux driver antitriche utilisé par le jeu Genshin Impact. Aujourd'hui, on ne compte plus les exemples de ce type.
The Microsoft recommended driver block rules page states that the driver block list "is applied to" HVCI-enabled devices.
Yet here is an HVCI-enabled system, and one of the drivers in the block list (WinRing0) is happily loaded.
I don't believe the docs.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy— Will Dormann (@wdormann) September 16, 2022
Microsoft ne met plus à jour la liste des pilotes défectueux depuis 3 ans
Pour contrer ces menaces de pilotes malveillants, Microsoft a mis en place deux systèmes empêchant leur installation ou leur exécution. Le premier est appelé HVCI (HyperVisor-protected Code Integrity) et permet de protéger Windows 10 et Windows 11. Ce type de défense bloque le chargement en mémoire de drivers signés, mais obsolètes ou défectueux. Le second est nommé ASR et consiste à empêcher l'écriture de pilotes vulnérables sur le disque dur ou le SSD.
Problème : ces protections ne sont pas efficaces à 100%. Ainsi, avec l'aide d'un chercheur d'ESET, un journaliste d'Ars Technica a réussi à installer sur un PC un driver Dell vulnérable , le même driver exploité par le groupe de hacker Lazarus évoqué plus haut. Et ce, alors que l'option Intégrité de la mémoire était activée, tout comme celle concernant la Liste de blocage des pilotes vulnérables de Microsoft. Si vous souhaitez vous aussi vérifier que tout est ordre sur votre PC,, lancez l'outil Sécurité Windows, puis rendez-vous sur Sécurité des appareils > Isolation du noyau > Détails de l'isolation du noyau.
Mais le journaliste n'est pas le seul à avoir constaté ce genre de manquement au sein de l'OS. Will Dormann, chercheur d'Analygence (une société spécialisée dans la cybersécurité), tire le signal d'alarme depuis plusieurs semaines sur le fait que les attaques BYOVD ne sont pas suffisamment bloquées par Windows. Ils pointent du doigt notamment le pilote WingR0, reconnu comme vulnérable, qui n'est pas bloqué par Windows.
Le même Will Dormann explique que la liste noire des pilotes pour Windows 10 n'a pas été mise à jour depuis 2019, et que celle destinée à Windows Server 2019 ne contient que… 2 pilotes ! Si Microsoft n'a pas souhaité s'exprimer sur le sujet, un chef de projet de l'entreprise a finalement reconnu qu'il y avait un gros problème avec la liste de blocage des pilotes.
Comment bloquer l'installation des drivers malveillants sous Windows ?
Il aura fallu trois ans pour Microsoft s'aperçoive du problème, et pour que l'entreprise publie un outil permettant de “pousser” une mise à jour de la liste des pilotes obsolètes ou malveillants. En revanche, il convient de récupérer ce programme et de l'installer manuellement, puisqu'il n'est pas encore disponible via le Windows Update. Et son installation n'est pas une mince affaire, il faut bien le reconnaître. Le processus se trouve sur le site de Microsoft., dans la section intitulée Étapes de téléchargement et d'application du fichier binaire de liste de pilotes vulnérables.
Will Dormann a développé un petit script bien plus simple à installer. Cet outil peut être téléchargé via le lien ci-dessous. Il suffit afin d'en copier le contenu, de lancer le PowerShell en mode administrateur et de coller le contenu du script.
Source : Ars Technica