Pour prendre possession des appareils qui nous entourent et implémenter de graves menaces au cœur des systèmes, les cybercriminels visent de plus en plus souvent les failles au sein des pilotes et firmwares.

Les drivers, ou pilotes de périphériques, sont des codes logiciels de bas niveau, souvent exécutés dans l’espace « Kernel », et dont les failles de sécurité procurent aux attaquants des portes d’entrée leur donnant des permissions avancées permettant de mener des attaques discrètes ou destructrices.

Des pilotes très répandus pointés du doigt

Des chercheurs de la société Eclypsium ont ainsi dévoilé que plus de 40 pilotes Windows certifiés, provenant de plus de 20 constructeurs réputés (AMI, ASRock, Asus, ATI, Biostar, Intel, NVidia, Realtek, SuperMicro, Toshiba, Huawei…), contenaient des failles permettant une élévation de privilège et offrant un accès complet aux ressources matérielles, au réseau et à la mémoire physique. Elles permettent de mener des attaques d’une grande diversité, à l’insu des mécanismes de détection des protections classiques : espionnage de la mémoire et des données transférées par les interfaces réseau, désactivation de composants, vol ou destruction de données, etc.

Signés mais vulnérables

Ces vulnérabilités rappellent à tous qu’un pilote signé et certifié ne signifie pas que ce pilote est néanmoins sûr et invulnérable. Nous avions d’ailleurs récemment évoqué les risques relatifs à des vulnérabilités trouvées au sein du firmware du dongle USB Unifying des souris Logitech. Et de telles failles ont également été utilisées par le rootkit Lojax qui affecte directement le firmware UEFI chargé de veiller au démarrage du PC.
Le pire, c’est qu’il n’y a pas que les PC ayant de tels pilotes préinstallés qui sont vulnérables. Des attaques peuvent être construites commençant par l’implantation d’un de ces drivers vulnérables sur une machine afin de mener les actions malveillantes recherchées.

Savoir se protéger

Pour se protéger de tels risques, il est essentiel de régulièrement mettre à jour les pilotes. Microsoft invite également les responsables informatiques à activer la protection Windows Defender Application Control ainsi que la protection « Intégrité de la mémoire » accessible depuis le Centre de sécurité de Windows 10 (options Sécurité des appareils, Isolation du Noyau).
En outre Microsoft peut utiliser le mécanisme HVCI (Hypervisor-enforced Code Integrity) pour bannir les pilotes vulnérables qui lui sont signalés, mais ce mécanisme n’existe que sur les processeurs Intel Core i de 7ème génération et au-delà si Hyper-V est installé.

Les dangers des périphériques

Dans un esprit un peu différent mais qui mérite qu’on y accorde son attention, des chercheurs de Check Point ont de leur côté découvert des failles dans l’implémentation du protocole de transfert de photo PTP (Picture Transfer Protocol) de certains constructeurs d’appareils photo dont Canon. Les failles ne sont exploitables que sur les appareils dotés d’une connexion WiFi mais ces derniers sont désormais très fréquents, notamment dans l’univers professionnel. Ces failles permettent d’installer un malware au cœur de l’appareil et de l’utiliser pour dérober des photos ou se servir de l’appareil photo comme d’une porte d’entrée. Canon a publié un correctif à télécharger, mais on peut parier que cette découverte en inspirera d’autres.

Source :
Screwed Drivers – Signed, Sealed, Delivered