Les chercheurs du fournisseur de sécurité Bitdefender ont découvert le rootkit FiveSys qui a réussi à se frayer un chemin à travers le processus de certification des pilotes de Microsoft. Et ce n’est pas la première fois.
Changement de tactique
Les auteurs de rootkits ont peut-être trouvé un moyen d’abuser du processus de signature numérique. Les chercheurs en cybersécurité ont découvert un autre rootkit qui a abusé du processus de signature Windows Hardware Quality Labs (WHQL) de Microsoft.
Il s’agit de FiveSys, le deuxième rootkit qu’ils ont rencontré. Celui-ci a réussi à se frayer un chemin à travers le processus de certification des pilotes de Microsoft. Selon les chercheurs, la plupart des rootkits documentés dans le passé reposent sur des certificats numériques d’entreprises légitimes volés.
Jusqu’à récemment, les auteurs de logiciels malveillants utilisaient des certificats numériques volés pour signer leurs pilotes. Mais l’équipe de Bitdefender a noté un changement de tactique.
Abus de processus
Netfilter a été le premier rootkit à abuser du processus de signature numérique de Microsoft. Avec FiveSys, les chercheurs de Bitdefender pensent qu’il ne s’agit pas d’incidents isolés. Ceux-ci indiquent peut-être une nouvelle tendance de Malware utilisant les signatures WHQL.
Cette nouvelle exigence garantit que tous les pilotes sont validés et signés par le fournisseur du système d’exploitation plutôt que par le développeur d’origine. Et en tant que telles, les signatures numériques n’offrent aucune indication quant à l’identité du véritable développeur
Bitdefender suggère également que la soumission au processus aide les acteurs de la menace à cacher leur identité. Bien que leurs motivations semblent être claires, la manière exacte dont ils ont réussi à contourner le processus de certification pour obtenir des certificats légitimes reste un mystère.
Peu de temps après avoir découvert le Malware, Bitdefender a contacté Microsoft pour signaler cet abus de confiance numérique. Le géant du logiciel a révoqué la signature.
- Partager l'article :