Driver (Pilote) = Rootkit (Hacker) ;-)

 

 

Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant

Fanny Dufour

22 octobre 2021 à 17h22

 

Un driver, signé électroniquement par Microsoft, s'est révélé être un rootkit, tel que l'ont découvert les chercheurs de Bitdefender.

C'est la deuxième fois en quelques mois qu'un driver signé par les services de validation de Microsoft est en réalité un logiciel malveillant.

Un rootkit qui redirige le trafic internet

Pour la deuxième fois en quelques mois, un driver possédant une signature WHQL, certifiant normalement qu'il a été vérifié par Microsoft, était en vérité un rootkit. C'est ce qu'ont découvert les chercheurs de Bitdefender en se penchant sur FiveSys. Comme pour Netfilter avant lui, les créateurs du rootkit ont réussi contourner le système et à obtenir une certification de la part de l'entreprise, leur permettant de gagner la confiance des utilisateurs et d'avoir accès à des fonctionnalités sur le système d'exploitation qui leur sont normalement interdites.

Une fois sur la machine de sa victime, le rootkit redirige le trafic internet de la machine infectée à travers un proxy personnalisé, choisi parmi une liste de 300 domaines. Il installe un certificat racine personnalisé pour faire fonctionner la redirection HTTPS, afin d'éviter que le navigateur prévienne l'utilisateur que l'identité du serveur proxy est inconnue. Il se protège en empêchant les modifications du registre et empêche également l'installation de rootkits et de malwares provenant d'autres groupes.

Un rootkit concentré sur la Chine

D'après Bitdefender, FiveSys serait en activité depuis plus d'un an. Il ne se serait pas propagé en dehors de la Chine pour le moment, ses créateurs semblant particulièrement intéressés par ce marché. Les chercheurs pensent qu'il vise particulièrement les jeux en ligne, dans le but de voler des identifiants et détourner les achats faits en jeu.

Les chercheurs ont prévenu Microsoft de leurs trouvailles et l'entreprise a révoqué la signature accordée au faux driver. Bitdefender ne nomme pas précisément un groupe de hackers comme étant à l'origine de ces attaques.

Sur le même sujet :
Microsoft admet avoir signé un driver qui était en réalité un rootkit

Sources : Neowin , Bitdefender

Windows 10: Microsoft dévoile « Secured core » pour bloquer les attaques sur le firmware

Sécurité : Cette nouvelle couche de sécurité concerne les PC haut de gamme. Le premier PC Windows 10 à bénéficier de "Secured core" est la Surface Pro X.

Par Liam Tung | Modifié le mardi 22 oct. 2019 à 17:19

Suivre @zdnetfr

 

 

 

Libellés

Secured core, windows, windows 10, Surface Pro X, sécurité, UEFI, rootkit, Hackers,

 

 

Apple a toujours eu le contrôle complet du matériel et de son système d’exploitation, mais la philosophie de Microsoft n’a jamais été du même ordre.
Mais récemment, Microsoft vise à prendre le contrôle sur le matériel au même niveau qu’Apple grâce à des partenariats avec des fabricants de PC sous Windows. L'objectif est de protéger les appareils contre les attaques qui exploitent le fait que le firmware dispose de privilèges plus élevés que le noyau Windows.
De nos jours, Microsoft est également une entreprise de matériel informatique. La société a tiré les leçons de la Xbox en matière de piratage DRM et les a appliquées à l'écosystème matériel Windows dans le cadre de la nouvelle initiative «Secured core».
Les consommateurs ne verront aucune marque «Secured core» sur leurs PC et la technologie n'existera que sur les derniers appareils Windows 10 équipés de jeux de puces Intel, Qualcomm et AMD.
Toutefois, sur ces nouvelles machines haut de gamme, comme les ordinateurs portables Surface Pro X et Dragonfly, les consommateurs bénéficieront d’une couche de sécurité supplémentaire qui isolera les clés de chiffrement et les éléments d’identité de Windows 10. Ces éléments pouvaient être compromis par des attaques visant les firmwares spécifiques à un appareil.

Nouvelles attaques et nouvelles protections

À la base, la nouvelle protection du firmware provient d’une fonctionnalité de Windows Defender appelée System Guard. Cette fonctionnalité est destinée à protéger les PC Windows 10 des nouvelles attaques utilisées par les groupes de piratage de haut niveau tels que APT28 ou Fancy Bear. Ces groupes ont utilisé à la fin de l’année dernière un nouveau rootkit UEFI (Unified Extensible Firmware Interface) pour cibler les ordinateurs Windows.
"Si vous êtes visés par un malware au niveau du noyau sur votre système d'exploitation standard, l'attaquant ne pourra pas accéder aux fonctionnalités critiques", a déclaré à ZDNet Dave Weston, directeur associé de la sécurité Windows chez Microsoft.
La conception de Secured Core découle de l’expérience de Microsoft en matière de prévention du piratage sur ses consoles de jeu Xbox.
"La Xbox a un modèle de menace très avancé, car nous ne faisons pas confiance à l'utilisateur, même s'il possède physiquement l’appareil. Nous ne voulons pas que l'utilisateur puisse pirater la console pour exécuter ses propres jeux", a déclaré Weston.
"En outre, lorsqu’on sort du domaine de jeu et que l’on se place dans le monde réel, vous voulez avoir la même garantie qu'un attaquant ne peut pas accéder à votre code et à vos données. Nous avons tiré nos propres leçons et travaillé avec des fournisseurs de composant afin de développer une stratégie pour faire face aux menaces avancées ".
Microsoft avait déjà Secure Boot. Cependant, cette fonctionnalité suppose que le firmware est approuvé pour vérifier les chargeurs d'amorçage, ce qui signifie que les attaquants peuvent exploiter le micrologiciel approuvé. Le rootkit d’APT28 n’était pas correctement signé, ce qui signifie que les PC Windows sur lesquels Windows Secure Boot est activé ne sont pas vulnérables, car le système autorise uniquement le chargement du firmware signé.
Cependant, une fois infectés, les logiciels malveillants d’APT28 pouvaient survivre à une réinstallation du système d’exploitation ou au remplacement d’un lecteur matériel.
La nouvelle initiative de Microsoft en matière de sécurité intervient alors que les attaquants et les chercheurs en sécurité s'intéressent de plus en plus aux firmwares. Les vulnérabilités de affectant ces composants divulguées en 2016 étaient inférieures à 50, mais sont passées à 400 en 2017 et à un peu moins de 500 en 2018.

REF.:

Sony a ajouter un rootkit dans sa dernière mise a jour du micro-logiciel de la PS-3 ?

Les joueurs sur un forum accuse Sony d'ajouter un rootkit pour sa dernière version du firmware de la PlayStation 3.Les rootkits, en général, ont une mauvaise réputation. observateurs de sécurité souvent les associer à des logiciels malveillants. Dans ce cas particulier, cependant, le rootkit Sony présumée permettrait de scruter les fichiers système des utilisateurs à leur insu.Un utilisateur baptisé NA, qui le premier a parlé de la prétendue rootkit la semaine dernière sur le forum NeoGAF et il a cité le travail effectué par le développeur Mathieulh, allègue qu'un rootkit dans la version firmware 3.56 permet à Sony "à distance d'exécuter du code sur la PS3" lorsque les utilisateurs se connecter à la console PlayStation Réseau. Mathieulh informé les gens sur Internet Relay Chat que le rootkit présumé peut être utilisé par Sony pour "vérifier les fichiers système ou de la recherche pour les homebrews." Il pourrait également être utilisé comme un moyen de s'assurer que les utilisateurs sur le PlayStation Network utilisez propre firmware de Sony.


Toutefois, NA a également souligné que "Sony n'a pas activé de tout cela pour le moment."Pour sa part, Sony n'a pas fait mention d'un rootkit être ajouté à sa dernière mise à jour.Une page sur le site de l'entreprise décrivant les mises à jour en version firmware 3.56 seulement dire que un «correctif de sécurité a été ajoutée." À cause de cela, il convient de noter que les demandes formulées par Internet Relay Chat et forums ne sont pas fondées, et il n'existe actuellement aucune indication de Sony qu'un rootkit a été ajouté à sa PlayStation 3 firmware. 

Ce qui est clair, c'est que Sony est au milieu d'une véritable bataille avec Jailbreakers qui continuent de contester la façon dont les garanties compagnie de sa console. Avec chaque nouvelle mise à jour publiée par Sony puisque la société a pris la décision de mettre fin à l'appui pour "Other OS", permettant à des gens pour exécuter les systèmes d'exploitation - Linux en général - sur la console, Jailbreakers ont trouvé des façons d'exécuter des applications homebrew soi-disant.version du firmware PlayStation 3 3.55 sans doute le plus attiré l'attention après bien connue hacker George Hotz, connu comme son nom sur le Web, Geohot, a trouvé une façon pour les utilisateurs d'exécuter des packages personnalisés sur la console. Le déménagement invité Sony de demander une ordonnance restrictive contre Geohot de prendre sa solution depuis le Web. Après une longue bataille judiciaire avec chaque coups de négociation côté, Sony a reçu l'ordonnance de la semaine dernière.


"Après examen du dossier et les plaidoiries des avocats, le tribunal constate que l'ordonnance d'interdiction temporaire est justifiée," US District Court juge Susan Illston a écrit dans un jugement rendu la semaine dernière. "Le demandeur a présenté des preuves substantielles indiquant que le défendeur George Hotz a violé le Digital Millennium Copyright Act."Pour sa part, soutient que son Hotz jailbreak ne doit pas violer le DMCA. Il a souligné que le DMCA permet aux propriétaires de téléphone mobile au jailbreak leurs appareils sans crainte de recours juridique. L'acte de grande portée ne mentionne pas d'autres appareils, ce qui a permis à Sony de prendre le dessus dans sa lutte contre Hotz.




"Je pense que le précédent même principe devrait s'appliquer", Hotz a déclaré dans une interview avec G4TV le mois dernier. "Si vous ne pouvez jailbreak un système fermé, pourquoi ne pas vous jailbreak un autre?"C'est un sentiment que de nombreuses questions dans les forums NeoGAF d'accord avec. Et plutôt que d'affronter la possibilité d'être enfermé dans le dernier firmware de Sony, ceux qui croient que Mathieulh demande un rootkit est dans la dernière version du logiciel ont mis en garde les autres de ne pas mettre à niveau à 3,56."Firmware Officiel 3.56 libérés", une annonce se lit sur le forum. "Ne mettez PAS à jour."Sony n'a pas immédiatement répondu à une demande de commentaire.Retour en 2005, Sony BMG a essuyé des tirs, y compris pour un rootkit dans les logiciels sur certains CD de la compagnie. Le rootkit est utilisé pour limiter la reproduction généralisée des CD de musique à l'époque. Sony infirmé par la suite sa position, en offrant une solution pour supprimer le rootkit, et puis finalement, a rappelé CD avec les rootkits installés.

REF.:

Supprimer le Virus(Rootkit) Sinowal / Mebroot ,de Windows XP

C'est le Rootkit le plus dangereux actuellement sur Windows XP,alors attention !
Mais,Pas encore ,sur Vista , +)



Un Rootkit ,c'est quoi ?
Un rootkit s'utilise après une intrusion et l'installation d'une porte dérobée destinée à camoufler tous les changements effectués lors de l'intrusion. C'est comme cela que l'on peut préserver l'accès à la machine un maximum de temps. Les rootkits sont de ce fait difficilement détectables et seule une analyse forensique approfondie peut en révéler la présence.
La fonction principale du rootkit est de camoufler la mise en place d’une ou de plusieurs « portes dérobées ». Ces portes dérobées (utilisables en local ou à distance) permettent au pirate de s’introduire à nouveau au cœur de la machine sans pour autant exploiter une nouvelle fois la faille ayant permis l’accès frauduleux initial, faille qui serait tôt ou tard comblée.


Sinowal / Mebroot, un rootkit diablement efficace qui peut se soustraire à des programmes antivirus.

Cette semaine, je vais concentrer sur les meilleures techniques disponibles pour tenter d'éliminer l'auteur de l'infraction, si vous êtes l'un des malheureux qui ont déjà été touchés.
il peut être difficile en tant que diable pour se débarrasser de Sinowal / Mebroot une fois que votre PC a obtenu. (Sinowal est le nom d'une ancienne variante et Mebroot est sa forme plus récente).Mebroot infecte un PC de Master Boot Record (MBR), le premier secteur d'un disque dur, où il est invisible pour le commun des agents antivirus. Comme je l'ai dit la semaine dernière, votre meilleure défense contre l'infection est d'utiliser, sur une base régulière, un logiciel, tels que scanner gratuit Secunia Personal Software Inspector (téléchargez-le sur la page de téléchargement Secunia).
Idéalement, vous devriez lancer un scan PSI droit après l'installation de Microsoft Patch des mises à jour pour Windows. Le PSI scan vos applications tierces, vous pouvez donc les patcher avec les derniers correctifs. Media-player sans patchs logiciels - Adobe Reader, Flash Player, Apple QuickTime, et autres - sont particulièrement vulnérables à Mebroot et d'autres menaces, il est donc vital de garder vos applications up-to-date.

Mais, aussi prudents que vous êtes, il est possible que votre PC ont été infectés lors de votre visite en apparence légitime à un site moins-que-plein-jour navigateur ou pendant que vous utilisez une application avec un trou de sécurité sans patchs.

Des tests d'antivirus entreprise, le 21 octobre,pour le virus-Rootkit Sinowal-Mebroot. Seulement 10 des 35 programmes antivirus (28,6%) a correctement identifiés ou signalés le Virus.
Même le meilleur outil ne peut pas être 100% efficace contre une menace qui évolue aussi rapidement que cette terreur.

L'Utilisation de F-Secure à développer un utilitaire de nettoyage de rootkits ,très efficace.
- Entreprise de sécurité F-Secure est à l'avant-garde de la réponse du secteur de Mebroot. F-Secure Kasslin Kimmo ,chercheur, a fait une présentation devant une salle de conférence à la conférence Virus Bulletin en Octobre, au cours de laquelle il a expliqué le Mebroot menace en ces termes:

* Mebroot est le plus avancé et furtif "malware" , vu jusqu'à présent.
* Quand une machine infectée est lancé, Mebroot charges premier et survit à travers le démarrage de Windows.
* Mebroot utilise un mécanisme d'installation très complexe, en essayant de contourner la sécurité des produits et de rendre plus difficile l'analyse automatique.
* En tant que charge utile, Mebroot attaques plus de 100 banques en ligne, en essayant de voler de l'argent que les utilisateurs ne leur banque en ligne sur les machines infectées.

F-Secure,soutient que son Blacklight rootkit scanner détecte et supprime Mebroot. F-Secure Mebroot dit aussi nécessité la mise au point de nouvelles techniques de détection entièrement.Télécharger-le : ICI , le Blacklight est un gratuiciel,disponible.
Pour obtenir les meilleures chances de détection, vous pouvez tester votre PC avec plusieurs antirootkit programmes, dont beaucoup sont gratuits. Pour un examen complet de plusieurs offres de haut, voir Scott Spanbauer du 22 Mai Best Software colonne.

Malheureusement, je ne connais pas de fabricant de logiciel qui prétend qu'il peut détecter avec fiabilité - et encore moins supprimer - chaque variante possible de Mebroot.

Sinon,si c'est trop tard!
Reformater le disque dur de la machine, réinstaller Windows et vos applications, puis copier soigneusement vos données.Et soiyer très sûr de maintenir enfoncée la touche Shift à chaque fois que vous insérez une clé USB. La touche Maj contourne le comportement du Windows AutoPlay , ce qui fait que tous les logiciels malveillants ont moins de chances de fonctionner automatiquement.
Enfin, installer et utiliser le Secunia Personal Software Inspector, chaque mois.


C00L !

REF.: Windows Secrets