Kaspersky, attaques et vulnérabilités des pilotes Windows

Deuxième Kasperskyles attaquants ciblent Windows en exploitant des pilotes vulnérables pour activer les attaques de ransomwares et les menaces persistantes avancées.

Ces attaques, connues sous le nom de BYOVD (Bring Your Own Vulnerable Driver), permet aux acteurs malveillants d’essayer de désactiver les solutions de sécurité sur un système et d’obtenir des privilèges élevés, leur permettant de mener des activités malveillantes, telles que l’installation de ransomwares ou la mise en place d’un espionnage ou d’un sabotage, en particulier si un groupe de Menace persistante avancée (APT).

Kaspersky a noté que cette technique d’attaque s’est accélérée en 2023 et continue de prendre de l’ampleur, affectant potentiellement à la fois les utilisateurs individuels et les organisations. Au deuxième trimestre 2024, le nombre de systèmes attaqués grâce à la technique BYOVD a augmenté de près de 23 % par rapport au trimestre précédent.

Dynamique des attaques qui exploitent les pilotes vulnérables

Vladimir Kuskov, responsable de la recherche anti-malware chez Kaspersky
Même si les pilotes sont légitimes, ils peuvent contenir des vulnérabilités pouvant être exploitées à des fins malveillantes. Les attaquants utilisent divers outils et méthodes pour installer un pilote vulnérable sur le système. Une fois chargé par le système d’exploitation, le pilote peut être exploité pour contourner les protections de sécurité du noyau du système d’exploitation.

Un aspect inquiétant de cette tendance est la disponibilité croissante en ligne d’outils exploitant les conducteurs vulnérables. Alors que de tels outils existent relativement peu en 2024 (seuls 24 projets ont été publiés depuis 2021), les experts de Kaspersky ont observé une augmentation du nombre d’outils publiés en ligne l’année dernière.

Vladimir Kouskov
Même si rien n’empêche les auteurs de menaces de développer leurs propres outils, ceux accessibles au public éliminent le besoin d’une expertise spécifique pour rechercher et exploiter les facteurs vulnérables. Rien qu’en 2023, nous avons identifié environ 16 nouveaux outils de ce type, ce qui représente une augmentation significative par rapport à un ou deux outils observés les années précédentes. Compte tenu de cette augmentation, il est fortement conseillé de mettre en œuvre des mesures de sécurité robustes pour tout système.

Comment contrer ces menaces

• Connaissez parfaitement votre infrastructure e moniteur ses actifs, en se concentrant sur le périmètre.
• Adoptez des solutions comme celles du portefeuille Kaspersky Next, qu’ils proposent protection en temps réel, visibilité des menaces, capacités d’enquête et de réponse EDR et XDR pour les entreprises de toutes tailles et de tous secteurs, protégeant ainsi les systèmes de l’utilisation de pilotes vulnérables.
• Mettez en œuvre un processus de gestion des correctifs pour détecter les logiciels vulnérables au sein de votre infrastructure et installez rapidement les correctifs de sécurité. Des solutions comme Kaspersky Endpoint Security et flux de données sur les vulnérabilités de Kaspersky peut apporter son aide dans ce domaine.
• Effectuez régulièrement des évaluations de sécurité pour identifier et corriger les vulnérabilités avant qu’elles ne deviennent un point d’entrée pour un attaquant.