Le noyau Windows constitue un pont essentiel entre votre matériel et le système d’exploitation. Grâce à ses solides mesures de sécurité par défaut, il est difficile pour les logiciels malveillants d’infiltrer votre système. Cependant, les menaces de contournement de KASLR, en constante augmentation, exploitent désormais les vulnérabilités des pilotes Living Off the Land (LOLDrivers) et les attaques de temporisation du cache pour contourner les autorisations d’accès élevées. Bien que ces attaques aient traditionnellement ciblé les anciens systèmes, des données suggèrent qu’elles menacent désormais Windows 11 24H2, exposant la mémoire critique du noyau. Vous trouverez ci-dessous un guide complet expliquant comment combler efficacement ces failles de sécurité.
Comprendre les menaces de contournement du KASLR
Le noyau de Windows régule méticuleusement l’accès aux ressources système vitales, notamment la mémoire et l’utilisation du processeur. L’une des principales mesures défensives employées est la randomisation de l’espace d’adressage du noyau (KASLR), conçue pour masquer les emplacements mémoire, rendant ainsi extrêmement difficile l’accès aux logiciels malveillants au niveau du noyau. Cependant, des avancées récentes ont conduit à l’utilisation d’un nouveau pilote, eneio64.sys, qui a réussi à contourner les protections KASLR dans Windows 11 24H2 en juin 2025.
Ce pilote est classé comme LOLDriver et peut être compromis grâce à la technique dite « Low Stub ».En résumé, les attaquants utilisent l’analyse de la mémoire et des suppositions éclairées pour identifier l’adresse mémoire de base de votre système. Un contournement réussi du noyau ouvre la voie à une exploitation réelle, mettant en évidence un niveau de menace critique.
Vous pouvez inspecter manuellement le dossier System32 à la recherche de ces pilotes. Si vous ne détectez aucun pilote problématique, cela signifie qu’ils sont absents ou ont été correctement supprimés.
Un autre exploit notable de mai 2025 consistait à utiliser des méthodes de temporisation du cache pour contourner complètement KASLR. Les attaquants ont alors mesuré la latence d’accès à des adresses potentielles du noyau dans une plage « 0xfff » sans avoir besoin d’autorisations telles que SeDebugPrivilege. Bien que cette attaque ait principalement ciblé Windows 10 et les versions antérieures de Windows 11 (21H2, 22H2, 23H2), il est essentiel pour les utilisateurs de Windows 11 de migrer vers 24H2 ou versions ultérieures afin de renforcer leurs défenses. Pour les utilisateurs rencontrant des problèmes de compatibilité lors de la mise à niveau vers 24H2, nous avons compilé une liste de solutions efficaces pour faciliter une transition en douceur.
Identifier les facteurs LOL pour atténuer les risques de contournement de KASLR
Après 2025, les améliorations de sécurité du noyau de Windows 11 24H2 ont exploité SeDebugPrivilege pour offrir une meilleure protection. Néanmoins, des acteurs malveillants continuent d’exploiter les techniques de contournement de KASLR via LOLDrivers pour infiltrer la dernière version de Windows 11.
Pour vérifier les pilotes système problématiques, lancez PowerShell en mode élevé et exécutez la commande suivante :
Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderName
Après avoir exécuté cette commande, surveillez la sortie des pilotes LOLDrivers. Parmi ces pilotes, on trouve MsIo64.sys, nt3.sys et VBoxTap.sys. Pour plus de vigilance, consultez la liste universelle des pilotes LOLDrivers.
Microsoft fournit une liste complète et mise à jour des pilotes bloqués ou obsolètes, incluant LOLDrivers. Vous pouvez télécharger cette liste au format XML et rechercher spécifiquement les pilotes problématiques comme enio64.sys à l’aide de :
Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "eneio64.sys"}
La méthode décrite garantit que votre appareil est protégé contre les pilotes LOL vulnérables susceptibles de faciliter le contournement de KASLR. Une approche plus intuitive consiste à accéder à Sécurité Windows -> Sécurité de l’appareil -> Détails d’isolation du cœur et à vérifier que l’intégrité de la mémoire est activée.
Les techniques de contournement de KASLR ressemblent au comportement du malware WinOS 4.0. Elles sont toutes deux très persistantes et délivrent des charges utiles via une chaîne d’attaques complexe.
Renforcer la sécurité Windows en appliquant SeDebugPrivilege
Les attaques par canal auxiliaire de synchronisation du cache représentent un risque important associé aux techniques de contournement de KASLR. Lorsque les attaquants exploitent diverses méthodes pour manipuler directement la mémoire du noyau, ils peuvent exposer les adresses du noyau sans nécessiter SeDebugPrivilege, une mesure de sécurité critique appliquée depuis l’avènement de Windows 11 24H2.
Cependant, même les utilisateurs de Windows 10 et des versions antérieures de Windows 11 peuvent renforcer leurs systèmes en appliquant SeDebugPrivilege. Voici une méthode rapide :
Sur un appareil Windows 10/11 Pro ou Entreprise, appuyez sur la commande Exécuter, secpol.mscpuis sur Entrée pour ouvrir la fenêtre Stratégie de sécurité locale. Accédez à Stratégies locales -> Attribution des droits utilisateur, puis double-cliquez sur Déboguer les programmes.
Après avoir ajouté de nouveaux utilisateurs, cliquez sur « Vérifier les noms » et appuyez sur OK. Enfin, sélectionnez « Appliquer » et cliquez à nouveau sur OK pour finaliser vos modifications.
Si vous utilisez Windows 10/11 Famille, vous n’avez pas accès à la stratégie de sécurité locale. Accédez plutôt à l’Éditeur du Registre en saisissant regedit. Accédez à
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Si cette clé n’est pas déjà présente, créez-la. Faites un clic droit pour définir une nouvelle valeur REG_SZ nommée SeDebugPrivilege, en ajustant sa valeur à Administrators. N’oubliez pas de toujours sauvegarder votre registre avant toute modification.
Pour lutter contre les menaces de logiciels malveillants ciblant le noyau, telles que les contournements KASLR, il est crucial d’empêcher l’installation de pilotes signalés par le service de sécurité Windows. Bien que des pilotes non signés soient parfois nécessaires, il est essentiel de suivre les bonnes pratiques à cet égard. Maintenir votre système d’exploitation à jour et adopter la dernière version de Windows est essentiel pour garantir la sécurité de votre système.
Questions fréquemment posées
1. Qu’est-ce que KASLR et pourquoi est-il important pour la sécurité de Windows ?
KASLR (Kernel Address Space Layout Randomization) est une fonctionnalité de sécurité de Windows qui randomise l’allocation de mémoire pour les processus du noyau, rendant ainsi beaucoup plus difficile pour les logiciels malveillants de prédire où injecter du code malveillant. Cette répartition aléatoire ajoute une couche de défense essentielle contre les attaques au niveau du noyau.
2. Comment puis-je vérifier les pilotes LOL sur ma machine Windows ?
Vous pouvez facilement vérifier les pilotes LOLDrivers en utilisant PowerShell en mode élevé. Exécutez la commande Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderNamepour afficher la liste des pilotes actuellement installés sur votre système.
3. Que dois-je faire si mon système dispose de pilotes obsolètes ou non sécurisés ?
Si vous rencontrez des pilotes obsolètes ou potentiellement non sécurisés, il est recommandé de les désinstaller et de les remplacer par des pilotes sécurisés et à jour recommandés par Microsoft. Vous pouvez également télécharger la dernière liste de blocage de pilotes de Microsoft pour identifier et empêcher l’installation de pilotes non sécurisés connus.
Articles connexes:
Comprendre lsass.exe : pourquoi il consomme de la RAM et son importance
21:31
Pourquoi Microsoft encourage le stockage cloud de vos fichiers Word : principales implications
21:29
Pourquoi Linux est le meilleur système d’exploitation pour les jeux : ma décision d’abandonner Windows pour toujours
19:04
Laisser un commentaire