L’émergence de l’attaque BYOVD (Bring Your Own Vulnerable Driver) met en évidence une vulnérabilité préoccupante au sein des pilotes signés légitimes. Cette forme d’exploitation permet aux cybercriminels d’exécuter du code au niveau du noyau, d’échapper à la détection de Microsoft Defender et de déployer ensuite des rançongiciels. Pour protéger votre système, il est impératif de mettre en œuvre les mesures de protection décrites dans ce guide.
Comprendre l’attaque BYOVD et son impact sur Microsoft Defender
L’attaque BYOVD utilise principalement le pilote rwdrv.sys, qui, bien que généralement associé à des applications légitimes telles que Throttlestop ou divers logiciels de contrôle de ventilateurs, peut être manipulé pour obtenir un accès non autorisé au noyau. Voici une description détaillée du processus d’attaque :
- Les attaquants s’infiltrent dans le PC cible, souvent par le biais de compromissions de réseau ou en utilisant des chevaux de Troie d’accès à distance (RAT).
- Une fois l’accès sécurisé, ils installent le pilote rwdrv.sys de confiance.
- Ce pilote est exploité pour obtenir des privilèges élevés, permettant l’installation du pilote malveillant hlpdrv.sys.
- Le pilote hlpdrv.sys modifie ensuite les paramètres du registre Windows, désactivant ainsi efficacement les fonctionnalités de protection de Microsoft Defender.
- Une fois ces défenses contournées, les attaquants sont libres d’installer des ransomwares ou de se livrer à d’autres activités malveillantes.
Le rançongiciel Akira est actuellement associé à ces attaques. Cependant, Microsoft Defender étant devenu inefficace, les attaquants pourraient exécuter un large éventail d’opérations malveillantes. Il est crucial de rester vigilant et d’appliquer les mesures préventives suivantes.
Amélioration des fonctionnalités de sécurité de Windows
Windows intègre des fonctionnalités de sécurité capables de contrer de telles attaques, même lorsque Microsoft Defender est compromis. Pour renforcer vos défenses, recherchez « Sécurité Windows » dans le menu Démarrer et activez les options de sécurité suivantes, qui peuvent être désactivées par défaut :
- Accès contrôlé aux dossiers : cette fonctionnalité protège contre les menaces de rançongiciels, même lorsque Defender est hors ligne. Accédez à Protection contre les virus et menaces → Gérer les paramètres → Gérer l’accès contrôlé aux dossiers et activez-la. Vous pouvez également désigner des dossiers spécifiques pour renforcer votre protection contre les attaques de rançongiciels.
- Fonctionnalités d’isolation du noyau : l’activation de ces fonctionnalités peut empêcher l’installation de pilotes vulnérables et bloquer l’exécution de code malveillant. L’activation de ces paramètres peut considérablement améliorer la sécurité de votre système, en empêchant potentiellement les attaques BYOVD avant qu’elles ne s’infiltrent. Accédez à la section Sécurité de l’appareil et aux détails de l’isolation du noyau. Il est conseillé d’activer toutes les fonctionnalités ici ; notez cependant que l’activation de l’intégrité de la mémoire peut nécessiter des ajustements de pilote supplémentaires.
Suppression des utilitaires inutiles au niveau du noyau
La prudence est de mise lors de l’utilisation d’utilitaires fonctionnant au niveau du noyau, car beaucoup utilisent le pilote rwdrv.sys. Lorsque ce pilote est déjà présent sur un système, il simplifie la tâche des attaquants, car ils n’ont pas besoin d’en installer une copie supplémentaire. Ces pilotes déjà installés ont été exploités lors d’attaques récentes. Si vous n’avez pas besoin de ces utilitaires, pensez à cesser de les utiliser, en particulier ceux comme Throttlestop ou RWEverything qui installent rwdrv.sys.
Pour vérifier si rwdrv.sys est installé, saisissez « cmd » dans la recherche Windows, faites un clic droit sur l’invite de commandes et sélectionnez « Exécuter en tant qu’administrateur ». Exécutez la commande where /r C:\ rwdrv.syspour lancer une analyse. Si le résultat indique la présence de rwdrv.sys, identifiez et désinstallez l’application responsable de son installation.
Utilisation de comptes d’utilisateurs standard pour les opérations quotidiennes
Pour une protection optimale contre les menaces telles que le BYOVD, il est conseillé d’utiliser un compte standard pour les activités quotidiennes plutôt qu’un compte administrateur. Cette stratégie est particulièrement importante car l’attaque exploite les privilèges d’administrateur pour installer ou exploiter des pilotes vulnérables.
En utilisant un compte standard, les pirates auront du mal à mettre en œuvre des modifications avancées du système, empêchant ainsi l’attaque de progresser. En cas de tentative d’intrusion, vous recevrez des notifications. Pour créer un nouveau compte standard, accédez aux Paramètres Windows, sélectionnez Comptes → Autres utilisateurs → Ajouter un compte, puis suivez les instructions pour configurer un nouveau compte avec des privilèges standard.
Explorer d’autres solutions antivirus
Cette attaque spécifique a été conçue pour désactiver les protections de Microsoft Defender ; cependant, elle est moins efficace contre les solutions antivirus tierces. Ces applications utilisent des méthodes diverses pour gérer leurs fonctions de protection, ce qui complique la réussite uniforme d’attaques comme BYOVD.
Pour améliorer votre sécurité, pensez à installer un programme antivirus gratuit réputé avec des capacités d’analyse en temps réel, tel qu’Avast ou AVG Antivirus.
Des chercheurs en sécurité d’organisations telles que GuidePoint et Kaspersky ont déjà observé l’utilisation de rwdrv.sys dans des attaques de type BYOVD impliquant le rançongiciel Akira et ont publié des indicateurs de compromission (IoC).Nous espérons que Microsoft apportera prochainement des solutions pour remédier à cette vulnérabilité, mais nous devons rester proactifs en activant toutes les fonctionnalités de sécurité Windows disponibles, notamment les fonctionnalités avancées de Microsoft Defender.
Articles connexes:
Découvrez des morceaux vintage avec la platine vinyle Bluetooth Majority Moto
10:33
Créez votre propre robot Android avec Androidify : un guide étape par étape
10:24
Pourquoi cette application de calendrier Terminal m’a fait dire au revoir à Google Agenda
10:18
Laisser un commentaire