Cyberattaque

Les hackers de Scattered Spider utilisent un ancien pilote Intel pour contourner la sécurité

Par Philippe Ternision , le 12 janvier 2023 , mis à jour le 12 janvier 2023 - 4 minutes de lecture
hackeur
Notez l'article

Afin d’éviter d’être détecté par les produits de sécurité EDR (Endpoint Detection and Response), un acteur de la menace financièrement motivé, identifié comme Scattered Spider, a été vu en train de tenter de déployer des pilotes de diagnostic Ethernet Intel dans une attaque BYOVD (Bring Your Own Vulnerable Driver).

En utilisant l’approche BYOVD, les attaquants peuvent élever leurs privilèges dans Windows en exploitant un pilote en mode noyau connu pour être vulnérable.

Les pilotes de périphériques ont accès au noyau du système d’exploitation. Par conséquent, en tirant parti d’un bogue dans ces pilotes, les auteurs de menaces peuvent exécuter du code avec les plus grands privilèges dans Windows.

Crowdstrike a pris connaissance de cette nouvelle stratégie peu de temps après que le rapport préalable de la société de cyberintelligence sur Scattered Spider ait été rendu public au début du mois dernier.

Selon le rapport le plus récent de Crowdstrike, les pirates ont essayé de s’attaquer à SentinelOne, Palo Alto Networks Cortex XDR et Microsoft Defender for Endpoint en utilisant la technique BYOVD.

Désactivation des produits de sécurité

À l’aide d’appels spécialement conçus, l’acteur de menace Scattered Spider a été observé en train de tenter d’exploiter CVE-2015-2291, une faille de haute gravité dans le pilote de diagnostic Intel Ethernet qui permet à un attaquant d’exécuter du code arbitraire avec les privilèges du noyau.

Malgré le fait que cette vulnérabilité ait été corrigée en 2015, les acteurs de la menace peuvent toujours en tirer parti en installant une version obsolète du logiciel sur les machines compromises.

Scattered Spider utilise un modeste pilote de noyau 64 bits avec 35 fonctions qui est débloqué par Windows car il est signé par plusieurs certificats qui ont été volés à des autorités de signature, notamment NVIDIA et Global Software LLC.

Afin de mettre en place d’autres étapes de leur opération sur les réseaux ciblés, les acteurs de la menace utilisent ces pilotes pour désactiver les solutions de sécurité des points de terminaison et limiter la visibilité et les capacités de prévention des défenseurs.

Les pilotes cibles sont patchés à des décalages codés en dur après le démarrage du pilote en décryptant une chaîne codée en dur de produits de sécurité ciblés.

Les pilotes des logiciels de sécurité continuent à sembler être utilisés même s’ils ne protègent plus l’ordinateur grâce à la routine du malware qui a été introduite.

Cependant, Crowdstrike prévient qu’aucune entreprise ne peut se permettre d’écarter la menace des attaques BYOVD, malgré le fait que “Scattered Spider” ait un champ de ciblage très restreint et particulier.

Nous avons récemment fait état d’autres acteurs importants de la menace qui utilisent les attaques BYOVD pour alimenter leurs brèches avec des capacités Windows élevées, notamment le gang de ransomware BlackByte et le groupe de pirates nord-coréen Lazarus.

Un problème Windows de longue date

En 2021, Microsoft a tenté de résoudre ce problème de sécurité bien connu de Windows en créant une liste de blocage.

Étant donné que Windows n’interdit pas automatiquement certains pilotes à moins que vous ne soyez sous Windows 11 2022 et ultérieur, qui a été publié en septembre 2022, le problème n’a pas été résolu efficacement.

Pire encore, selon une étude d’ArsTechnica datant d’octobre, Microsoft ne mettait à jour la liste de blocage des pilotes qu’à chaque édition majeure de Windows, laissant les appareils ouverts à ce type d’attaques. Depuis lors, Microsoft a publié des mises à jour qui corrigent ce processus d’entretien et mettent à jour de manière appropriée la liste de blocage des pilotes.

Microsoft suggère que, pour se défendre contre ces menaces BYOVD, les utilisateurs de Windows activent la liste de blocage des pilotes. Pour activer la liste de blocage à l’aide de Windows Memory Integrity ou de Windows Defender Application Control, reportez-vous à cet article de support (WDAC).

Malheureusement, il peut être difficile d’activer l’intégrité de la mémoire sur des périphériques qui ne disposent pas de pilotes à jour.

 

 

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.