Microsoft bloque plus de 100 pilotes Windows malveillants signés

L'avis de sécurité publié hier par Microsoft et intitulé ADV230001 couvre un problème concernant de nombreux pilotes certifiés par le Windows Hardware Developer Program qui "ont été utilisés de manière malveillante dans le cadre d'une activité de post-exploitation" Ce problème a été découvert par des chercheurs de Sophos, qui ont informé Microsoft au début du mois de février 2023. En plus de ces chercheurs, Microsoft révèle que Trend Micro et Cisco ont fourni leurs propres rapports sur de tels problèmes, ce qui porte à 133 le nombre total de pilotes dangereux (y compris les pilotes non certifiés).

Selon Microsoft, l'enquête qui a suivi a révélé que "plusieurs comptes de développeurs pour le Microsoft Partner Center (MPC) étaient engagés dans la soumission de pilotes malveillants afin d'obtenir une signature Microsoft", ce qui n'est pas surprenant, tous ces comptes ont été rapidement suspendus. D'autres mesures ont également été prises, comme la mise en place de détections de blocage (à partir de Microsoft Defender 1.391.3822.0) qui fournissent une protection contre les pilotes légitimement signés utilisés dans des activités de post-exploitation.

Comme l'a révélé Sophos, deux types de pilotes malveillants ont été utilisés récemment dans diverses attaques. Le premier est similaire aux pilotes malveillants signés découverts l'année dernière et appartenant à la catégorie "Endpoint protection killer", tandis que l'autre type ressemble à un rootkit, conçu pour s'exécuter silencieusement en tant que tâche d'arrière-plan.

Comme d'habitude, tout ce que les particuliers doivent faire est de mettre à jour leur système d'exploitation ( ), et rien d'autre et rien d'autre. Ces problèmes n'ont pas affecté d'autres appareils ou services que les PC Windows, de sorte que les utilisateurs d'Azure, de Xbox ou de Microsoft 365 n'ont pas à s'inquiéter.

Acheter le Microsoft Surface Laptop Go 2 (8QF-00012) sur Amazon