Pc-Boost.com : le site de l'actualité informatique, de l'overclocking et de l'optimisation hardware !
S'enregistrer Se connecter pour profiter des fonctionnalités du site

Un pilote Gigabyte vulnérable mais signé numériquement est activement exploité.



gigabyte_mini.png

Un pilote Gigabyte vulnérable mais signé numériquement est activement exploité.

Il existe une forme de ransomware exploitant un pilote Gigabyte vulnérable puisque le pilote est signé numériquement, il devient facile à installer. Le malware installe un deuxième pilote qui désactive les logiciels de sécurité, après quoi le cryptage commence.

Le pilote signé, qui fait partie d'un progiciel désormais obsolète publié par le fabricant de cartes mères basé à Taïwan Gigabyte, présente une vulnérabilité connue, identifiée comme CVE-2018-19320. Le problème est un pilote de noyau appelé gdrv .sys qui est sujet au privilège d'escalade.

Bien que le pilote ne soit plus utilisé, il est toujours approuvé numériquement par Versign, pourquoi ce n'est pas encore connu. Grâce à ce certificat, le pilote peut toujours être installé, après quoi la vérification de la signature du pilote Windows peut être désactivée.

La vulnérabilité, publiée avec le code de preuve de concept en 2018 et largement signalée à l'époque, a été démentie par la société, qui a déclaré au chercheur qui a tenté de signaler le bogue que «ses produits ne sont pas affectés par les vulnérabilités signalées».

La société s'est rétractée par la suite et a cessé d'utiliser le conducteur vulnérable, mais il existe toujours et il demeure apparemment une menace. Verisign, dont le mécanisme de signature de code a été utilisé pour signer numériquement le pilote, n'a pas révoqué le certificat de signature, la signature Authenticode reste donc valide.

Dans ce scénario d'attaque, les criminels ont utilisé le pilote Gigabyte comme un coin pour pouvoir charger un deuxième pilote non signé dans Windows. Ce deuxième pilote va alors très loin pour tuer les processus et les fichiers appartenant aux produits de sécurité des terminaux, contournant la protection contre les falsifications, pour permettre au ransomware d'attaquer sans interférence.

Configurations logicielles affectées connues

65106169_mini.png
2_612_6_mini.png

C'est la première fois que nous observons un ransomware expédiant un pilote tiers de confiance, signé (mais vulnérable) pour patcher le noyau Windows en mémoire, charger leur propre pilote malveillant non signé et supprimer les applications de sécurité de l'espace du noyau. Le ransomware installé dans les deux cas s'appelle RobbinHood.

Gigabyte plus tôt, Gigabyte a affirmé que ses produits n'étaient pas affectés.

En savoir plus sur sophos : Cliquez ICI.

THE GURU3D


News


News postée par : Conrad56
Date : 11/02/20 à 11h00
Catégorie : Virus
Nombre d'affichages : 1622
Source de la news : THE GURU3D
Nombre de commentaires : 0 > Poster un commentaire

Poster votre commentaire

Vous devez être enregistré et connecté sur Pc-Boost pour poster un commentaire.

Vous pouvez tout de même poster via Facebook.

Les commentaires postés sur cette news