Sécurité : une alerte aux pilotes pour Windows trop souvent vulnérables

Mickey Shkatov et Jesse Michael, chercheurs en sécurité chez Eclypsium, ont présenté les résultats de leur analyse lors de la Def Con qui se tenait ce week-end à Las Vegas.

Les chercheurs ont découvert des failles de conception dans plus de 40 pilotes (drivers) d’au moins 20 fournisseurs et fabricants de matériel informatique.

Les vulnérabilités en question apportent indûment une élévation de privilèges à l’utilisateur (ou à l’attaquant) de l’appareil sous Windows sur lequel le pilote a été installé. Un individu malintentionné pourrait ainsi utiliser des fonctions de pilote légitimes pour exécuter des actions malveillantes dans Windows, y compris dans le noyau du système.

Les chercheurs l’ont expliqué dans un billet de blog.

Des drivers validés, certifiés, mais vulnérables

« Toutes ces vulnérabilités permettent au pilote d’agir comme un proxy pour effectuer un accès hautement privilégié aux ressources matérielles, comme les droits de lecture/écriture et les entrées-sorties associés aux processeurs et aux chipsets, aux registres spécifiques du modèle (MSR) et à d’autres registres (control, debug), à la mémoire physique et à la mémoire virtuelle du noyau », ont souligné MM. Shkatov et Michael.

« Il s’agit d’une élévation de privilèges qui peut faire passer un attaquant du mode utilisateur (Ring 3) au mode noyau du système d’exploitation (Ring 0). » En outre, l’accès au noyau ouvre grand l’accès au système d’exploitation lui-même. Il peut également fournir des privilèges plus élevés encore pour accéder « aux interfaces matérielles et aux firmwares, dont le BIOS (Basic Input Output System) de l’appareil. »

Des millions d’utilisateurs de Windows pourraient être impactés. D’autant plus que tous les pilotes en question ont été validés par des tiers de confiance et certifiés par Microsoft Corp.

Les chercheurs ont ajouté : « ces problèmes s’appliquent à toutes les versions récentes de Microsoft Windows. » Par ailleurs, « il n’existe actuellement aucun mécanisme universel permettant d’empêcher une machine Windows de charger l’un de ces mauvais pilotes. »

Intel, Huawei, Realtek et consorts sont concernés

Eclypsium, spécialiste américain de la sécurité des firmwares, dit avoir informé chacun des fournisseurs de pilotes concernés par ces problèmes en amont de sa présentation, a rapporté ZDNet. Les sociétés qui ont déjà publié des mises à jour sont listées ci-dessous :

– American Megatrends International (AMI)
– ASRock
– ASUSTeK Computer
– ATI Technologies (AMD)
– Biostar
– EVGA
– Getac
– GIGABYTE
– Huawei
– Insyde
– Intel
– Micro-Star International (MSI)
– NVIDIA
– Phoenix Technologies
– Realtek Semiconductor
– SuperMicro
– Toshiba

Les fournisseurs peuvent adresser les équipementiers (OEM) ou les utilisateurs finaux avec les mises à jour de pilotes.

Microsoft, de son côté, recommande aux utilisateurs de son OS d’utiliser le contrôle d’application Windows Defender (Windows Defender Application Control) pour bloquer les logiciels et pilotes vulnérables connus.

De surcroît, la firme de Redmond utiliserait sa fonctionnalité HVCI (Hypervisor-enforced Code Integrity) pour écarter les pilotes vulnérables qui lui auront été signalés. Mais HVCI ne fonctionne que sur des processeurs Intel de 7ème génération et ultérieure. La désinstallation manuelle de drivers vulnérables sera donc nécessaire pour d’autres.