Tous les utilisateurs de Windows doivent mettre à jour immédiatement lorsque le piratage « Contrôle complet » est confirmé

Il y a quelques semaines, des chercheurs de la société de cybersécurité Eclypsium révélé que presque tous les principaux fabricants de matériel ont une faille qui peut permettre à des applications malveillantes d'obtenir des privilèges de noyau au niveau de l'utilisateur, obtenant ainsi un accès direct au micrologiciel et au matériel.

Les chercheurs ont publié une liste de fournisseurs de BIOS et de fabricants de matériel, notamment Toshiba, ASUS, Huawei, Intel, Nvidia, etc. La faille affecte également toutes les nouvelles versions de Windows, notamment Windows 7, 8, 8.1 et Windows 10. Bien que Microsoft ait déjà publié une déclaration confirmant que Windows Defender est plus que capable de gérer le problème, ils n'ont pas mentionné que les utilisateurs ont besoin être sur la dernière version de Windows pour en profiter. Pour les anciennes versions de Windows, Microsoft a indiqué qu'il utilisera la capacité HVCI (Hypervisor-enforced Code Integrity) pour mettre sur liste noire les pilotes qui leur sont signalés. Malheureusement, cette fonctionnalité n'est disponible que sur les processeurs Intel de 7e génération et plus récents ; Ainsi, les processeurs plus anciens, ou les plus récents où HCVI est désactivé, nécessitent que les pilotes soient désinstallés manuellement.

Si cela ne suffisait pas, les pirates ont maintenant réussi à utiliser la faille pour exploiter les utilisateurs. Le cheval de Troie d'accès à distance ou RAT existe depuis des années, mais les développements récents l'ont rendu plus dangereux que jamais. Le NanoCore RAT se vendait sur le Dark Web pour 25 $ mais a été piraté en 2014 et la version gratuite a été mise à la disposition des pirates. Après cela, l'outil est devenu sophistiqué au fur et à mesure que de nouveaux plugins y ont été ajoutés. Maintenant, les chercheurs de LMNTRX Labs ont découvert un nouvel ajout qui permet aux pirates de profiter de la faille et l'outil est désormais disponible gratuitement sur le Dark Web.

Au cas où vous sous-estimeriez l'outil, il peut permettre à un pirate d'arrêter ou de redémarrer le système à distance, de parcourir des fichiers à distance, d'accéder et de contrôler le gestionnaire de tâches, l'éditeur de registre et même la souris. Non seulement cela, mais l'attaquant peut également ouvrir des pages Web, désactiver le voyant d'activité de la webcam pour espionner la victime sans se faire remarquer et capturer de l'audio et de la vidéo. Étant donné que l'attaquant a un accès complet à l'ordinateur, il peut également récupérer les mots de passe et obtenir les identifiants de connexion à l'aide d'un enregistreur de frappe, ainsi que verrouiller l'ordinateur avec un cryptage personnalisé qui peut agir comme un rançongiciel.

La bonne nouvelle est que NanoCore RAT existe depuis des années, le logiciel est bien connu des chercheurs en sécurité. L'équipe LMNTRX (via Forbes) a réparti les techniques de détection en trois catégories principales :

• T1064 – Script : Comme les scripts sont couramment utilisés par les administrateurs système pour effectuer des tâches de routine, toute exécution anormale de programmes de script légitimes, tels que PowerShell ou Wscript, peut signaler un comportement suspect. La vérification des fichiers Office pour le code de macro peut également aider à identifier les scripts utilisés par les attaquants. Les processus Office, tels que winword.exe générant des instances de cmd.exe, ou des applications de script telles que wscript.exe et powershell.exe, peuvent indiquer une activité malveillante.

• T1060 - Clés d'exécution du registre/dossier de démarrage : La surveillance du registre pour les modifications apportées aux clés d'exécution qui ne sont pas en corrélation avec les logiciels connus ou les cycles de correctifs, et la surveillance du dossier de démarrage pour les ajouts ou les modifications, peuvent aider à détecter les logiciels malveillants. Les programmes suspects exécutés au démarrage peuvent apparaître comme des processus aberrants qui n'ont jamais été vus auparavant lorsqu'ils sont comparés aux données historiques. Des solutions telles que LMNTRIX Respond, qui surveille ces emplacements importants et déclenche des alertes en cas de changement ou d'ajout suspect, peuvent aider à détecter ces comportements.

• T1193 – Pièce jointe de harponnage : Les systèmes de détection d'intrusion réseau, tels que LMNTRIX Detect, peuvent être utilisés pour détecter le harponnage avec des pièces jointes malveillantes en transit. Dans le cas de LMNTRIX Detect, les chambres de détonation intégrées peuvent détecter les pièces jointes malveillantes en fonction du comportement plutôt que des signatures. Ceci est essentiel car la détection basée sur les signatures échoue souvent à protéger contre les attaquants qui modifient et mettent fréquemment à jour leurs charges utiles.

Dans l'ensemble, ces techniques de détection s'appliquent aux organisations et aux utilisateurs personnels/à domicile, la meilleure chose à faire maintenant est de mettre à jour chaque logiciel pour s'assurer qu'il fonctionne sur la dernière version. Cela inclut les pilotes Windows, les logiciels tiers et même les mises à jour Windows. Surtout, ne téléchargez ou n'ouvrez aucun e-mail suspect et n'installez aucun logiciel tiers d'un fournisseur inconnu.