Gang de ransomware contourne la sécurité de l’EDR par une fuite du pilote

Le gang de ransomware BlackByte profite d’une fuite dans un pilote de GPU populaire pour gagner des privilèges plus élevés sur un système et contourner ensuite plus de 1 000 pilotes de logiciels antivirus.

Les experts en sécurité de Sophos mettent en garde contre une nouvelle technique dangereuse utilisée par les cybercriminels. Les pirates de BlackByte ont développé une attaque par laquelle ils exploitent une vulnérabilité dans un pilote graphique couramment utilisé pour Windows. Le problème est CVE-2019-16098 dans RTCore64.sys et RTCore32.sys. Ce pilote est utilisé par MSI Afterburner et se retrouve donc sur de nombreux systèmes surcadencés.

La fuite existe depuis longtemps et a également été corrigée, mais malheureusement de nombreux utilisateurs ont été privés de cette information. Par conséquent, leurs systèmes sont vulnérables. BlackByte utilise le bogue du pilote pour accéder aux privilèges d’un compte utilisateur authentifié. De là, les attaquants peuvent écrire dans une mémoire arbitraire.

Noyau net

Dans une étape suivante, les pirates de BlackByte utilisent leur accès pour contourner plus de 1 000 pilotes de solutions de sécurité. Pour ce faire, ils s’adressent directement au noyau d’un système et y désactivent les processus EDR (« Endpoint Detection and Response ») et ETW (« Event Tracing for Windows »).

De nombreuses solutions EDR utilisent l’ETW comme un important maillon de leur sécurité. Sans ETW, les solutions sont totalement aveugles, permettant aux attaquants de poursuivre leurs activités sans être dérangés. L’objectif final de BlackByte est de chiffrer un système avec un ransomware et de demander une rançon. Cela implique parfois le vol de données.

Exemple de restrictions de l’EDR

L’attaque est particulièrement dangereuse pour les particuliers, car le pilote utilisé pour lancer l’attaque sera rarement présent sur un système professionnel. La stratégie d’attaque montre très bien les limites de la protection EDR seule. Le secteur de la sécurité répète depuis des années qu’une détection supplémentaire au niveau du réseau est essentielle pour maîtriser les attaques modernes. Dans ce cas, la valeur ajoutée est claire.

Lorsque la fonction EDR est désactivée, un système individuel est vulnérable, mais la détection au niveau du réseau peut toujours identifier les irrégularités. Pensez aux connexions à l’infrastructure de commande et de contrôle, ou aux transferts de données qui indiquent qu’un criminel vole des données. Ainsi, en théorie, il est possible de détecter et d’arrêter l’attaque BlackByte à temps. Sans une couche supplémentaire de protection, cela devient difficile.

newsletter

Abonnez-vous gratuitement à ITdaily !

Category(Required)
This field is for validation purposes and should be left unchanged.