Une étude récente de Check Point Research révèle l’exploitation du pilote Truesight.sys, utilisé pour désactiver les antivirus et les solutions EDR. Modifié en plus de 2 500 variantes et signé avec des certificats authentiques, ce pilote a été diffusé via des campagnes de phishing, permettant aux attaquants d’infiltrer des entreprises, principalement en Asie.
Pour contourner la complexité de la sécurité sous Windows, les cybercriminels, plutôt que de tenter de faire passer du code malveillant, souvent détecté et bloqué, préfèrent exploiter les vulnérabilités des pilotes. Ces composants logiciels à haut niveau de privilège, une fois compromis, donnent aux cybercriminels un moyen efficace de contourner la sécurité et d’installer des logiciels malveillants pour infecter des systèmes. Pour contrer cela, Microsoft a instauré en 2015 une politique interdisant de charger des pilotes non signés (c’est-à-dire n’ayant pas été signés par une organisation de confiance).
Désactiver les antivirus et les EDR
Toutefois, les pilotes développés avant 2015 sont toujours opérationnels et sont exploités par les cybercriminels. Dans une étude présentée le jeudi 27 février, les chercheurs de Check Point Research ont révélé que des cybercriminels avaient exploité une version obsolète du pilote Truesight.sys. « Bien qu'utilisé légitimement à des fins de sécurité, ce pilote présentait une faille majeure dans ses versions antérieures à la 3.4.0, qui permettait aux attaquants d'interrompre les processus en mode utilisateur et, par conséquent, de désactiver les antivirus ou les solutions de détection et de réponse sur des endpoints », écrivent les chercheurs.
Les cybercriminels exploitaient en fait la version 2.0.2 de Truesight.sys, passée sous les radars en raison de son code vulnérable, qui lui permettait d’esquiver la liste de blocage des pilotes vulnérables de Microsoft et d’autres dispositifs tels que le projet LOLDrivers, alors même que des itérations plus récentes, comme la 3.3.0, étaient associées à des incidents.
Des pilotes diffusés via des campagnes de phishing
Pour contourner ces systèmes de détection, les attaquants ont altéré le pilote au point de créer plus de 2 500 variantes, sans modifier la signature numérique du pilote, leur permettant de passer ni vu ni connu. « Pour parfaire leur stratagème, les cybercriminels ont signé ces variantes avec des certificats authentiques, garantissant leur chargement sur les systèmes sans éveiller les soupçons des outils de sécurité », décrivent les chercheurs.
Les pilotes ont en fait servi de téléchargeurs et étaient diffusés via des campagnes de phishing, notamment via des sites frauduleux ou des canaux de phishing intégrés dans des applications de messagerie. Les attaquants ont pu bénéficier d’un accès total et persistant sur les appareils ciblés, exfiltrer des données, surveiller et manipuler des systèmes. 75 % des machines compromises appartenaient à des entreprises basées en Chine. Les 25 % restants étaient également situés en Asie, principalement à Singapour et à Taïwan. Check Point Research a prévenu Microsoft Security Response Center, qui a actualisé sa Microsoft Vulnerable Driver Blocklist, et y a intégré la version 2.0.2 du pilote Truesight.sys.
