> Tous les forums > Forum Sécurité
 Un pilote signé par Microsoft est un...Malware .
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
miccmacc3
  Posté le 25/10/2021 @ 18:44 
Aller en bas de la page 
Maître astucien

Bonjour les amis

Le pilote FiveSys signé Microsoft WHQL était en fait un malware déguisé

Les logiciels malveillants sont assez dangereux comme ça. Mais ceux qui semblent inoffensifs car ils portent une certaine forme d'indicateurs de légitimité sont probablement les pires du genre. C'est le cas d'un nouveau pilote malveillant nommé « FiveSys ».

Les chercheurs en sécurité de Bitdefender ont découvert que ce nouveau malware, qui est un rootkit, est en fait signé numériquement par Microsoft lui-même. Le pilote malveillant FiveSys porte la certification Windows Hardware Quality Labs (WHQL) fournie par Microsoft après une vérification minutieuse des packages de pilotes envoyés par ses différents fournisseurs partenaires via le programme de compatibilité matérielle Windows (WHCP)


voir photo


Ci-dessous, Bitdefender a expliqué pourquoi le rootkit FiveSys existe et comment il fonctionne :

Le but du rootkit est simple : il vise à rediriger le trafic Internet dans les machines infectées via un proxy personnalisé, qui est tiré d'une liste intégrée de 300 domaines. La redirection fonctionne à la fois pour HTTP et HTTPS ; le rootkit installe un certificat racine personnalisé pour que la redirection HTTPS fonctionne. De cette façon, le navigateur n'avertit pas de l'identité inconnue du serveur proxy.

Il a été observé que la propagation de FiveSys est jusqu'à présent limitée à la Chine, ce qui indique peut-être que les acteurs de la menace sont principalement intéressés par cette partie de la région. En termes d'autres caractéristiques clés, le livre blanc associé mentionne également que le rootkit bloque les modifications du registre et tente également de bloquer l'accès de ses concurrents à un système infecté.

En plus de rediriger le trafic Internet, le rootkit bloque également le chargement de pilotes provenant d'autres groupes d'écriture de logiciels malveillants, car ils tentent probablement de limiter l'accès des acteurs de la menace concurrents au système compromis.

Bitdefender affirme qu'après avoir alerté Microsoft de ce rootkit malveillant, la société de Redmond a retiré sa signature de FiveSys. Vous pouvez lire à ce sujet plus en détail sur le blog officiel ici .

Fait intéressant, ce n'est pas la première fois qu'une telle chose se produit dans la mémoire récente. Un malware similaire appelé " Netfilter " a également été validé par Microsoft en juin, probablement de la même manière.

https://www.neowin.net/news/microsoft-whql-signed-fivesys-driver-was-actually-malware-in-disguise/

Publicité
Jean B
 Posté le 25/10/2021 à 18:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir,

Si j'ai bien compris, il y a chez Microsoft un ou plusieurs programmeurs qui a/ont intérêt à se recycler et vite !



Modifié par Jean B le 25/10/2021 18:51
ReineClaude
 Posté le 25/10/2021 à 20:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

micmac

ta phrase : "Le pilote Le pilote malveillant FiveSys signé..................." est un lien !!!!!!!!!!! Pourquoi

il mène ou ton lien ?

Scapo
 Posté le 25/10/2021 à 20:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Slt ReineClaude,

il mène ici :



Modifié par Scapo le 25/10/2021 20:19
Ekalb
 Posté le 26/10/2021 à 05:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

"Nous [Bitdefender] avons contacté Microsoft pour signaler cet abus de confiance numérique. Microsoft a révoqué la signature peu de temps après."

Source : https://www.bitdefender.com/blog/hotforsecurity/the-emergence-of-the-fivesys-rootkit-a-malicious-driver-signed-by-microsoft/ (fin de la page - traduite).

Pour éviter toute ambiguïté, le malware n'est pas un produit Microsoft mais une erreur d'attribution d'un certificat de la part de Microsoft.

miccmacc3
 Posté le 26/10/2021 à 11:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour les amis

@ Ekalb

Exact ,tu as raison sur ta définition .

Du reste ,je pense que le terme rootkit serait souhaitable .

J'attire cependant ton attention sur le titre de l'article :

Malware déguisé ...

Pour les utilisateurs lambda(je suis un utilisateur lambda ) le résultat sera la même punition .

A savoir un pilote certifié par Microsoft via Authenticode avec l'appui d'un certificat numérique certifié par une autorité validé par Microsoft .

Je ne rentre pas dans les détails ,tu maitrise cela mieux que moi.

Donc ce pilote FiveSys signé numériquement Par Microsoft WHQL est téléchargé sans précaution .

Les développeurs de ce pilote ont réussi à tromper le processus de validation de Microsoft .

Les attaquants ont maintenant un accès de bas niveau dans le système d'exploitation infecté .

Mes sources:

https://www.bitdefender.com/blog/hotforsecurity/the-emergence-of-the-fivesys-rootkit-a-malicious-driver-signed-by-microsoft/

https://www.bitdefender.com/blog/labs/digitally-signed-rootkitsare-back-a-look-atfivesys-and-companions/

https://docs.microsoft.com/en-us/windows-hardware/drivers/install/digital-signatures

https://docs.microsoft.com/en-us/windows-hardware/drivers/install/digital-certificates

Je rappelle que Microsoft avait déjà eu le même soucis en juin 2021 avec Netfilter

Ce qui a commencé comme une fausse alerte positive pour un fichier signé Microsoft s'avère être un pilote d'appel d'application de la couche d'application WFP qui redirige le trafic vers une adresse IP chinoise. Comment est-ce arrivé?

La semaine dernière, notre système d'alerte nous a signalé un possible faux positif car nous avons détecté un pilote [1] nommé "Netfilter" qui a été signé

par Microsoft.

https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit


Ps: Ce post répond aussi à ReineClaude

miccmacc3
 Posté le 26/10/2021 à 11:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

.../...

Je rappelle aussi que dans d'autres sujets ,à partir du 25 juin 2021 sur Windows 11 (dont j'ai demandé la suppression) j'indiquais à Juliette J (qui entre parenthèse a de nouveau disparu ...

à moins qu'elle ait de nouveau changé de pseudo) que mes recherche sur les isos de ce Nouveau Windows 11 avaient été redirigé et que je me suis fait infecté .

miccmacc3
 Posté le 26/10/2021 à 11:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

.../...

Reddit nomme lui aussi le mot Rootkit

Le pilote FiveSys signé Microsoft WHQL était en fait un malware déguisé
Microsoft
« Le but du rootkit est simple : il vise à rediriger le trafic Internet dans les machines infectées via un proxy personnalisé, qui est tiré d'une liste intégrée de 300 domaines. La redirection fonctionne à la fois pour HTTP et HTTPS ; le rootkit installe un certificat racine personnalisé pour que la redirection HTTPS fonctionne. De cette façon, le navigateur n'avertit pas de l'identité inconnue du serveur proxy.'

https://www.reddit.com/r/sysadmin/comments/qe1jjf/microsoft_whqlsigned_fivesys_driver_was_actually/

miccmacc3
 Posté le 26/10/2021 à 11:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

.../...

les commentaires sur Reddit sont souvent ...heu...humoristiques ,je vous conseille de les lire ,un exemple :

Les rootkits peuvent faire signer leurs pilotes par Microsoft, mais Star n'arrive pas à faire signer leur pilote d'imprimante de reçus.


Sur ce sujet d'imprimantes qui refuse de fonctionner ,il est intéressant de rapprocher ce sujet sur d'autres signalés dans le forum Windows 11

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
59,99 €Ecouteurs intra-auriculaires sans fil Bluetooth Jabra Elite 3 à 59,99 €
Valable jusqu'au 21 Mai

Boulanger fait une belle promotion sur les écouteurs intra-auriculaires sans fil Bluetooth Jabra Elite 3 qui passent à 59,99 €. On les trouve ailleurs à partir de 79,99 €.

Profitez d'une expérience d'écoute unique grâce aux Jabra Elite 3. Des écouteurs intra-auriculaires True Wireless qui ont été conçus tout spécialement pour donner un nouveau souffle à votre musique. Ils sont aussi capables de vous offrir une qualité d’appel et un son exceptionnel, quel que soit l’endroit où vous allez.


> Voir l'offre
58,99 €Mario Kart Live: Home Circuit à 58,99 €
Valable jusqu'au 21 Mai

Cdiscount propose actuellement Mario Kart Live: Home Circuit avec le kart Luigi pour Nintendo Switch à 58,99 € au lieu de 85 €. Laissez libre cours à votre imagination et créez vos propres courses dans le monde réel. Imaginez votre salle à manger se transformer en un monde de lave où bananes et carapaces s’échangeraient au rythme des rugissements des moteurs de votre kart, lui aussi réel… les possibilités sont infinies !


> Voir l'offre
299,00 €Ecran PC 27 pouces incurvé BenQ EX2710R (QHD, FreeSync,165Hz, 2xHP, réglable en hauteur) à 299 €
Valable jusqu'au 21 Mai

Amazon fait une belle promotion sur l'écran PC BenQ MOBIUZ EX2710R qui passe 299 € livré gratuitement alors qu'on le trouve ailleurs à partir de 499 €. Il possède une dalle incurvée de 27 pouces QHD (2560x1440) et offre une fréquence de rafraichissement de 165 Hz et un temps de réponse de 1 ms. Il intègre 2 HP (2.5W) et une connectivité HDMI et DP. Il est réglable en hauteur.


> Voir l'offre

Sujets relatifs
pskill.exe est un malware?(trouvé par a2free)
20 à 40 spams par jour ! ! ! c'est dingue ! et pourquoi ?
CAMEYO pris comme Malware par MBAM !
Mon Firefox est piraté par Google.
Comment un ordinateur est-il identifié par les espions (comme FaceBook) ?
La dernière version de Captvty est signalée comme malware
msg Supprimer Système Microsoft Windows est Actuellement Périmé et Altéré
Qu’en est-il des items détectés par Adwcleaner ?
Par quel anti-malware remplacer Avast Premier maintenant trop cher ?
Mon pc est infecté par GANDCRAB V4
Plus de sujets relatifs à Un pilote signé par Microsoft est un...Malware .
 > Tous les forums > Forum Sécurité