> Tous les forums > Forum Sécurité
 Un pilote signé par Microsoft est un...Malware .
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
miccmacc3
  Posté le 25/10/2021 @ 18:44 
Aller en bas de la page 
Maître astucien

Bonjour les amis

Le pilote FiveSys signé Microsoft WHQL était en fait un malware déguisé

Les logiciels malveillants sont assez dangereux comme ça. Mais ceux qui semblent inoffensifs car ils portent une certaine forme d'indicateurs de légitimité sont probablement les pires du genre. C'est le cas d'un nouveau pilote malveillant nommé « FiveSys ».

Les chercheurs en sécurité de Bitdefender ont découvert que ce nouveau malware, qui est un rootkit, est en fait signé numériquement par Microsoft lui-même. Le pilote malveillant FiveSys porte la certification Windows Hardware Quality Labs (WHQL) fournie par Microsoft après une vérification minutieuse des packages de pilotes envoyés par ses différents fournisseurs partenaires via le programme de compatibilité matérielle Windows (WHCP)


voir photo


Ci-dessous, Bitdefender a expliqué pourquoi le rootkit FiveSys existe et comment il fonctionne :

Le but du rootkit est simple : il vise à rediriger le trafic Internet dans les machines infectées via un proxy personnalisé, qui est tiré d'une liste intégrée de 300 domaines. La redirection fonctionne à la fois pour HTTP et HTTPS ; le rootkit installe un certificat racine personnalisé pour que la redirection HTTPS fonctionne. De cette façon, le navigateur n'avertit pas de l'identité inconnue du serveur proxy.

Il a été observé que la propagation de FiveSys est jusqu'à présent limitée à la Chine, ce qui indique peut-être que les acteurs de la menace sont principalement intéressés par cette partie de la région. En termes d'autres caractéristiques clés, le livre blanc associé mentionne également que le rootkit bloque les modifications du registre et tente également de bloquer l'accès de ses concurrents à un système infecté.

En plus de rediriger le trafic Internet, le rootkit bloque également le chargement de pilotes provenant d'autres groupes d'écriture de logiciels malveillants, car ils tentent probablement de limiter l'accès des acteurs de la menace concurrents au système compromis.

Bitdefender affirme qu'après avoir alerté Microsoft de ce rootkit malveillant, la société de Redmond a retiré sa signature de FiveSys. Vous pouvez lire à ce sujet plus en détail sur le blog officiel ici .

Fait intéressant, ce n'est pas la première fois qu'une telle chose se produit dans la mémoire récente. Un malware similaire appelé " Netfilter " a également été validé par Microsoft en juin, probablement de la même manière.

https://www.neowin.net/news/microsoft-whql-signed-fivesys-driver-was-actually-malware-in-disguise/

Publicité
Jean B
 Posté le 25/10/2021 à 18:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir,

Si j'ai bien compris, il y a chez Microsoft un ou plusieurs programmeurs qui a/ont intérêt à se recycler et vite !



Modifié par Jean B le 25/10/2021 18:51
ReineClaude
 Posté le 25/10/2021 à 20:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

micmac

ta phrase : "Le pilote Le pilote malveillant FiveSys signé..................." est un lien !!!!!!!!!!! Pourquoi

il mène ou ton lien ?

Scapo
 Posté le 25/10/2021 à 20:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Slt ReineClaude,

il mène ici :



Modifié par Scapo le 25/10/2021 20:19
Ekalb
 Posté le 26/10/2021 à 05:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

"Nous [Bitdefender] avons contacté Microsoft pour signaler cet abus de confiance numérique. Microsoft a révoqué la signature peu de temps après."

Source : https://www.bitdefender.com/blog/hotforsecurity/the-emergence-of-the-fivesys-rootkit-a-malicious-driver-signed-by-microsoft/ (fin de la page - traduite).

Pour éviter toute ambiguïté, le malware n'est pas un produit Microsoft mais une erreur d'attribution d'un certificat de la part de Microsoft.

miccmacc3
 Posté le 26/10/2021 à 11:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour les amis

@ Ekalb

Exact ,tu as raison sur ta définition .

Du reste ,je pense que le terme rootkit serait souhaitable .

J'attire cependant ton attention sur le titre de l'article :

Malware déguisé ...

Pour les utilisateurs lambda(je suis un utilisateur lambda ) le résultat sera la même punition .

A savoir un pilote certifié par Microsoft via Authenticode avec l'appui d'un certificat numérique certifié par une autorité validé par Microsoft .

Je ne rentre pas dans les détails ,tu maitrise cela mieux que moi.

Donc ce pilote FiveSys signé numériquement Par Microsoft WHQL est téléchargé sans précaution .

Les développeurs de ce pilote ont réussi à tromper le processus de validation de Microsoft .

Les attaquants ont maintenant un accès de bas niveau dans le système d'exploitation infecté .

Mes sources:

https://www.bitdefender.com/blog/hotforsecurity/the-emergence-of-the-fivesys-rootkit-a-malicious-driver-signed-by-microsoft/

https://www.bitdefender.com/blog/labs/digitally-signed-rootkitsare-back-a-look-atfivesys-and-companions/

https://docs.microsoft.com/en-us/windows-hardware/drivers/install/digital-signatures

https://docs.microsoft.com/en-us/windows-hardware/drivers/install/digital-certificates

Je rappelle que Microsoft avait déjà eu le même soucis en juin 2021 avec Netfilter

Ce qui a commencé comme une fausse alerte positive pour un fichier signé Microsoft s'avère être un pilote d'appel d'application de la couche d'application WFP qui redirige le trafic vers une adresse IP chinoise. Comment est-ce arrivé?

La semaine dernière, notre système d'alerte nous a signalé un possible faux positif car nous avons détecté un pilote [1] nommé "Netfilter" qui a été signé

par Microsoft.

https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit


Ps: Ce post répond aussi à ReineClaude

miccmacc3
 Posté le 26/10/2021 à 11:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

.../...

Je rappelle aussi que dans d'autres sujets ,à partir du 25 juin 2021 sur Windows 11 (dont j'ai demandé la suppression) j'indiquais à Juliette J (qui entre parenthèse a de nouveau disparu ...

à moins qu'elle ait de nouveau changé de pseudo) que mes recherche sur les isos de ce Nouveau Windows 11 avaient été redirigé et que je me suis fait infecté .

miccmacc3
 Posté le 26/10/2021 à 11:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

.../...

Reddit nomme lui aussi le mot Rootkit

Le pilote FiveSys signé Microsoft WHQL était en fait un malware déguisé
Microsoft
« Le but du rootkit est simple : il vise à rediriger le trafic Internet dans les machines infectées via un proxy personnalisé, qui est tiré d'une liste intégrée de 300 domaines. La redirection fonctionne à la fois pour HTTP et HTTPS ; le rootkit installe un certificat racine personnalisé pour que la redirection HTTPS fonctionne. De cette façon, le navigateur n'avertit pas de l'identité inconnue du serveur proxy.'

https://www.reddit.com/r/sysadmin/comments/qe1jjf/microsoft_whqlsigned_fivesys_driver_was_actually/

miccmacc3
 Posté le 26/10/2021 à 11:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

.../...

les commentaires sur Reddit sont souvent ...heu...humoristiques ,je vous conseille de les lire ,un exemple :

Les rootkits peuvent faire signer leurs pilotes par Microsoft, mais Star n'arrive pas à faire signer leur pilote d'imprimante de reçus.


Sur ce sujet d'imprimantes qui refuse de fonctionner ,il est intéressant de rapprocher ce sujet sur d'autres signalés dans le forum Windows 11

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
486,02 €Mini PC Beelink SER3 (Ryzen 7 3750H, 16 Go RAM, SSD 512Go) à 486,02 € avec le code BEEMINI4
Valable jusqu'au 26 Janvier

Geekbuying fait une promotion sur l'excellent mini PC Beelink SER3 qui passe à 486,02 € avec le code BEEMINI4. On le trouve habituellement autour de 640 €. Ce mini PC intègre un processeur AMD Ryzen 7 3750H (4 coeurs), 16 Go de RAM DDR4 et un SSD NVMe de 512 Go au format M.2 (un emplacement 2.5' libre est également disponible). Il possède un chip graphique RX Vega 10 qui fera tourner tous vos jeux. Il intègre le WiFi 5, le bluetooth 5.1, un port Ethernet Gigabit, 4 ports USB 3.0, un port USB-C et deux connecteurs HDMI. 

L'expédition se fait depuis un entrepôt en Allemagne et la TVA est comprise. Vous êtes ainsi certains d'être livré rapidement et de ne pas avoir de douane.

Une excellente affaire pour un PC très performant, silencieux et qui ne prendra pas de place ! 


> Voir l'offre
40,89 €Alimentation PC Gigabyte P650B (650W, 80+Bronze) à 40,89 €
Valable jusqu'au 25 Janvier

RueDuCommerce solde l'alimentation PC Gigabyte P650B (650W, 80+Bronze) qui passe à 40,89 € au lieu de 52,90 € ailleurs. Tous les condensateurs haute qualité de l'alimentation sont d'origine japonaise. Ils garantissent performances et stabilité sur le long terme. Avec Le ventilateur à roulement hydraulique silencieux de 120 mm optimise la réduction du bruit et les performances thermiques. La vitesse du ventilateur est ajustée en fonction de la détection automatique de la puissance. Le ventilateur à roulement hydraulique offre une durée de vie plus longue et plus stable. 


> Voir l'offre
699,99 €Portable Acer Aspire (15.6 pouces, Core i5, 16 Go RAM, SSD 512 Go, Windows 11) à 699,99 €
Valable jusqu'au 24 Janvier

Darty propose actuellement l'ordinateur portable 15.6 pouces Acer Aspire Vero AV15-51-56GD à 699,99 € alors qu'on le trouve ailleurs à partir de 900 €. Cet ultraportable est équipé d'un processeur Intel Core i5-1155G7, 16 Go de RAM, un SSD de 512 Go. Sa dalle de 15.6 pouces est Full HD et mate. Ce PC dispose de toutes les dernières connectiques indispensables : 1x USB 2.0, 2 x USB 3.1 Gen 1 (dont 1 fonction charge même ordinateur éteint), 1 x USB Type-C, WiFi 6, bluetooth 5, Ethernet Gigabit. Une bonne affaire pour PC à l'aise partout : multimédia, bureautique, Internet. 

Le tout tourne sous Windows 11.


> Voir l'offre

Sujets relatifs
pskill.exe est un malware?(trouvé par a2free)
20 à 40 spams par jour ! ! ! c'est dingue ! et pourquoi ?
CAMEYO pris comme Malware par MBAM !
Mon Firefox est piraté par Google.
Comment un ordinateur est-il identifié par les espions (comme FaceBook) ?
La dernière version de Captvty est signalée comme malware
msg Supprimer Système Microsoft Windows est Actuellement Périmé et Altéré
Qu’en est-il des items détectés par Adwcleaner ?
Par quel anti-malware remplacer Avast Premier maintenant trop cher ?
Mon pc est infecté par GANDCRAB V4
Plus de sujets relatifs à Un pilote signé par Microsoft est un...Malware .
 > Tous les forums > Forum Sécurité