Microsoft admet avoir signé un driver qui était en réalité un rootkit

Publié le 28 juin 2021 à 17h20

Un analyste de G Data a découvert qu'un driver, nommé « Netfilter », était en réalité un rootkit.

Ce driver avait été validé par Microsoft et semblait être un faux positif avant que des recherches concluent qu'il s'agissait d'un malware.

Un driver malveillant signé par Microsoft

Depuis Windows Vista, chaque driver doit passer par un processus de vérification de la part de Microsoft pour pouvoir être installé sur un PC. À la suite de celui-ci, l'entreprise le « signe », pour valider sa conformité. Cependant, il semblerait que dans le cas de Netfilter, tout ne se soit pas passé comme prévu.

Le driver semblait légitime à première vue, d'autant plus qu'il avait été signé par Microsoft, mais son comportement a fini par attirer l'attention de Karsten Hahn qui a été rejoint par d'autres spécialistes. Ils ont conclu q'il s'agissait d'un malware en le voyant communiquer avec des serveurs de commande et contrôle en Chine, sans pour autant fournir aucune fonctionnalité légitime.

Le domaine du gaming visé par le malware

Microsoft a indiqué avoir été prévenue du problème. L'entreprise a déclaré ne pas avoir constaté que son infrastructure avait été compromise, ce qui signifie que les créateurs du driver malveillant sont passés par les canaux officiels et ont réussi à obtenir une certification de façon légitime.

Elle a ajouté que le virus ne représentait pas une grande menace, visant en particulier le secteur du gaming en Chine sans s'occuper des entreprises. « L'objectif de l'acteur est d'utiliser le driver pour falsifier sa géolocalisation afin de tromper le système et de jouer de n'importe où. Le logiciel malveillant lui permet de prendre l'avantage dans les jeux et éventuellement d'exploiter d'autres joueurs en compromettant leurs comptes à l'aide d'outils courants comme les keyloggers », indique Microsoft dans son article de blog.

Cependant, il demeure la question de savoir comment une tierce partie malveillante a réussi à obtenir une signature légitime sur un driver. La firme de Redmond ne s'est pas plus épanchée sur le sujet, mais a indiqué mettre en place de nouveaux processus concernant la validation et la signature.

Sources : BleepingComputer, Microsoft

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Articles de Fanny Dufour

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

SPH

C’est grave. Et ça fait tâche pour Microsoft…

kamellion

ce n’est pas moi qui va les croire sur parole,en sachant ce qu’il ont fait par le passé :

politique hostile envers les communautés des logiciels libres/opensource
collaboration avec la NSA sur la surveillance d’Internet
collaboration avec le régime de Ben Ali
censure en Chine
liste noire de journalistes
blocage de courriels

paulposition

Un seul mot: Bravo! Pour une firme qui se targue de vouloir tout sécuriser, c’est une réussite

benben99

Probablement que Crosoft a signé le driver à la demande du gouvernement américain pour espionner.

Krypton_80

Pas forcément à la demande du gouvernement américain, mais contre quelques billets verts, très certainement.

bmustang

c’est impardonnable comme erreur pour un groupe comme microsoft !? Et ça vient dire qu’il n’y avait pas de risque ? Mais de qui microsoft se moque t’il à dire des âneries pareilles ?

bmustang

Quand on voit que microsoft n’est pas foutu d’appliquer un process validé, pas étonnant qu’il y ait autant de failles corrigés dans windows et le reste des outils microsoft ! Étonnant ces tocards !

caprikorn

Chez Microsoft la signature est accordée comment ? ils scannent le driver, comme nous on peut scanner un fichier, pour détecter si il est sans risque c’est ça ?

mcbenny

Oui, c’est une erreur qui ne devrait pas se produire mais crier à l’incompétence systématique me semble un peu rapide, surtout de la part de gens aussi qualifiés que les lecteur/commenteurs de Clubic.
Combien de drivers signés par jour depuis des décennies ? Combien d’erreurs ?
Et je ne porte pas spécialement MS dans mon coeur, j’apprécie juste l’impartialité.

benben99

Ah oui, parce que tu penses qu’ils n’y a pas de pro de l’informatique et de la sécurité parmi les lecteurs de Clubic?