Les cyberattaquants s’en prennent de plus en plus à Windows en exploitant ses pilotes vulnérables, selon les experts de Kaspersky. Au deuxième trimestre 2024, le nombre de systèmes piratés par cette méthode a augmenté de près de 23 % par rapport au premier trimestre. Les pilotes vulnérables peuvent être exploités pour une vaste gamme d'attaques, notamment les ransomwares et les Advanced Persistent Threat (APT).
Les cyberattaques qui utilisent des pilotes vulnérables sont connues sous le nom de BYOVD (Bring Your Own Vulnerable Driver). Elles permettent aux acteurs de la menace de tenter de désactiver les solutions de sécurité d'un système et d'élever leurs privilèges, pour mener diverses activités malveillantes, comme la distribution de ransomware, ou le renforcement de leur persistance à des fins d'espionnage ou de sabotage, en particulier si un groupe APT est à l'origine de l'attaque.
Kaspersky rapporte que le recours à cette méthode est devenu plus fréquent en 2023, et continue de prendre de l’ampleur en 2024, comportant des risques potentiels pour les particuliers et les organisations. Rien qu’au deuxième trimestre 2024, le nombre de systèmes attaqués par la technique BYOVD a augmenté de près de 23 % par rapport au trimestre précédent.
« Bien que les pilotes en eux-mêmes soient légitimes, ils peuvent contenir des vulnérabilités. Ces vulnérabilités peuvent ensuite être exploitées à des fins malveillantes. Les cybercriminels utilisent divers outils et méthodes pour installer un pilote vulnérable sur le système. Une fois que le système d'exploitation charge ce pilote, l'attaquant peut s’en servir pour contourner les limites de sécurité du noyau du système d'exploitation afin d'atteindre ses propres objectifs »,explique Vladimir Kuskov, responsable de la recherche anti-malware chez Kaspersky.
La prolifération actuelle des outils tirant parti des pilotes vulnérables, mis à disposition sur internet, inquiète. Si ces outils sont relativement peu nombreux en 2024, avec seulement 24 projets rendus public depuis 2021, les experts de Kaspersky ont observé une augmentation du nombre de ces outils publiés en ligne l'année dernière. « Bien que rien n'empêche réellement les acteurs de menaces de développer leurs propres outils privés, ceux disponibles publiquement éliminent le besoin de compétences spécifiques requises pour rechercher et exploiter les pilotes vulnérables. Rien qu'en 2023, nous avons identifié environ 16 nouveaux outils de ce type, soit une augmentation considérable par rapport aux quelques rares outils recensés les années précédentes. Compte tenu de cette augmentation, il est fortement recommandé de mettre en place des mesures de protection éprouvées »,explique Vladimir Kuskov.
Pour en savoir plus sur les menaces liées aux vulnérabilités et aux exploits au deuxième trimestre 2024, consultez Securelist. Pour une immersion approfondie dans le paysage des cybermenaces, et des opportunités de réseautage, rejoignez le Security Analyst Summit (SAS) de Kaspersky, dont la 16e édition se tiendra du 22 au 25 octobre 2024, à Bali.
