Il y a quelques semaines, le FBI a tiré la sonnette d’alarme au sujet d’un redoutable ransomware, Medusa. Le virus a pris l’habitude de compromettre des entreprises en passant par des messageries populaires, comme Gmail ou Outlook. Il est ainsi parvenu à pirater plus de 300 sociétés américaines issues de divers secteurs critiques, tels que l’éducation, la construction ou la santé.
À lire aussi : les hackers ont une nouvelle « arme puissante » pour pirater vos comptes
Ransomware et voyage dans le temps
Comme le révèle le chercheur en sécurité Boris Cipot, Medusa a trouvé le moyen de voyager dans le temps pour arriver à ses fins. Interrogé par Forbes, l’ingénieur principal en sécurité chez Black Duck explique que le virus tire parti des erreurs de configuration du système qu’il a dans le collimateur.
Concrètement, l’attaque repose « dans la date ou la possibilité de la changer ». Les cybercriminels se servent de pilotes (ou drivers) périmés depuis 13 ans. C’est-à-dire que leurs certificats de sécurité ne sont plus valides. En l’occurrence, les certificats ont expiré en 2012.
Pour contourner le problème de la validité des certificats, Medusa change la date du système qu’il a infecté pour retourner dans le temps. Il relance le système à « un moment où le certificat qui a signé un certain pilote était toujours valide ». De facto, le système considère que le certificat est valide, et que le pilote ne représente pas une menace pour l’intégrité de l’ordinateur.
De fil en aiguille, le virus peut exécuter du code malveillant avec les mêmes privilèges qu’un pilote légitime. Une fois en place, un pilote malveillant doté d’un certificat valide est extrêmement difficile à détecter ou à supprimer. Il peut survivre à des redémarrages, rester invisible aux outils de sécurité classiques, voire résister à des réinstallations partielles de Windows.
C’est une astuce qui permet de prendre le contrôle d’une machine en bernant les mesures de sécurité de Windows. Elle est surtout utilisée par les cybercriminels chevronnés, dont des groupes soutenus par des États (comme ceux liés à la Chine, la Russie, ou la Corée du Nord).
À lire aussi : gare à Crocodilus, le nouveau virus qui cherche à piller votre compte bancaire et voler vos cryptos
Comment lutter contre le voyage dans le temps des virus ?
Pour endiguer ce type d’attaque, il est impératif de détecter des modifications de configuration système, telles que le changement de l’horloge. C’est cette approche qui a permis à Medusa de pirater autant d’entreprises sans déclencher la sécurité de Windows.
Pour Boris Cipot, les « organisations ont besoin d’un mélange de protection des terminaux de premier ordre, d’une application rigoureuse des politiques de sécurité et d’une surveillance proactive ». Surtout, « Windows devrait être configuré de manière à appliquer strictement les contrôles de révocation des pilotes signés, afin de bloquer ceux dont les certificats ont expiré ».
Enfin, le chercheur regrette que beaucoup de fonctions de sécurité intégrées à Windows ne soient pas activées, tout simplement parce qu’elles ont été désactivées manuellement par l’utilisateur. Ils sont trop nombreux à désactiver les fonctions pour faire tourner plus facilement d’anciens logiciels ou pilotes. Les cybercriminels sont évidemment conscients des mauvaises habitudes des internautes et n’hésitent pas à les exploiter.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Forbes