Microsoft a publié hier la mise à jour du mois de juillet pour Windows 11 et Windows 10, qui, en plus d’inclure de nouvelles fonctions, se concentre également sur la résolution de certains problèmes de sécurité qui avaient été détectés par les sociétés Sophos, Cisco et Trend Micro.
Ces problèmes sont liés à l’utilisation inappropriée des certificats du programme Windows Hardware Developer, car il était utilisé de manière malveillante pour introduire des logiciels malveillants dans les ordinateurs en profitant de la certification qu’ils avaient de la société pour signer les pilotes des produits matériels.
Selon les recherches menées par les sociétés susmentionnées, le nombre total de contrôleurs qui ont profité du programme Microsoft Certified Developer dépasse 130 et différents comptes ont été utilisés. Cette pratique durait depuis avril 2021.
Une fois le problème détecté, la solution pour empêcher les ordinateurs Windows d’en être les victimes potentielles, Microsoft a bloqué tous les comptes identifiés, la plupart d’entre eux viennent de Chine et ont été inclus dans la liste de révocation des pilotes Windows, pour cela il n’y a pas de simple façon de les installer.
Cette liste est automatiquement mise à jour via Windows Update, donc si nous voulons nous protéger de ce logiciel malveillant, tout ce que nous avons à faire est d’installer toutes les mises à jour que nous avons en attente, en particulier celle qui a été publiée hier.
Parmi les pilotes concernés par cette enquête, certains ont été trouvés avec des capacités de rootkit pour s’exécuter en arrière-plan et étaient chargés d’analyser le trafic de l’ordinateur, à la fois entrant et sortant d’Internet, et certains ne pouvaient être installés qu’avec les exigences de l’administrateur.
Si nous voulons vérifier si l’un de ces pilotes s’est retrouvé sur notre ordinateur, nous pouvons consulter cette page sur GitHub où Sophos a publié les hachages de tous les pilotes concernés.
La dernière mise à jour de Windows Defender, numéro 1.391.3822.0, a également été mise à jour pour détecter ces types de pilotes et informer l’utilisateur s’il y en a qui sont installés sur l’ordinateur pour le supprimer et trouver une solution.
Sans signature numérique, rien ne peut être installé
Il est probable que nous ayons rencontré à l’occasion une application que Windows bloque car elle est incapable de reconnaître le développeur derrière elle. En effet, avec Windows 10 version 1607, Microsoft a introduit une nouvelle fonctionnalité de signature numérique que tous les développeurs doivent obtenir afin que leurs applications puissent être installées de manière transparente sur Windows.
Dans le cas des pilotes du noyau, qui sont chargés au démarrage de Windows, nous n’avons aucun pouvoir sur leur exécution, contrairement aux applications sans certificat. Si le démarrage sécurisé de Windows est activé, si les pilotes ne sont pas signés, le système refuse de les charger au démarrage pour éviter que l’ordinateur ne soit infecté par des logiciels malveillants qui pourraient y être inclus.