Une idée géniale : si ton système n’a pas de faille de sécurité, alors introduis-en une ! Des attaquants ont profité d’un driver de Gigabyte, signé et légitime mais qui présentait une vulnérabilité non corrigée, pour lancer des attaques.
Comment est-ce possible ?
D’après ce que j’ai compris, un driver de Gigabyte présentait une vulnérabilité1. Ca arrive assez souvent, donc rien d’extraordinaire. Mais au lieu de la corriger, Gigabyte l’a abandonnée sans la patcher2, sa signature a même été reconduite par Verisign, et Windows a continué de considérer ce driver comme étant de confiance. Des chercheurs de Sophos3 l’ont découvert…
Bilan
Aucun signal n’est levé par personne, puisque le logiciel est légitime, et que son objectif n’est pas malveillant : c’est un driver ! Il suffit de l’envoyer par mail, par exemple, si l’utilisateur clique alors personne ne dira rien : ni Windows, ni les solutions anti-virus.
Une fois en place, l’attaquant n’a plus qu’à exploiter la vulnérabilité qu’il connaît parfaitement bien, puisque c’est lui qui l’a mise en place. Et hop, emballé c’est pesé.
Vulnérabilité utilisée : CVE-2018-19320.
