Cybersécurité : Les chercheurs Trellix dévoilent une faille eBPF pour Windows

0

Alors que l’événement Black Hat 2022 se tenait la semaine dernière à Las Vegas, les chercheurs Trellix en ont profité pour partager de nouvelles découvertes en matière de menaces.

Tribune – Si l’innovation améliore souvent la fonctionnalité du système informatique et même la sécurité, son adoption à un rythme exponentiel laisse parfois des surfaces d’attaques encore non exploitées et plus vulnérables aux menaces. Une course s’engage alors entre les chercheurs de la cybersécurité et les cybercriminels pour explorer ces surfaces.

Dans ce contexte, Richard Johnson, chercheur principal en sécurité chez Trellix, a ainsi présenté des recherches approfondies sur eBPF pour Windows. Il démontre les vulnérabilités découvertes sur une surface d’attaque en plein essor.

L’eBPF pour Extended Berkeley Packet Filter, est une technologie kernel (lancée dans Linux 4.x) qui permet aux programmes d’être exécutés sans avoir à modifier le code source du kernel ni ajouter de modules supplémentaires. Il s’agit d’une amélioration radicale, grâce à l’eBPF, des capacités supplémentaires au niveau du système d’exploitation peuvent être intégrées au moment de l’exécution, non seulement de manière efficace mais aussi avec des performances supérieures à celles des anciennes méthodes. Qui plus est, l’eBPF permet d’obtenir un ensemble des données complètes, détaillées et permettant d’améliorer la prise de décision en matière de protection.

En mai 2021, Microsoft a annoncé la création d’un nouveau projet open-source appelé ebpf-for-windows. L’objectif de ce projet est d’intégrer simplement la technologie de l’eBPF sur Windows 10 et Windows Server 2016 et ultérieur. Le concept est d’apporter la même visibilité et les mêmes performances qui sont actuellement fournies pour le noyau Linux au noyau Windows et de l’étendre encore plus lorsque cela est possible.

Cependant, les chercheurs Trellix ont constaté que l’adoption plus large de cette technologie pourrait constituer une surface d’attaque idéale pour les cybercriminels. Au cours de leur audit, ils ont notamment découvert une vulnérabilité dont l’exploitation réussie permettrait l’exécution du code arbitraire avec les privilèges de l’administrateur. Trellix a signalé ce problème à Microsoft, qui a rapidement publié un correctif dans le projet open-source et corrigé le problème.

Les failles ont été corrigées pendant la phase de développement, avant même qu’il y ait une chance d’exploitation par des cybercriminels. Si Trellix et d’autres équipes poursuivent leurs recherches afin de signaler les vulnérabilités eBPF pour Windows, l’environnement informatique sera alors en sécurité.

Pour plus d’informations sur ce type de menace veuillez consulter le blog Trellix. Les chercheurs Trellix ont également publié de récentes recherches qui se penchent sur l’utilisation et les fonctionnalités internes de DotDumper, un nouvel outil open-source permettant la détection automatique et classification de fichiers, et l’analyse de logiciels malveillants. Un outil qui permet ainsi de mieux comprendre l’échantillon de données disponibles, de gagner un temps précieux dans les processus de triages et de réponse aux incidents, et de libérer le temps des analystes et chercheurs pour des demandes plus sophistiquées.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.