Une faille Intel ouvre la porte aux hackers sur Windows

Une attaque sophistiquée utilise un pilote Intel pour désactiver les protections antivirus de Microsoft.

Microsoft Windows
Image d'illustration. Microsoft Windows — ADN

Tl;dr

  • Le ransomware Akira exploite un pilote Intel légitime, rwdrv.sys, pour contourner Microsoft Defender et obtenir un accès système étendu.
  • Cette méthode BYOVD permet aux attaquants de désactiver les protections du registre Windows via un second pilote malveillant.
  • Les chercheurs ont réagi rapidement, publiant des outils de détection et appelant à une vigilance renforcée face à ce type d’attaque furtive.

Une faille dans un pilote Intel

Depuis quelques semaines, les experts en cybersécurité observent une recrudescence des attaques orchestrées par le ransomware Akira. Dernière technique en date : l’utilisation détournée d’un composant authentique, le pilote processeur Intel nommé rwdrv.sys, pour contourner les défenses de Microsoft Defender. Selon les chercheurs de Guidepoint Security, ce stratagème permet aux cybercriminels d’obtenir des privilèges avancés sur le système, notamment via l’enregistrement du pilote comme service et ainsi un accès au niveau du noyau.

Mécanisme d’une attaque BYOVD : quand le légitime devient la faiblesse

Cette manœuvre s’inscrit dans la famille des attaques dites BYOVD (« Bring Your Own Vulnerable Driver »). Le principe ? Les pirates exploitent un pilote dûment signé, mais souffrant de failles connues, pour activer un second module malveillant. Dans ce cas précis, après le chargement initial de rwdrv.sys, c’est un autre pilote (hlpdrv.sys) qui entre en scène. Celui-ci modifie en profondeur la configuration du registre Windows via l’exécution de « regedit.exe », désactivant spécifiquement les protections anti-espionnage intégrées à Microsoft Defender. Ce basculement laisse alors le champ libre à d’autres logiciels malveillants.

Mise en lumière rapide et riposte des chercheurs

Heureusement, cette campagne n’a pas échappé bien longtemps aux équipes de veille. Les spécialistes de Guidepoint Security, qui ont repéré ces comportements suspects, se sont empressés de diffuser plusieurs outils concrets pour contrer l’offensive. Parmi eux :

  • Règle YARA dédiée.
  • Indicateurs de compromission (IoCs).
  • Noms de services et chemins d’accès suspects à surveiller.

En parallèle, ils préconisent aux administrateurs systèmes une vigilance accrue vis-à-vis des signaux associés à Akira, l’application régulière de filtres et blocages selon les menaces émergentes, mais aussi la plus grande prudence lors du téléchargement de logiciels – uniquement via des sources officielles ou reconnues.

L’importance grandissante de la vigilance numérique

L’exploitation abusive d’outils réputés sûrs par des acteurs malveillants n’a rien d’anecdotique. Si cette attaque a pu être identifiée avant qu’elle ne fasse trop de dégâts, elle rappelle combien il demeure essentiel pour les utilisateurs comme pour les entreprises d’adopter une posture active face à l’évolution constante des techniques employées par les cybercriminels. Une guerre de chaque instant où la réactivité et l’information demeurent les meilleurs remparts.

Jordan Servan

Spécialiste Tech

Rédacteur sur Begeek.fr depuis 2014, passionné par les jeux vidéo, les séries TV et le cinéma.

X LinkedIn Tous ses articles →
Sujets
Intel Microsoft Sécurité Windows

Lisez Begeek en priorité sur Google

Ajoutez-nous à vos sources préférées : nos articles remonteront plus haut dans votre actualité.

Ajouter à mes sources

À découvrir

La suite, sélectionnée pour vous.