Un chercheur du nom de hyp3rlinx a découvert que certaines des souches de rançongiciels les plus populaires, telles que Conti, REvil, LockBit, et bien d’autres, comportent une faille qui les rend vulnérables au piratage de DLL.
En exploitant la faille, le chercheur a pu empêcher le ransomware d’atteindre sa principale proposition de vente : le cryptage des fichiers.
Tel que rapporté par BipOrdinateur, le détournement de DLL est généralement utilisé pour injecter des codes malveillants dans des applications légitimes. Pour ces souches de rançongiciels, cependant, le chercheur a créé une preuve de concept et enregistré une vidéo de démonstration montrant comment cela se fait.
Piratage de DLL
Le piratage de DLL exploite la façon dont les applications recherchent et chargent la mémoire dans les fichiers Dynamic Link Library (DLL). Un programme qui n’a pas suffisamment de vérifications peut charger une DLL à partir d’un chemin en dehors de son répertoire, élevant essentiellement les privilèges et permettant l’exécution de code arbitraire.
Dans ce cas, le chercheur a créé un code unique et l’a compilé dans une DLL avec un nom familier au rançongiciel. Il est également important, souligne le chercheur, que la DLL soit placée à un emplacement où les opérateurs de ransomware placent et exécutent généralement leurs logiciels malveillants, comme un emplacement réseau avec des données clés.
Cela tuerait le rançongiciel à sa création.
Ce qui rend cette méthode encore plus meurtrière, c’est le fait qu’elle ne peut pas être classée comme une solution de sécurité et, en tant que telle, ne peut pas être contournée de la même manière que les souches de ransomwares contournent généralement les antivirus et autres solutions de cybersécurité.
La grande question est – combien de temps durera cette mesure d’atténuation ? Les opérateurs de ransomwares mettent souvent à jour et mettent à niveau leurs produits, et s’il s’agit d’une faille récemment découverte, ce n’est probablement qu’une question de temps avant qu’elle ne soit corrigée.
Malheureusement, les opérateurs de ransomwares sont assez rapides et diligents, et nous pouvons nous attendre à ce que le trou soit colmaté plus tôt que tard.
Via : BleepingComputer