Microsoft conserve une liste des pilotes anciens et vulnérables, que les pirates peuvent utiliser pour infiltrer des virus, des rançongiciels et d’autres logiciels malveillants dans les terminaux de leur choix.
Cependant, la dernière mise à jour remonte à 2019 – jusqu’à maintenant. Après deux ans d’inactivité, la liste a finalement été mise à jour – mais pas pour tous les utilisateurs de Windows à la fois, cependant.
Dans une annonce (s’ouvre dans un nouvel onglet) publié sur le blog de l’entreprise, Microsoft a indiqué que la liste de blocage utilisée par l’outil d’intégrité du code protégé par l’hyperviseur (HVCI) sera désormais mise à jour une ou deux fois par an.
Plus de façons de mettre à jour
« La liste de blocage est mise à jour avec chaque nouvelle version majeure de Windows, généralement 1 à 2 fois par an, y compris plus récemment avec la mise à jour Windows 11 2022 publiée en septembre 2022 », a déclaré Microsoft. « La liste de blocage la plus récente est désormais également disponible pour les utilisateurs de Windows 10 20H2 et Windows 11 21H2 en tant que mise à jour facultative de Windows Update. Microsoft publiera occasionnellement de futures mises à jour via la maintenance régulière de Windows.
Les utilisateurs qui veulent toujours la dernière mise à jour de la liste de blocage des pilotes peuvent utiliser Windows Defender Application Control (WDAC) pour appliquer la dernière liste de blocage, a ajouté la société. Par souci de commodité, la société a fourni un téléchargement de la liste de blocage des pilotes vulnérables la plus à jour, ainsi que des instructions sur la façon de l’appliquer, trouvé ici (s’ouvre dans un nouvel onglet).
Microsoft a reçu de nombreuses critiques ces derniers temps pour le manque de mises à jour de la liste de blocage des pilotes vulnérables, principalement parce que le nombre d’attaques utilisant cette méthode a explosé.
La méthode s’appelle Bring Your Own Vulnerable Driver (BYOVD), et c’est une chose assez simple : un acteur malveillant tromperait une victime, généralement par ingénierie sociale ou hameçonnage, pour qu’elle télécharge un pilote Windows connu pour être défectueux.
En tant que pilote signé, il ne déclenche aucune alarme de services antivirus ou de protection des terminaux. Il s’installe simplement comme n’importe quelle autre chose non malveillante. Le pilote, étant défectueux, donne aux pirates un accès à l’appareil, qu’ils peuvent ensuite utiliser pour toute autre attaque qu’ils jugent appropriée – ransomware, botnets, exfiltration de données, etc.
Via : Le Registre (s’ouvre dans un nouvel onglet)