Les sceptiques et les défenseurs de la sécurité s’inquiètent depuis un certain temps maintenant que les exploits capables de tirer parti des pilotes anti-triche en mode noyau pourraient causer de sérieux ravages sur la sécurité des PC. Maintenant, cela semble s’être produit : le pilote anti-triche utilisé par Genshin Impact, le populaire RPG gratuit, a été abusé par un acteur de ransomware pour arrêter les processus antivirus et permettre le déploiement massif de leur ransomware.
Un nouveau livre blanc publié le 24 août pour Trend Micro (s’ouvre dans un nouvel onglet) explique comment le pilote parfaitement légitime mhyprot2.sys a été utilisé, en l’absence de toute autre partie de Genshin Impact, pour obtenir un accès root à un système.
« Les équipes de sécurité et les défenseurs doivent noter que mhyprot2.sys peut être intégré à n’importe quel malware », ont écrit les auteurs Ryan Soliven et Hitomi Kimura.
« Genshin Impact n’a pas besoin d’être installé sur l’appareil de la victime pour que cela fonctionne ; l’utilisation de ce pilote est indépendante du jeu. »
Les pilotes en mode noyau sont au cœur même du système de votre ordinateur. Au risque de trop simplifier, les logiciels au niveau du noyau ont généralement plus de contrôle sur votre PC que vous. L’anti-triche de Genshin Impact était auparavant sous surveillance pour continuer à fonctionner – au niveau du noyau – même après avoir fermé le jeu. Le développeur HoYoVerse, alors connu sous le nom de MiHoYo, a ensuite changé cela. (s’ouvre dans un nouvel onglet)
Le document indique clairement qu’il s’agit d’une grave violation de la sécurité de l’ensemble de l’environnement d’exploitation Windows. Il note que le module de pilote « ne peut pas être effacé une fois distribué » et n’est pas intrinsèquement malveillant, simplement un logiciel abusif par ailleurs légitime.
« Ce module est très facile à obtenir et sera accessible à tous jusqu’à ce qu’il soit effacé de l’existence », indique le journal. « Il pourrait rester longtemps un utilitaire utile pour contourner les privilèges. La révocation de certificat et la détection antivirus pourraient aider à décourager les abus, mais il n’y a pas de solutions pour le moment car c’est un module légitime. »
Ce n’est pas la première fois que l’anti-triche au niveau du noyau est un problème de sécurité pour l’industrie des jeux. Un double coup dur en mai 2020 lorsque Valorant de Riot Games (s’ouvre dans un nouvel onglet) et Doom éternel (s’ouvre dans un nouvel onglet) publié avec l’anti-triche en mode noyau. À l’époque, Riot a noté que de nombreux autres logiciels anti-triche au niveau du noyau existaient déjà, mais pas dans la mesure du logiciel Riot’s Vanguard, qui commence au démarrage de Windows.
Mais la technologie anti-triche au niveau du noyau est généralement efficace, et pour certains joueurs qui en ont assez de traiter avec des tricheurs, cela rend le risque valable. À la fin de l’année dernière, par exemple, les joueurs de Call of Duty étaient suffisamment mécontents des tricheurs que certains ont bien accueillis. (s’ouvre dans un nouvel onglet) Activision Blizzard ayant accès à chaque bit de mémoire sur l’ensemble de son PC.
Peu importe l’histoire et l’utilisation désormais répandue, ce type d’abus est exactement ce dont avertissaient ceux qui craignaient la propagation de l’anti-triche en mode noyau. Si une vulnérabilité a été trouvée, ce qui suit pourrait être bien pire que les vulnérabilités des logiciels anti-triche normaux au niveau de l’utilisateur. J’ai contacté MiHoYo pour commenter le rapport et je le mettrai à jour si je reçois une réponse.