En mai 2021, un ensemble de cinq vulnérabilités dans les pilotes d’ordinateur Dell suivis collectivement sous le nom CVE-2021-21551 ont été divulgués et corrigés après être restés exploitables pendant 12 ans.
Cependant, le correctif de Dell n’était pas assez complet pour empêcher une exploitation supplémentaire et, comme le préviennent les chercheurs en sécurité, il s’agit d’un excellent candidat pour les futures attaques BYOVD (Bring Your Own Vulnerable Driver).
« Nous avons constaté que la mise à jour de Dell ne résolvait pas la condition d’écriture quoi-où, mais limitait seulement l’accès aux utilisateurs administratifs. Selon la définition de Microsoft des limites de sécurité, le correctif de Dell a supprimé le problème de sécurité », explique Jake Baines, chercheur chez Rapid7.
« Cependant, le pilote partiellement corrigé peut toujours aider les attaquants. »
Qu’est-ce que le BYOVD
BYOVD est l’abréviation de « Apportez votre propre conducteur vulnérable, » une technique d’attaque dans laquelle les acteurs malveillants installent un pilote légitime mais vulnérable sur une machine cible.
Ce pilote vulnérable est ensuite exploité pour élever des privilèges ou exécuter du code sur le système cible.
C’est une technique connue qui a été largement déployée dans la nature depuis de nombreuses années. Malheureusement, même si Microsoft a tenté d’atténuer le problème avec des règles Windows DSE (Driver Signature Enforcement) plus strictes, le problème persiste.
Il existe au moins quatre exploits open source permettant aux acteurs de charger des pilotes non signés sur le noyau Windows, et l’un d’entre eux, KDU, prend en charge plus de 14 options de pilotes.
Sur cette seule base, et sans même tenir compte des outils personnalisés créés par des acteurs sophistiqués et utilisés de manière privée et exclusive, il devient clair que le BYOVD est une menace permanente.
Le problème Dell
Le pilote « dbutil_2_3.sys » de Dell, qui est le pilote vulnérable à CVE-2021-21551, peut faciliter les attaques BYOVD, et comme le préviennent les chercheurs de Rapid7, cela s’applique également aux versions récentes des pilotes.
La condition write-what-where persiste dans dbutildrv2.sys 2.5 et 2.7, de sorte que les attaquants disposent d’un total de trois pilotes candidats signés pour l’exécution du code du noyau.
Pour exploiter la vulnérabilité, les acteurs de la menace auront déjà besoin de privilèges d’administrateur, ce qui peut rendre ridicule de s’inquiéter de cette vulnérabilité.
Cependant, les acteurs avancés de la menace peuvent utiliser cette vulnérabilité pour exécuter du code en mode noyau, ou en anneau 0, qui est le niveau de privilège le plus élevé possible dans Windows.
Avec ce niveau d’accès, les acteurs malveillants peuvent déployer des rootkits UEFI, masquer les artefacts d’exploitation et de rootkit, ou exécuter presque toutes les commandes qu’ils souhaitent dans Windows. En fin de compte, les acteurs avancés de la menace peuvent mener des attaques hautement résistantes à la détection, leur permettant de rester résidents sur les appareils pendant des mois, voire plus.
Les chercheurs ont développé un module Metasploit qui implémente une attaque de protection-subversion LSA en utilisant les versions ultérieures (2.5 et 2.7) du pilote Dell, ce qui est illustré dans la vidéo ci-dessous.
« Un attaquant avec des privilèges élevés peut utiliser le module pour activer ou désactiver la protection des processus sur un PID arbitraire », explique Le rapport de Rapid7.
« Les pilotes Dell sont particulièrement précieux car ils sont compatibles avec les dernières exigences de signature émis par Microsoft. »
Pour ajouter au problème, il est peu probable que ces dernières versions de pilotes soient bloquées et resteront disponibles pour une exploitation ciblée et furtive.
Source : Rapid7
Aborder le problème
Selon Rapid7, les acteurs malveillants sont toujours limités à l’exploitation de dbutil_2_3.sys, donc les versions 2.5 et 2.7 ne font pas encore l’objet d’abus.
Cependant, les chercheurs pensent que ce n’est qu’une question de temps maintenant, des efforts supplémentaires de détection et d’atténuation sont donc nécessaires.
Rapid7 a contacté Dell à ce sujet et, comme la vulnérabilité nécessite déjà des privilèges d’administrateur, le fabricant de l’ordinateur a répondu par la déclaration suivante :
« Après un examen attentif avec l’équipe produit, nous avons classé ce problème comme une faiblesse et non une vulnérabilité en raison du niveau de privilège requis pour mener une attaque. Ceci est conforme aux instructions fournies dans le modèle de pilote Windows. Nous ne prévoyons pas de publier un avis de sécurité ou d’émettre un CVE à ce sujet. »
Cependant, comme les acteurs malveillants peuvent toujours utiliser les pilotes pour accéder à l’anneau 0, Rapid7 conseille aux administrateurs de mettre en œuvre les mesures de sécurité suivantes pour empêcher le chargement des pilotes malveillants sur leur système :
- Utiliser les règles de blocage des pilotes de Microsoft (n’incluant pas actuellement les pilotes Dell)
- Utilisez les trois hachages pour 2.3, 2.5 et 2.7 sur une solution EDR tierce
- Activer l’intégrité du code protégé par l’hyperviseur (HVCI)
Enfin, considérez soumission les conducteurs vulnérables à Microsoft pour qu’ils fassent pression pour leur inclusion dans la liste de blocage.