TrickBot selon AdvIntel

Récemment dans un rapport publié par la société AdvIntel, il a été observé le mouvement d’un nouveau module TrickBot, appelé par les chercheurs « PermaDll32 ».

Ce nom a attiré l’attention des chercheurs car il paraissait être un dérivé de l’expression « permanent », c’est qu’il a fait penser à un module qui pourrait causer des effets de type persistant.

Cet article va aussi vous intéresser : L’UEFI : cible persistante de TrickBot

Selon l’analyse des chercheurs sécurité informatique, ce module avait la fonctionnalité de lire les informations présentes dans le microprogramme BIOS et aussi dans le programme UEFI, lorsqu’il arrivait infecté de machines. « Ce code de bas niveau est stocké dans la puce de mémoire flash SPI de la carte mère d’un ordinateur et est responsable de l’initialisation du matériel pendant le processus de démarrage et de la transmission du contrôle au système d’exploitation. » explique Lucian Constantin, CSO.

La découverte a été faite par les chercheurs de AdvIntel et de Eclypsium, qui est connu possédée une spécialisation dans la sécurité des firmwares. Les deux sociétés se sont associées pour mieux analyser le récent module de TrickBot et déterminer ce à quoi il pourrait bien servir. Selon cette enquête : « le module PermaDll32 déploie un pilote appelé RwDrv.sys » qui vient de RWEverything, un programme gratuit assez populaire ayant la fonctionnalité de permettre à ses utilisateurs de lire et d’écrire dans les micrologiciels des composants matériels, c’est compris le contrôleur SPI présent pour l’UEFI.

« Le module TrickBot utilise cette capacité pour identifier la plateforme matérielle Intel sous-jacente, vérifier si le registre de contrôle du BIOS est déverrouillé, et si la protection en écriture BIOS / UEFI est activée. Pour que la chaîne de démarrage complète soit sécurisée, le micrologiciel UEFI doit être protégé en écriture, mais les fabricants OEM d’ordinateurs ont souvent laissé cela mal configuré dans les systèmes par le passé. » explique Lucian Constantin. Cette fonctionnalité a permis à des groupes des pirates informatiques spécialisés dans le cyber espionnage de déployer les logiciels malveillants furtifs. « Je pense qu’il y a probablement des millions d’appareils vulnérables à ce problème encore sur le terrain », a expliqué à CSO Jesse Michael, chercheur principal pour Eclypsium. « Je n’ai pas le nombre d’appareils visés, mais c’était une chose très courante avant 2017 et même après 2017, nous voyons encore certains appareils sortant d’usine livrés avec cette vulnérabilité. Les fournisseurs de premier plan font ce qu’ils peuvent pour combler ce trou de sécurité », ajoute-il.

Le problème est bien connu. On rappelle qu’une faille semblable avait été exploité dans le passé. Cela a servi à des cybercriminels à déployer des implants UEFI par les pirates informatiques du groupe APT 28 à travers l’attaque LoJax ou encore avec les pirates informatiques de MossaicRegressor.u plus récemment. Pourtant, il demeure de nombreuses failles de sécurité UEFI et plusieurs erreurs de configuration au niveau des matériels qui sont constamment signaler depuis maintenant des années. Des vulnérabilités qui pourraient être exploitées par TrickBot plus tard.

« Les implications pour la sécurité nationale résultant d’une campagne de malware généralisée capable de brancher des appareils sont énormes », avertissent les chercheurs. « Le module TrickBoot cible tous les systèmes Intel produits au cours des cinq dernières années. D’après l’analyse Eclypsium, la plupart de ces systèmes restent vulnérables à l’une des multitudes de vulnérabilités de micrologiciel actuellement connues, avec une plus petite proportion susceptible d’être sensibles au problème de mauvaise configuration ».

La meilleure manière de se protéger contre les attaques des genres et bien sûr de faire constamment les mises à jour du BIOS / UEFI. Au fur et à mesure les vulnérabilités connues sont en train d’être corrigées. Il est important de faire les mises à jour car ce sont des choses qui sont pour la plupart négligées. Une routine simple mais sans savoir pourquoi est difficilement respecté par les entreprises.

« Souvent, les gens se concentrent sur les mises à jour du système d’exploitation et négligent les mises à jour du micrologiciel », note Jesse Michael. « Vous avez donc peut-être une mise à jour du micrologiciel pour votre système que vous pouvez déployer pour résoudre ce problème, mais comme vous ne l’avez pas, parce que vous n’incluez pas les mises à jour du micrologiciel dans vos opérations informatiques normales, vous mettez plus de temps pour les appliquer. A titre préventif vous devez inclure les mises à jour du micrologiciel dans vos processus normaux ».

Il est possible de résoudre ce problème. Cependant, il faudra résoudre d’abord un autre celui du manque de visibilité des problèmes liés au micrologiciel, lors de l’analyse des vulnérabilités.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage