Bitdefender, un leader mondial de la cybersécurité, annonce que son unité Bitdefender Labs publie une nouvelle étude mettant en lumière une surface d’attaque jusqu’ici peu documentée de Windows. Celle-ci s’appuie sur le détournement des bind links, une fonctionnalité légitime de virtualisation du système de fichiers. Les chercheurs montrent qu’un attaquant disposant de privilèges administrateur peut exploiter ce mécanisme pour contourner plusieurs dispositifs de sécurité intégrés à Windows ainsi que des solutions de détection et de réponse sur les terminaux (EDR).
File-Binding : qui permet de faire charger un fichier malveillant depuis un chemin considéré comme légitime
Process-Binding : qui masque l’identité réelle d’un processus en cours d’exécution
Silo-Binding : qui exploite les silos Windows afin de présenter une vue différente du système de fichiers aux outils de sécurité et au processus exécuté. Les chercheurs démontrent notamment que ces techniques peuvent être utilisées pour contourner des mécanismes tels qu’AMSI, AppLocker, Windows Firewall ou encore Sysmon.
Celle selon laquelle un chemin d’accès correspond toujours au même fichier. Les chercheurs montrent qu’en exploitant les bind links, un même chemin peut conduire à des fichiers différents selon le contexte d’exécution, compliquant la détection, l’analyse et les investigations menées par les solutions de sécurité.
Si Microsoft a évalué cette problématique comme étant de faible sévérité en raison de la nécessité de disposer de privilèges administrateur, Bitdefender estime que cette surface d’attaque doit être considérée avec le même niveau d’attention que les attaques de type Bring Your Own Vulnerable Driver (BYOVD), aujourd’hui largement utilisées par les groupes de ransomware pour neutraliser les protections des postes de travail avant le déploiement de leurs attaques.
Les chercheurs indiquent également avoir identifié et signalé de manière responsable un scénario d’élévation de privilèges affectant Docker Desktop, illustrant le potentiel d’exploitation des bind links au-delà des seuls mécanismes d’évasion.