En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Actualité des entreprises

Bitdefender dévoile trois nouvelles techniques permettant de contourner les solutions EDR sous Windows

Publication: 17 juillet

Partagez sur
 
 

Bitdefender, un leader mondial de la cybersécurité, annonce que son unité Bitdefender Labs publie une nouvelle étude mettant en lumière une surface d’attaque jusqu’ici peu documentée de Windows. Celle-ci s’appuie sur le détournement des bind links, une fonctionnalité légitime de virtualisation du système de fichiers. Les chercheurs montrent qu’un attaquant disposant de privilèges administrateur peut exploiter ce mécanisme pour contourner plusieurs dispositifs de sécurité intégrés à Windows ainsi que des solutions de détection et de réponse sur les terminaux (EDR).

À l’occasion de cette recherche, Bitdefender Labs documente et nomme pour la première fois trois nouvelles techniques d’attaque :

- File-Binding : qui permet de faire charger un fichier malveillant depuis un chemin considéré comme légitime
- Process-Binding : qui masque l’identité réelle d’un processus en cours d’exécution
- Silo-Binding : qui exploite les silos Windows afin de présenter une vue différente du système de fichiers aux outils de sécurité et au processus exécuté. Les chercheurs démontrent notamment que ces techniques peuvent être utilisées pour contourner des mécanismes tels qu’AMSI, AppLocker, Windows Firewall ou encore Sysmon.

Selon Bitdefender Labs, cette recherche remet en question une hypothèse fondamentale sur laquelle reposent de nombreuses technologies de sécurité :

Celle selon laquelle un chemin d’accès correspond toujours au même fichier. Les chercheurs montrent qu’en exploitant les bind links, un même chemin peut conduire à des fichiers différents selon le contexte d’exécution, compliquant la détection, l’analyse et les investigations menées par les solutions de sécurité.

Si Microsoft a évalué cette problématique comme étant de faible sévérité en raison de la nécessité de disposer de privilèges administrateur, Bitdefender estime que cette surface d’attaque doit être considérée avec le même niveau d’attention que les attaques de type Bring Your Own Vulnerable Driver (BYOVD), aujourd’hui largement utilisées par les groupes de ransomware pour neutraliser les protections des postes de travail avant le déploiement de leurs attaques.

Les chercheurs indiquent également avoir identifié et signalé de manière responsable un scénario d’élévation de privilèges affectant Docker Desktop, illustrant le potentiel d’exploitation des bind links au-delà des seuls mécanismes d’évasion.

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: