Accueil Technologie Microsoft Rootkit Buster de Trend Micro bloqué par Windows

Rootkit Buster de Trend Micro bloqué par Windows

Winner
-
0
Rootkit Buster de Trend Micro bloqué par Windows
A rootkit is a stealthy type of software, typically malicious, designed to hide the existence of certain processes or programs from normal methods of detection and enable continued privileged access to a computer. The term rootkit is a concatenation of "root" (the traditional name of the privileged account on Unix operating systems) and the word "kit" (which refers to the software components that implement the tool). The term "rootkit" has negative connotations through its association with malware.Rootkit installation can be automated, or an attacker can install it once they've obtained root or Administrator access. Obtaining this access is a result of direct attack on a system (i.e.), exploiting a known vulnerability (such as privilege escalation) or a password (obtained by cracking or social engineering). Once installed, it becomes possible to hide the intrusion as well as to maintain privileged access. The key is the root or Administrator access. Full control over a system means that existing software can be modified, including software that might otherwise be used to detect or circumvent it.

Microsoft a bloqué un outil antivirus gratuit développé par Trend Micro après que l’entreprise de sécurité ait été accusée de concevoir son pilote pour « tricher » sur les tests de matériel par le biais d’une astuce de codage.

Après avoir procédé à la rétro-ingénierie du pilote « tmcomm », qui se trouve au cœur du logiciel Rootkit Buster de Trend Micro, les chercheurs en sécurité ont fait exploser plusieurs aspects du code. Non seulement ils ont pu exécuter des exploits, mais ils ont également déterminé comment le logiciel peut contourner les tests de certification du matériel.

Par conséquent, Microsoft a interdit le Rootkit Buster de Windows 10, les chercheurs Bill Demirkapi et Alex Ionescu confirmant que le logiciel ne peut pas se charger sur la dernière version de Windows 10, appelée 20H1. Trend Micro a également supprimé les liens de téléchargement du logiciel sur son site web.

Rootkit Buster est un outil gratuit lancé en 2018 qui traque les rootkits conçus pour échapper à la détection en analysant les fichiers cachés, les entrées de registre, les processus, les lecteurs et l’enregistrement de démarrage principal. Le logiciel examine également les correctifs du code du noyau, les crochets de service du système d’exploitation, les flux de fichiers, les ports et les services afin d’identifier et de supprimer les rootkits malveillants.

Le code au cœur de Rootkit Buster n’est pas seulement « vraiment, vraiment mauvais », cependant, mais il alloue la mémoire de telle sorte qu’il n’utilise de la mémoire sécurisée que s’il sait qu’il est surveillé par le vérificateur de pilotes de Microsoft, selon une recherche publiée par Demirkapi.

WHQL, dont Driver Verifier est un élément clé, est une procédure de certification de la compatibilité des périphériques et autres composants avec les systèmes d’exploitation Windows et de leur bon fonctionnement. En passant le test, un pilote est vérifié numériquement et peut même être potentiellement distribué par Windows Update.

Le logiciel effectue des vérifications pour Driver Verifier, et peut donc s’adapter pour se comporter différemment sur les systèmes qui passent l’examen. Par conséquent, le pilote au cœur de Rootkit Buster peut « tricher » à ces examens de matériel et obtenir la certification WHQL.

Pour réussir l’examen, tout logiciel doit utiliser par précaution la mémoire du pool non paginé du système d’exploitation. Ce pool est non exécutable pour l’unité centrale, ce qui signifie que si les pirates informatiques parviennent à cacher du code malveillant dans la mémoire, en exploitant une faille de sécurité dans le code, par exemple, alors il est extrêmement difficile à exécuter.

Le Driver Verifier vérifie si les pilotes utilisent la mémoire non exécutable de cette manière. Lorsque tmcomm fonctionne sur une machine avec le test en cours, il demande de la mémoire du pool non paginé non exécuté, comme prévu. Cependant, lorsque le test n’est pas en cours d’exécution, il demande de la mémoire du pool non paginé exécutable. Cela ne répondrait pas à la norme WHQL.

« Réussir le Driver Verifier est une exigence de longue date pour obtenir la certification WHQL », a déclaré M. Demirkapi dans ses recherches.

« Sous Windows 10, Driver Verifier fait en sorte que les pilotes n’allouent pas de mémoire exécutable. Au lieu de se conformer à cette exigence conçue pour sécuriser les utilisateurs de Windows, Trend Micro a décidé d’ignorer la sécurité de leur utilisateur et a conçu son pilote pour tromper tout environnement de test ou de débogage qui détecterait de telles violations.

« Honnêtement, je suis abasourdi. Je ne comprends pas pourquoi Trend Micro ferait tout son possible pour tricher dans ces tests. Trend Micro aurait pu simplement laisser le contrôle de Windows 10, pourquoi même se donner la peine de créer un contrôle explicite pour Driver Verifier ? »

Trend Micro a déjà fait face à la colère d’Apple en 2018 après que des chercheurs de Malwarebytes aient découvert que six applications exfiltraient inutilement des données vers un serveur en Chine. Trend Micro a nié catégoriquement les accusations de vol de données utilisateur.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

© Newspaper WordPress Theme by TagDiv