AccueilTechnologieMicrosoftRootkit Buster de Trend Micro bloqué par Windows

Rootkit Buster de Trend Micro bloqué par Windows

L'outil d'analyse développé par Trend Micro, Rootkit Buster est bloqué par Windows, l'outil trichait et Microsoft n'a pas aimé.

Microsoft a bloqué un outil antivirus gratuit développé par Trend Micro après que l’entreprise de sécurité ait été accusée de concevoir son pilote pour “tricher” sur les tests de matériel par le biais d’une astuce de codage.

Après avoir procédé à la rétro-ingénierie du pilote “tmcomm”, qui se trouve au cœur du logiciel Rootkit Buster de Trend Micro, les chercheurs en sécurité ont fait exploser plusieurs aspects du code. Non seulement ils ont pu exécuter des exploits, mais ils ont également déterminé comment le logiciel peut contourner les tests de certification du matériel.

Par conséquent, Microsoft a interdit le Rootkit Buster de Windows 10, les chercheurs Bill Demirkapi et Alex Ionescu confirmant que le logiciel ne peut pas se charger sur la dernière version de Windows 10, appelée 20H1. Trend Micro a également supprimé les liens de téléchargement du logiciel sur son site web.

Rootkit Buster est un outil gratuit lancé en 2018 qui traque les rootkits conçus pour échapper à la détection en analysant les fichiers cachés, les entrées de registre, les processus, les lecteurs et l’enregistrement de démarrage principal. Le logiciel examine également les correctifs du code du noyau, les crochets de service du système d’exploitation, les flux de fichiers, les ports et les services afin d’identifier et de supprimer les rootkits malveillants.

A lire  Microsoft Edge permet enfin de synchroniser vos extensions
A lire  Windows 10 s'enrichit de nouveaux paramètres de personnalisation

Le code au cœur de Rootkit Buster n’est pas seulement “vraiment, vraiment mauvais”, cependant, mais il alloue la mémoire de telle sorte qu’il n’utilise de la mémoire sécurisée que s’il sait qu’il est surveillé par le vérificateur de pilotes de Microsoft, selon une recherche publiée par Demirkapi.

WHQL, dont Driver Verifier est un élément clé, est une procédure de certification de la compatibilité des périphériques et autres composants avec les systèmes d’exploitation Windows et de leur bon fonctionnement. En passant le test, un pilote est vérifié numériquement et peut même être potentiellement distribué par Windows Update.

Le logiciel effectue des vérifications pour Driver Verifier, et peut donc s’adapter pour se comporter différemment sur les systèmes qui passent l’examen. Par conséquent, le pilote au cœur de Rootkit Buster peut “tricher” à ces examens de matériel et obtenir la certification WHQL.

Pour réussir l’examen, tout logiciel doit utiliser par précaution la mémoire du pool non paginé du système d’exploitation. Ce pool est non exécutable pour l’unité centrale, ce qui signifie que si les pirates informatiques parviennent à cacher du code malveillant dans la mémoire, en exploitant une faille de sécurité dans le code, par exemple, alors il est extrêmement difficile à exécuter.

A lire  Windows 10 s'enrichit de nouveaux paramètres de personnalisation
A lire  Le mode Jeu de Windows 10 cause de sérieux problèmes aux joueurs

Le Driver Verifier vérifie si les pilotes utilisent la mémoire non exécutable de cette manière. Lorsque tmcomm fonctionne sur une machine avec le test en cours, il demande de la mémoire du pool non paginé non exécuté, comme prévu. Cependant, lorsque le test n’est pas en cours d’exécution, il demande de la mémoire du pool non paginé exécutable. Cela ne répondrait pas à la norme WHQL.

“Réussir le Driver Verifier est une exigence de longue date pour obtenir la certification WHQL”, a déclaré M. Demirkapi dans ses recherches.

“Sous Windows 10, Driver Verifier fait en sorte que les pilotes n’allouent pas de mémoire exécutable. Au lieu de se conformer à cette exigence conçue pour sécuriser les utilisateurs de Windows, Trend Micro a décidé d’ignorer la sécurité de leur utilisateur et a conçu son pilote pour tromper tout environnement de test ou de débogage qui détecterait de telles violations.

“Honnêtement, je suis abasourdi. Je ne comprends pas pourquoi Trend Micro ferait tout son possible pour tricher dans ces tests. Trend Micro aurait pu simplement laisser le contrôle de Windows 10, pourquoi même se donner la peine de créer un contrôle explicite pour Driver Verifier ?”

Trend Micro a déjà fait face à la colère d’Apple en 2018 après que des chercheurs de Malwarebytes aient découvert que six applications exfiltraient inutilement des données vers un serveur en Chine. Trend Micro a nié catégoriquement les accusations de vol de données utilisateur.

A lire  Windows 10 20H2 installera la nouvelle version du navigateur Edge

Laisser un commentaire

- Advertisment -

Les + lus

Nous utilisons des cookies pour vous offrir la meilleure expérience en ligne. En acceptant, vous acceptez l'utilisation de cookies conformément à notre politique de confidentialité des cookies.

Paramètres de confidentialité sauvegardés !
Paramètres de confidentialité

Lorsque vous visitez un site Web, il peut stocker ou récupérer des informations sur votre navigateur, principalement sous la forme de cookies. Contrôlez vos services de cookies personnels ici.

Veuillez noter que les cookies essentiels sont indispensables au fonctionnement du site, et qu’ils ne peuvent pas être désactivés.

Pour des raisons de performance, nous utilisons Cloudflare en tant que réseau CDN. Cela enregistre un cookie "__cfduid" pour appliquer les paramètres de sécurité par client. Ce cookie est strictement nécessaire pour les fonctionnalités de sécurité de Cloudflare et ne peut pas être désactivé.
  • __cfduid

Pour utiliser ce site Web, nous utilisons les cookies suivant qui sont techniquement nécessaires
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Refuser tous les services
Accepter tous les services
error: