Les attaquants ont abusé d’un pilote de noyau Windows EnCase signé mais révoqué depuis longtemps lors d’une attaque BYOVD pour mettre fin à tous les outils de sécurité.
Lors d’un incident récent, des attaquants ont abusé d’un pilote de noyau Windows légitime mais vulnérable pour arrêter les outils de sécurité des points finaux lors d’une réponse à un incident en cours.
Selon un rapport de Huntress, l’activité a été observée lors d’une enquête client début 2026 et impliquait l’utilisation d’un ancien pilote médico-légal EnCase (par Guidance Software) dans le cadre de la technique Bring Your Own Vulnerable Driver (BYOVD) pour mettre fin aux processus de détection et de réponse des points finaux (EDR) à partir du mode noyau.
L’intrusion a commencé avec des informations d’identification VPN SSL SonicWall compromises, après quoi l’attaquant a effectué une reconnaissance interne et déployé un binaire « EDR killer » personnalisé.
« L’attaque a été interrompue avant le déploiement du ransomware, mais l’affaire met en évidence une tendance croissante : les acteurs malveillants utilisent des pilotes signés et légitimes pour aveugler la sécurité des points finaux », ont déclaré les chercheurs de Huntress dans un article de blog. « Le certificat du pilote EnCase a expiré en 2010 et a ensuite été révoqué, mais Windows le charge toujours, une lacune dans l’application des signatures du pilote que les attaquants continuent d’exploiter. »
L’abus BYOVD
Selon les chercheurs, l’attaque a utilisé une technique courante consistant à abuser d’un pilote signé légitime qui dispose déjà de privilèges au niveau du noyau. Cela a donné aux attaquants un accès direct et privilégié au noyau, leur permettant ainsi de mettre fin à presque tous les processus de leur choix, y compris les outils de sécurité.
L’application de signature de pilote de Windows, la politique exigeant que tous les pilotes en mode noyau soient signés numériquement par une autorité de certification (CA) de confiance, ne vérifie pas les listes de révocation de certificats au moment du chargement du noyau. Les chercheurs ont noté qu’il s’agissait d’un comportement hérité qui reste exploitable en raison des fonctionnalités de compatibilité descendante introduites il y a des années qui autorisent une exception pour les pilotes signés avec des certificats émis avant le 29 juillet 2015, cette chaîne étant reliée à une autorité de certification à signature croisée prise en charge.
Le pilote EnCase contient un horodatage provenant d’un service VeriSign, que le contrôle d’authentification considère toujours comme valide. « Lorsque le code est signé avec un horodatage, Windows valide la signature par rapport à l’heure à laquelle elle a été créée, et non par rapport à la date actuelle », ont noté les chercheurs. « Comme le conducteur a été horodaté alors que le certificat était encore valide (avant le 31 janvier 2010), la signature reste valable indéfiniment, même si le certificat a expiré depuis. »
Une fois dans le noyau, le pilote expose une interface IOCTL qui permet au malware de mettre fin à des processus arbitraires avec tous les privilèges système. Parmi les fonctionnalités exposées figurent les commandes de fin de processus qui contournent les protections du mode utilisateur pour les processus Protected Process Light (PPL), les défenses dont dépendent les systèmes EDR pour éviter toute falsification.
La liste des victimes excluait Huntress
Le binaire tueur EDR utilisé dans l’attaque observée par Huntress contenait un exécutable Windows 64 bits et une charge utile de pilote de noyau codé personnalisé, qu’il a décodé dans OemHwUpd.sys et installé en tant que service en mode noyau. Comme Windows honore toujours sa signature cryptographique, les attaquants ont pu charger le pilote.
Une fois le pilote vulnérable en place, le tueur EDR a compilé une liste interne de 59 processus d’outils de sécurité bien connus, hachant leurs noms et vérifiant en permanence leur présence sur le système. « La boucle d’arrêt s’exécute en continu avec un intervalle de veille d’une seconde, garantissant que tout processus de sécurité qui redémarre est immédiatement terminé », ont déclaré les chercheurs.
À propos, Huntress a dit qu’il ne figurait pas sur la liste des victimes. « Alors que le tueur EDR cible presque tous les principaux fournisseurs EDR et AV du marché, l’agent Huntress ne faisait pas partie des 59 processus ciblés pour être résiliés », ajoute-t-il. Une fois le pilote écrit sur le disque, le binaire a établi la persistance en l’enregistrant en tant que service du noyau Windows.
Huntress a recommandé d’activer la liste de blocage des pilotes vulnérables de Microsoft sur tous les systèmes Windows pris en charge pour empêcher le chargement des pilotes abusifs connus. Les chercheurs ont également conseillé d’appliquer des contrôles d’accès stricts aux services d’accès à distance, y compris la MFA pour les VPN tels que SonicWall, et de surveiller de près les activités suspectes d’installation de pilotes. Dans la mesure du possible, les organisations sont également encouragées à activer des fonctionnalités de sécurité basées sur la virtualisation telles que l’intégrité du code protégé par hyperviseur (HVCI) pour limiter davantage les abus en mode noyau.
