Les nouvelles techniques Windows Bind Link permettent aux attaquants d’échapper aux contrôles de sécurité EDR

Lucas Morel

Les techniques de liaison de fichiers, de liaison de processus et de liaison en silo abusent des fonctionnalités de virtualisation du système de fichiers Windows pour présenter des fichiers fiables aux produits de sécurité tandis que les logiciels malveillants s’exécutent sans être détectés.

Les attaquants qui disposent déjà de privilèges d’administrateur sur une machine Windows disposent de moyens plus récents pour contourner la sécurité des points finaux sans exploiter un pilote vulnérable ni modifier les binaires fiables.

Les chercheurs de Bitdefender ont mis en garde contre trois techniques qui abusent de Windows Bind Links, une fonctionnalité légitime de virtualisation du système de fichiers, pour occuper les outils de sécurité avec des fichiers propres tandis que des fichiers malveillants s’exécutent sans être détectés.

Bitdefender a démontré comment les attaquants peuvent progressivement utiliser cette fonctionnalité comme une arme.

La première technique, File-Binding, redirige les chemins de fichiers ou de DLL fiables vers des remplacements contrôlés par les attaquants. Les chercheurs ont montré que PowerShell chargeait ce qui semblait être un amsi.dll légitime, mais Bind Link servait à la place une DLL malveillante qui exportait des fonctions identiques tout en désactivant silencieusement l’analyse des logiciels malveillants.

Process-Binding étend le concept aux fichiers exécutables. Ici, ont déclaré les chercheurs, Windows signale qu’un exécutable fiable tel que « winever.exe » est en cours d’exécution, tandis que le système d’exploitation exécute en fait un autre binaire, tel que cmd.exe. Étant donné que de nombreux produits de sécurité s’appuient sur des chemins exécutables pour les listes autorisées, les signatures et l’identité des processus, cette inadéquation peut tromper à la fois les politiques de sécurité et les analystes.

« Chaque système Windows 10 RS4+ et Windows 11 est exposé dès qu’un attaquant y dispose d’un accès administrateur », ont-ils déclaré. « Tous les AV et EDR qui font confiance au chemin du fichier image renvoyé par les routines de notification de processus standard sont affectés. »

Bitdefender a également divulgué un scénario d’élévation de privilèges associé impliquant Docker Desktop, dans lequel les membres du groupe « utilisateurs de docker » pouvaient utiliser Bind Links pour accéder aux privilèges SYSTEM.

Suite à cette divulgation, Docker aurait mis à jour sa documentation pour clarifier les implications de sécurité des autorisations du groupe.

Alors que Windows 24H2 introduit un mécanisme de veto qui peut bloquer la création de liens de liaison, les chercheurs l’ont décrit comme une atténuation partielle car il est limité aux systèmes les plus récents, ne s’applique que dans certains scénarios et peut être contourné.

Au lieu de cela, ils ont recommandé de résoudre le véritable fichier de sauvegarde plutôt que de faire confiance aux chemins de processus, de revalider l’identité du fichier chaque fois qu’un fichier est rouvert pour hachage ou analyse, et d’énumérer les mappages de liens de liaison actifs pour détecter les abus en silo.

Sécurité WindowsProtection des points de terminaisonSécurité