Les techniques de liaison de fichiers, de liaison de processus et de liaison en silo abusent des fonctionnalités de virtualisation du système de fichiers Windows pour présenter des fichiers fiables aux produits de sécurité tandis que les logiciels malveillants s’exécutent sans être détectés.
Les attaquants qui disposent déjà de privilèges d’administrateur sur une machine Windows disposent de moyens plus récents pour contourner la sécurité des points finaux sans exploiter un pilote vulnérable ni modifier les binaires fiables.
Les chercheurs de Bitdefender ont mis en garde contre trois techniques qui abusent de Windows Bind Links, une fonctionnalité légitime de virtualisation du système de fichiers, pour occuper les outils de sécurité avec des fichiers propres tandis que des fichiers malveillants s’exécutent sans être détectés.
Alors que Microsoft aurait évalué les problèmes comme étant de faible gravité, car l’exploitation de ces techniques nécessite des privilèges d’administrateur, Bitdefender a fait valoir son importance en comparant la menace aux attaques BYOVD (Bring Your Own Vulnerable Driver).
Trois voies d’attaque à partir d’une seule faiblesse
Les recherches de Bitdefender se sont concentrées sur Bind Links, une fonctionnalité Windows conçue pour les scénarios de virtualisation légitimes tels que Windows Sandbox, les conteneurs Windows et les applications Store. Les liens de liaison fonctionnent entièrement dans « bindflt.sys », permettant à un chemin de fichier de se résoudre de manière transparente en un autre sans créer d’objet de système de fichiers visible ni modifier le fichier d’origine.
Bitdefender a démontré comment les attaquants peuvent progressivement utiliser cette fonctionnalité comme une arme.
La première technique, File-Binding, redirige les chemins de fichiers ou de DLL fiables vers des remplacements contrôlés par les attaquants. Les chercheurs ont montré que PowerShell chargeait ce qui semblait être un amsi.dll légitime, mais Bind Link servait à la place une DLL malveillante qui exportait des fonctions identiques tout en désactivant silencieusement l’analyse des logiciels malveillants.
Process-Binding étend le concept aux fichiers exécutables. Ici, ont déclaré les chercheurs, Windows signale qu’un exécutable fiable tel que « winever.exe » est en cours d’exécution, tandis que le système d’exploitation exécute en fait un autre binaire, tel que cmd.exe. Étant donné que de nombreux produits de sécurité s’appuient sur des chemins exécutables pour les listes autorisées, les signatures et l’identité des processus, cette inadéquation peut tromper à la fois les politiques de sécurité et les analystes.
Le plus sophistiqué des trois, Silo-Binding, exploite les silos Windows, la technologie d’isolation des conteneurs Windows, pour présenter différentes vues du système de fichiers à l’intérieur et à l’extérieur d’un environnement isolé. Les chercheurs ont démontré qu’un logiciel malveillant potentiel s’exécutait à l’intérieur du silo en tant qu’application fiable, tandis que les outils de sécurité fonctionnant en dehors du silo les lisaient comme des fichiers légitimes.
Bitdefender a démontré des contournements contre AppLocker, le pare-feu Windows, Sysmon et a même exécuté Invoke-Mimikatz sous une identité de processus fiable pour échapper à la détection.
Un vecteur d’attaque potentiel post-compromission
Répondant à l’évaluation de faible gravité de Microsoft, les chercheurs ont noté que ces techniques étaient des attaques d’évasion post-compromise efficaces, plutôt qu’une vulnérabilité d’exécution de code à distance.
« Chaque système Windows 10 RS4+ et Windows 11 est exposé dès qu’un attaquant y dispose d’un accès administrateur », ont-ils déclaré. « Tous les AV et EDR qui font confiance au chemin du fichier image renvoyé par les routines de notification de processus standard sont affectés. »
Bitdefender a également divulgué un scénario d’élévation de privilèges associé impliquant Docker Desktop, dans lequel les membres du groupe « utilisateurs de docker » pouvaient utiliser Bind Links pour accéder aux privilèges SYSTEM.
Suite à cette divulgation, Docker aurait mis à jour sa documentation pour clarifier les implications de sécurité des autorisations du groupe.
Alors que Windows 24H2 introduit un mécanisme de veto qui peut bloquer la création de liens de liaison, les chercheurs l’ont décrit comme une atténuation partielle car il est limité aux systèmes les plus récents, ne s’applique que dans certains scénarios et peut être contourné.
Au lieu de cela, ils ont recommandé de résoudre le véritable fichier de sauvegarde plutôt que de faire confiance aux chemins de processus, de revalider l’identité du fichier chaque fois qu’un fichier est rouvert pour hachage ou analyse, et d’énumérer les mappages de liens de liaison actifs pour détecter les abus en silo.



![An open padlock with green check mark allows data to flow freely [lax security/data loss prevention]](https://www.illicit-trade.com/wp-content/uploads/2026/07/La-cybersecurite-necessite-davantage-de-prevention-et-moins-de-recours-150x150.webp)