Home Une nouvelle attaque BYOVD peut échapper à Microsoft Defender et installer un ransomware – Comment vous protéger

Une nouvelle attaque BYOVD peut échapper à Microsoft Defender et installer un ransomware – Comment vous protéger

Une nouvelle attaque BYOVD (Bring Your Own Vulnerable Driver) exploite un pilote légitime et signé qui contient une vulnérabilité. Cela permet aux attaquants d’exécuter du code au niveau du noyau, de contourner Microsoft Defender et d’installer un ransomware. Pour éviter d’en être victime, suivez les mesures de protection décrites dans ce guide.

Table des matières

Comment l'attaque BYOVD échappe à la protection de Microsoft Defender

Cette attaque BYOVD exploite le pilote rwdrv.sys pour obtenir un accès au niveau du noyau, puis déploie le pilote malveillant hlpdrv.sys pour désactiver les boucliers Microsoft Defender du registre. Le pilote rwdrv.sys est généralement installé et utilisé par des applications d'optimisation telles que Throttlestop ou certaines applications de contrôle des ventilateurs. C'est un pilote légitime, mais il peut être exploité pour obtenir un accès au niveau du noyau. Voici comment fonctionne l’attaque :

  • Les pirates informatiques accèdent au PC. Généralement en compromettant le réseau, mais cela peut également être fait à l'aide de chevaux de Troie d'accès à distance (RAT).
  • Ils installent le pilote rwdrv.sys auquel Windows fait confiance par défaut.
  • À l'aide du pilote rwdrv.sys, ils obtiennent les privilèges du noyau pour installer le pilote malveillant hlpdrv.sys.
  • hlpdrv.sys modifie les valeurs du registre Windows pour désactiver les boucliers Microsoft Defender.
  • Avec les protections désactivées, l'attaquant installe un ransomware ou exécute d'autres outils malveillants.

Jusqu’à présent, le ransomware Akira est associé à ces attaques, mais avec une protection réduite, les acteurs malveillants peuvent faire ce qu’ils veulent. Suivez les mesures de protection ci-dessous pour rester en sécurité :

Activer les fonctionnalités de sécurité Windows

Il existe des fonctionnalités de sécurité Windows qui peuvent empêcher de telles attaques de se produire ou même protéger lorsque les boucliers Microsoft Defender sont désactivés. Recherchez « sécurité Windows » dans Windows Search, ouvrez l'application de sécurité Windows et activez les fonctionnalités de sécurité suivantes qui sont désactivées par défaut.

  • Accès contrôlé aux dossiers :cette fonctionnalité est une fonctionnalité de protection contre les ransomwares qui résistera aux attaques même avec les boucliers Defender désactivés. Aller àProtection contre les virus et les menacesGérer les paramètresGérer l'accès contrôlé aux dossierset activerAccès aux dossiers contrôlébasculer. Vous pouvez ensuite ajouter des dossiers protégés qui résisteront aux attaques de ransomwares.
  • Fonctionnalités d'isolation de base :les fonctionnalités d'isolation de base peuvent empêcher l'installation de pilotes vulnérables et l'exécution de code malveillant. Si tous sont activés, cela augmente considérablement la sécurité et BYOVD peut même ne pas entrer dans le système. Aller àSécurité de l'appareilet ouvertDétails de l'isolation principale. Vous devez activer toutes les fonctionnalités ici, mais l'intégrité de la mémoire peut nécessiter l'activation de la gestion des pilotes.

Voir aussi :Qu'est-ce que l'attaque Man-in-the-Prompt et comment vous protéger

De nombreux outils utilitaires fonctionnant au niveau du noyau utilisent le pilote rwdrv.sys. Si ce pilote vulnérable est déjà présent, cela peut rendre le travail des pirates beaucoup plus facile, car ils n’auront pas à installer leur propre copie. En fait, des attaques récentes ont utilisé le pilote déjà installé. Si ce n'est pas nécessaire, vous devez éviter d'utiliser des outils utilitaires qui installent rwdrv.sys, comme Throttlestop ou RWEverything.

Pour confirmer si rwdrv.sys est installé, recherchez « cmd » dans la recherche Windows, cliquez avec le bouton droit surInvite de commande, et cliquez surExécuter en tant qu'administrateur. Ici, exécutez la commandewhere /r C: rwdrv.syset laissez-le scanner. Si le pilote rwdrv.sys est trouvé, vous devez rechercher l'application qui l'a installé et la désinstaller.

Utilisez un compte standard pour une utilisation quotidienne

Pour une meilleure protection, nous recommandons toujours de ne pas utiliser de compte administrateur et de dépendre d'un compte standard pour une utilisation quotidienne. Contre le BYOVD, c’est particulièrement important. Cette attaque dépend fortement des privilèges d'administrateur pour installer le pilote vulnérable ou l'utiliser.

Sur un compte standard, les pirates ne pourront pas apporter de modifications importantes au PC, l’attaque s’arrêtera donc dès le début. S’ils essaient, vous serez informé de l’action. Pour créer un nouveau compte standard, ouvrez WindowsParamètreset allez àComptesAutres utilisateursAjouter un compte. Suivez les instructions pour créer un nouveau compte et définissez-le commeStandard.

Utilisez un autre logiciel antivirus

Cette attaque contient spécifiquement des instructions pour désactiver les boucliers Microsoft Defender ; les mêmes instructions ne fonctionneront pas pour les autres logiciels antivirus tiers. Les programmes antivirus tiers utilisent différentes méthodes pour gérer les fonctions d’activation/désactivation du bouclier, de telles attaques ne peuvent pas les exploiter avec une instruction universelle.

Installez simplement n'importe quel programme antivirus gratuit avec analyse en temps réel pour rester en sécurité, commeAvastouAVG Antivirus.

Les chercheurs en sécurité (GuidePoint, Kaspersky et autres) ont déjà suivi le ransomware Akira en utilisant rwdrv.sys dans les attaques BYOVD et ont publié des IoC. Espérons que Microsoft fera quelque chose contre cette menace dans un avenir proche. Pour plus de sécurité, activez toutes les fonctionnalités de sécurité de Windows, en particulier les fonctionnalités avancées de Microsoft Defender.

Related Posts

Comment réparer la télévision statique

Comment réparer la télévision statique

2023-04-25
Guide des lettres d'amour du parfum Reverie of Blossoms

Guide des lettres d'amour du parfum Reverie of Blossoms

2025-12-06
Le nouveau générateur de vidéos IA de Midjourney se lance directement dans le procès Disney

Le nouveau générateur de vidéos IA de Midjourney se lance directement dans le procès Disney

2025-06-19
Résultats du sondage: ces applications sont vos alternatives Spotify préférées

Résultats du sondage: ces applications sont vos alternatives Spotify préférées

2025-10-03
Correction de la copie et de la pâte de flux Logitech ne fonctionne pas sur PC ou Mac

Correction de la copie et de la pâte de flux Logitech ne fonctionne pas sur PC ou Mac

2024-08-21
Microsoft Fabric ajoute une boîte à outils d'extensibilité, des mises à niveau Onelake et une intégration Azure Foundry

Microsoft Fabric ajoute une boîte à outils d'extensibilité, des mises à niveau Onelake et une intégration Azure Foundry

2025-09-16
Windows 11 Dev Insider Preview Build 26120.1252 publié, voici les nouveautés et les correctifs

Windows 11 Dev Insider Preview Build 26120.1252 publié, voici les nouveautés et les correctifs

2024-07-16
Correction : quelque chose s'est mal passé, actualisez la page sur LinkedIn dans Firefox

Correction : quelque chose s'est mal passé, actualisez la page sur LinkedIn dans Firefox

2024-12-06
Nouvelles technologiques

Nouvelles technologiques

2025-03-31
Intelligence artificielle

Intelligence artificielle

2025-04-01
Comment transférer de l'argent de PayPal vers l'application Cash

Comment transférer de l'argent de PayPal vers l'application Cash

2023-12-11
Astuce: comment activer les onglets verticaux dans Mozilla Firefox dès maintenant

Astuce: comment activer les onglets verticaux dans Mozilla Firefox dès maintenant

2024-09-04
Cyberpunk 2077 à venir à Nintendo Switch 2

Cyberpunk 2077 à venir à Nintendo Switch 2

2025-04-02
Comment échanger les codes à Honkai: Star Rail 2024

Comment échanger les codes à Honkai: Star Rail 2024

2023-12-01
Windows 10 22h2 Build d'aperçu de l'initié 19045.5435 publié pour publier la chaîne de prévisualisation

Windows 10 22h2 Build d'aperçu de l'initié 19045.5435 publié pour publier la chaîne de prévisualisation

2025-01-18