Un chercheur du nom de hyp3rlinx a découvert que certaines des souches de ransomwares les plus populaires, telles que Conti, REvil, LockBit et bien d'autres, présentent une faille qui les rend vulnérables au piratage de DLL.
En exploitant cette faille, le chercheur a pu empêcher le ransomware de réaliser son principal argument de vente : le cryptage de fichiers.
Comme le rapporte BleepingComputer, le piratage de DLL est généralement utilisé pour injecter du code malveillant dans des applications légitimes. Cependant, pour ces souches de ransomware, le chercheur a créé une preuve de concept et enregistré une vidéo de démonstration montrant comment procéder.
Pirater les fichiers DLL
Le détournement de DLL exploite la façon dont les applications trouvent et chargent la mémoire dans les fichiers de bibliothèque de liens dynamiques (DLL). Un programme qui ne dispose pas de contrôles suffisants peut charger une DLL à partir d'un chemin en dehors de son répertoire, élevant essentiellement les privilèges et permettant l'exécution de code arbitraire.
Dans ce cas, le chercheur a créé un code unique et l’a compilé dans une DLL portant un nom familier au ransomware. Il est également important, note le chercheur, que la DLL soit placée dans un emplacement où les opérateurs de ransomware placent et exécutent généralement leurs logiciels malveillants, comme un emplacement réseau contenant des données clés.
Cela tuerait le ransomware dès sa création.
Ce qui rend cette méthode encore plus mortelle est le fait qu'elle ne peut pas être classée comme une solution de sécurité et, en tant que telle, ne peut pas être contournée de la même manière que les souches de ransomwares échappent généralement aux antivirus et autres solutions de cybersécurité.
La grande question est : combien de temps durera cette mesure d’atténuation ? Les opérateurs de ransomware mettent souvent à jour et mettent à jour leurs produits, et s’il s’agit d’une faille récemment découverte, ce ne sera probablement qu’une question de temps avant qu’elle ne soit corrigée.
Malheureusement, les opérateurs de ransomwares sont assez rapides et diligents, et nous pouvons nous attendre à ce que le trou soit comblé le plus tôt possible.
Via: BleepingComputer