Trois techniques pour rendre un EDR aveugle sous Windows : les experts tirent la sonnette d’alarme
Des chercheurs en cybersécurité ont récemment identifié trois méthodes, nommées « File-Binding », « Process-Binding » et « Silo-Binding », qui exploitent une fonctionnalité légitime de virtualisation du système de fichiers de Windows. Ces techniques, qui permettent à des cybercriminels disposant de droits administratifs de masquer leur activité malveillante, pourraient compromettre l’efficacité des solutions de détection et de réponse aux menaces (EDR).
Ces méthodes fonctionnent en trompant les logiciels de sécurité, leur faisant croire qu’un fichier apparemment sain est inspecté, alors qu’un code malveillant s’exécute en arrière-plan. Cette approche rappelle les attaques BYOVD (Bring Your Own Vulnerable Driver), qui ont été largement utilisées par des groupes de ransomware pour contourner les protections en place.
Bitdefender, qui a étudié ces techniques, souligne l’urgence de la situation, incitant les entreprises à renforcer leurs mes de sécurité pour contrer ces menaces émergentes.
Source : Bitdefender
