Les chercheurs en sécurité de Trend Micro avertissent que les pirates exploitent déjà activement la vulnérabilité du pilote mhyprot2.sys de Genshin Impact.
D’une part, les logiciels anti-triche sont conçus pour empêcher les joueurs de jeux en ligne d’obtenir un avantage injuste en utilisant des outils tiers. D’un autre côté, les systèmes avec un accès root au niveau du noyau sont dangereux. Les chercheurs en sécurité de Trend Micro avertissent que les pirates ont utilisé à mauvais escient un pilote de système anti-triche pour le jeu Genshin Impact afin de désactiver le logiciel antivirus tout en menant une attaque de ransomware.
Genshin Impact utilise le fichier anti-triche mhyprot2.sys
Le développeur chinois HoYoverse (miHoYo en Chine) a lancé le jeu MMOPRG gratuit Genshin Impact en 2020. Depuis lors, il est très populaire. De nombreux joueurs se connectent à son monde de jeu fantastique, appelé Teyvat, via des appareils mobiles, des consoles ou sur le PC. Cependant, alors que la plupart des jeux utilisent EasyAntiCheat ou BattlEye comme systèmes anti-triche, Genshin Impact utilise spécifiquement le fichier anti-triche mhyprot2.sys.
Trend Micro enquête sur une attaque de ransomware au niveau du noyau
Le fournisseur d’antivirus Trend Micro a reçu un rapport en juillet 2020 d’un client qui a été victime d’un ransomware malgré des systèmes correctement configurés pour la protection des terminaux. Lorsque les chercheurs en sécurité de Trend Micro, Hitomi Kimura et Ryan Soliven, ont enquêté sur l’attaque, ils ont découvert qu’un pirate avait utilisé un pilote signé par code, mhyprot2.sys, pour contourner les autorisations et tuer l’antivirus avec des commandes du noyau . Cependant, on peut se demander comment les pirates ont initialement réussi à pénétrer dans le système. Les chercheurs ont déclaré :
« En analysant la séquence, nous avons découvert qu’un pilote signé par code appelé » mhyprot2.sys « , qui fournit les fonctionnalités anti-triche pour Genshin Impact en tant que pilote de périphérique, a été abusé pour contourner les autorisations. […] L’objectif de l’attaquant était d’installer un logiciel de rançon sur l’appareil de la victime, puis de propager l’infection. »
Les attaquants ciblent les utilisateurs de Windows
Selon les chercheurs en sécurité de Trend Micro, les attaquants ciblent les utilisateurs Windows du populaire jeu d’action ouverte Genshin Impact. Anti-Cheat pour Genshin fonctionne comme un pilote de périphérique et dispose d’une autorisation au niveau du noyau sur l’ordinateur. Ainsi, les attaquants potentiels peuvent utiliser ce fichier pour exploiter la vulnérabilité afin de contourner diverses mesures de sécurité et ainsi mettre fin au processus de protection des terminaux.
Plus précisément, le pirate a réussi à injecter un rançongiciel, à chiffrer tous les fichiers et à accéder à des données confidentielles. De plus, selon les chercheurs en sécurité, le malware peut être transféré vers d’autres ordinateurs via un processus PsExec. Les attaquants ont pu charger entièrement le pilote et le rançongiciel sur un partage réseau dans le but d’un déploiement massif.
Le pilote vulnérable est connu depuis 2020 et permet d’accéder à n’importe quelle mémoire de processus/noyau et de tuer les processus avec les privilèges les plus élevés. Les chercheurs en sécurité ont signalé le problème au fournisseur à plusieurs reprises dans le passé. Cependant, le certificat de signature de code n’a pas été révoqué, vous pouvez donc toujours installer le programme sous Windows sans déclencher d’alarme. Pour pouvoir utiliser les fonctions du pilote, le jeu ne doit pas nécessairement être installé. Le module peut fonctionner indépendamment et n’a pas besoin du jeu pour fonctionner. Trend Micro met donc en garde :
« Ce module est très facile à obtenir et est accessible à tous jusqu’à ce qu’il soit progressivement supprimé. Il pourrait rester longtemps en tant qu’utilitaire de contournement d’autorisation utile ».
Trend Micro note qu’à la suite de l’incident, il a apporté certaines corrections à son logiciel antivirus pour atténuer le pilote. Cependant, d’autres suites antivirus peuvent toujours manquer mhyprot2.sys à moins qu’elles ne soient spécifiquement configurées pour le faire.
Le développeur du jeu fournit un correctif
En réponse au rapport de Trend Micro, miHoYo, développeur de Genshin Impact, a développé un correctif pour atténuer la menace. Il a mis à jour le système anti-triche pour qu’il se désactive lorsque l’utilisateur ne joue pas au jeu. Le développeur a partagé :
« L’équipe HoYovere prend la sécurité informatique très au sérieux. Nous travaillons actuellement sur cette affaire et essaierons de trouver une solution dès que possible pour assurer la sécurité des joueurs et prévenir les abus potentiels de la fonction anti-triche. Nous vous tiendrons au courant au fur et à mesure que nous progresserons. »
Selon les chercheurs en sécurité de Trend Micro « il n’y a actuellement aucune solution ». Le système anti-triche est un programme légitime signé par une entreprise légitime. Par conséquent, il n’est pas signalé comme malveillant par l’antivirus ou Windows. Maintenant que la vulnérabilité a été découverte, les vannes se sont peut-être ouvertes pour d’autres abus potentiels.
Comme l’a informé DigitalTrends, le chercheur en sécurité Kevin Beaumont a conseillé aux utilisateurs de bloquer le hachage suivant pour se protéger contre le pilote : 0466e90bf0e83b776ca8716e01d35a8a2e5f96d3 .