EFS : le chiffrement Windows victime d'un ransomware
Publié par Clément Bohic le | Mis à jour le
SafeBreach attire l'attention sur les risques d'exploitation du chiffrement EFS de Windows par des rançongiciels.
Attention aux rançongiciels qui tireraient parti des outils de chiffrement intégrés à Windows.
SafeBreach vient d'émettre une alerte dans ce sens.
L'entreprise américaine a développé un malware de ce type. Et mis à l'épreuve trois solutions de sécurité, sur des machines virtuelles équipées de Windows 10 :
Au « premier jet », aucun de ces produits n'avait détecté le rançongiciel.
La situation s'est améliorée depuis lors, à en croire les éditeurs concernés.
SafeBreach avait pris contact avec eux à la mi-2019. Tout en sollicitant une quinzaine d'autres fournisseurs de solutions de sécurité.
Les leaders du marché (d'après le classement d'OPSWAT) ont tous livré une forme de correctif :
Discret. avec modération
EFS (Encrypting File System) est proposé depuis Windows 2000 sur les éditions du système d'exploitation destinées à un usage professionnel.
Il permet de chiffrer des fichiers et des dossiers à la demande - par opposition à Bitlocker, qui chiffre des volumes entiers.
Les opérations se font au niveau du pilote NTFS. Elles sont inivisibles pour l'utilisateur, qui n'a pas d'action à réaliser (la clé dépend en partie du mot de passe de la session Windows).
En exploitant les API cryptographiques de Windows, le rançongiciel de Safebreach :
Le malware présente l'avantage de travailler à bas niveau, sans avoir besoin de privilèges particuliers (au contraire des rançongiciels qui s'en prennent à Bitlocker).
Son action est toutefois trahie par le cadenas jaune qui s'affiche en haut à droite sur l'icône des fichiers et dossiers chiffrés.
On peut par ailleurs le désactiver en coupant EFS (mettre la valeur 1 pour la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration).
Autre solution : les agents de restauration, actifs par défaut sur les machines Windows reliées à des domaines.
Photo d'illustration © Infosec Images via Visual hunt / CC BY