Si l’innovation améliore souvent la fonctionnalité du système informatique et même la sécurité, son adoption à un rythme exponentiel laisse parfois des surfaces d’attaques encore non exploitées et plus vulnérables aux menaces. Une course s’engage alors entre les chercheurs de la cybersécurité et les cybercriminels pour explorer ces surfaces.

Dans ce contexte, Richard Johnson, chercheur principal en sécurité chez Trellix, a ainsi présenté des recherches approfondies sur eBPF pour Windows. Il démontre les vulnérabilités découvertes sur une surface d’attaque en plein essor.

L’eBPF pour Extended Berkeley Packet Filter, est une technologie kernel (lancée dans Linux 4.x) qui permet aux programmes d’être exécutés sans avoir à modifier le code source du kernel ni ajouter de modules supplémentaires. Il s’agit d’une amélioration radicale, grâce à l’eBPF, des capacités supplémentaires au niveau du système d’exploitation peuvent être intégrées au moment de l’exécution, non seulement de manière efficace mais aussi avec des performances supérieures à celles des anciennes méthodes. Qui plus est, l’eBPF permet d’obtenir un ensemble des données complètes, détaillées et permettant d’améliorer la prise de décision en matière de protection.

En mai 2021, Microsoft a annoncé la création d’un nouveau projet open-source appelé ebpf-for-windows. L’objectif de ce projet est d’intégrer simplement la technologie de l’eBPF sur Windows 10 et Windows Server 2016 et ultérieur. Le concept est d’apporter la même visibilité et les mêmes performances qui sont actuellement fournies pour le noyau Linux au noyau Windows et de l’étendre encore plus lorsque cela est possible.

Cependant, les chercheurs Trellix ont constaté que l’adoption plus large de cette technologie pourrait constituer une surface d’attaque idéale pour les cybercriminels. Au cours de leur audit, ils ont notamment découvert une vulnérabilité dont l’exploitation réussie permettrait l’exécution du code arbitraire avec les privilèges de l’administrateur. Trellix a signalé ce problème à Microsoft, qui a rapidement publié un correctif dans le projet open-source et corrigé le problème.

Les failles ont été corrigées pendant la phase de développement, avant même qu’il y ait une chance d’exploitation par des cybercriminels. Si Trellix et d’autres équipes poursuivent leurs recherches afin de signaler les vulnérabilités eBPF pour Windows, l’environnement informatique sera alors en sécurité.