Des attaquants ont détourné un vieux driver signé il y a près de vingt ans, toujours accepté par Windows malgré un certificat expiré et révoqué, pour killer les solutions de sécurité et préparer le terrain à une attaque de ransomware.
La logique de Microsoft est innacessible …
Non, c’est le principe même de la signature par un certificat. Si le certificat était valide lors de la signature, la signature est valable. On doit archiver les anciens certificat qui permettent de vérifier les signature. Ca fait partie de la preuve.
Et j’aime bien ces attaques, elles me font penser au piratage sur consoles: utiliser une faille dans un jeu pour installer ce qu’on veut. Dans un cas ça fait plaisir aux gens, dans l’autre un peu moins.
Sauf que dans les jeux, on les patchs de force pour fermer les failles, ici microsoft révoque les soit-disants certificats, mais au final cela ne révoque rien du tout et ils sont toujours utilisable, c’est tout ce que je constate.
Ex. C’est comme si tu étais locataire dans un immeuble, et que 10ans après tu reviens et peux re-rentrer dans le même logement alors que les serrures ont été changées, au final tu as un pass universel illimité dans le temps… grandiose.