Un virus peut-il se propager d’une installation Windows à une autre ?

Un virus informatique est capable de se propager d’une installation Windows à une autre, exploitant souvent des *vulnérabilités wormable* ou des configurations incorrectes. Ces malware utilisent diverses techniques pour s’infiltrer et compromettre d’autres systèmes au sein d’un réseau. Un virus ayant acquis les droits SYSTEM ou des privilèges élevés peut étendre ses attaques grâce à des mouvements latéraux, compromettant davantage de machines. Des protocoles tels que RDP et SMB, souvent sujets à des vulnérabilités, sont fréquemment exploités pour accéder à d’autres ordinateurs sur le même réseau. Il est important de mettre en place des mesures de sécurité rigoureuses afin d’éviter la propagation de ces virus à travers un environnement Windows.

Les logiciels malveillants, en particulier les virus et les worms, constituent une menace constante pour les systèmes informatiques. Ces nuisibles ont la capacité de se répliquer et d’infecter d’autres systèmes, que ce soit au sein d’une même machine ou à travers des réseaux locaux et Internet. Cet article explore comment les virus peuvent se transmettre entre installations Windows, les techniques de mouvement latéral employées par les malwares et les mesures de prévention pour limiter leur propagation.

Quand un virus peut-il passer d’une installation Windows à une autre

La première étape d’une infection par malware se produit lorsqu’il est activement exécuté sur un dispositif. À partir de là, selon les privileges utilisateurs disponibles, le malware peut effectuer diverses opérations. Un virus qui parvient à obtenir ou à exploiter les droits d’administrateur ou les droits SYSTEM a une liberté d’action plus étendue, ce qui lui permet de réaliser des attaques de privilege escalation pour acquérir des droits plus élevés dans Windows.

Une fois qu’un virus accède au file system, il peut s’ancrer sur l’installation Windows en cours d’utilisation et potentiellement s’attaquer à d’autres installations présentes sur la même machine, représentée par un déménagement dit plus « latéral ».

Les mouvements latéraux : ce qu’ils sont et pourquoi ils sont dangereux

Les mouvements latéraux font référence à la capacité d’un virus à naviguer et infecter plusieurs systèmes au sein d’un réseau. C’est une méthode souvent employée par les pirates informatiques pour maximiser l’impact d’un attaque informatique, notamment en exploitant diverses techniques.

Accès à distance (RDP, SMB)

Les malwares peuvent utiliser des identifiants volés ou des failles dans les protocoles Remote Desktop Protocol (RDP) et Server Message Block (SMB) pour accéder aux ordinateurs connectés au même réseau. RDP est principalement ciblé par les criminels numériques pour l’accès à distance, Microsoft régulierement y applique des correctifs pour pallier les failles découvertes. De la même façon, des exploits comme EternalBlue ont démontré à quel point SMB est vulnérable. Microsoft encourage désormais l’adoption de protocoles de sécurité plus avancés comme Kerberos.

Cassage de mots de passe et abus des crédentials

Les virus procèdent souvent par attaques de type brute force ou password spraying afin de s’introduire sur des comptes utilisateurs. Un outil comme Mimikatz facilite cette intrusion en extrayant des identifiants en clair. Avec ces crédentials valides, un malware peut se connecter via SMB et exécuter des commandes nuisibles, s’accrochant ainsi à des outils légitimes comme PsExec pour exécuter des scripts à distance.

Techniques de pass-the-hash

Le pass-the-hash est une technique qui permet à un malware d’utiliser des hashs de mots de passe pour s’authentifier sur d’autres machines. Plutôt que d’obtenir le mot de passe en clair, il suffit au virus de récupérer cet hash, souvent stocké sur les systèmes Windows, pour s’infiltrer. D’où la décision de Microsoft d’éliminer progressivement le protocole d’authentification NTLM vulnérable à ces attaques.

Abus d’outils administratifs

Mis à part PsExec, des outils tels que PowerShell, WinRM et WMI sont souvent employés par des malwares pour effectuer des commandes à distance. Ces utilitaires offrent la possibilité de passer d’une installation de Windows à une autre, augmentant la surface d’attaque.

Surcharger les vulnérabilités

L’exploitation de vulnérabilités de sécurité demeure l’un des moyens les plus courants pour les malwares de se déplacer entre installations Windows. Les failles « zero-day » sont particulièrement redoutables mais rarement utilisées car nécessitant des ressources conséquentes. Ces attaques sont souvent réservées aux cibles de haute importance.

Évasion VM et Sandbox

Des environnements isolés tels que Hyper-V et Windows Sandbox peuvent être sujets à des failles. Cependant, leurs vulnérabilités permettant l’exécution de code malveillant hors de l’isolement sont relativement rares.

DLL hijacking et malware sans fichier

Certaines menaces parviennent à s’immiscer dans des processus de Windows en cours de route, exploitant des méthodes telles que le DLL hijacking. D’autres, appelés malwares sans fichier, agissent directement dans la mémoire de l’ordinateur sans laisser de traces évidentes ni de fichiers suspects sur le disque dur, rendant leur détection plus complexe.

Les mesures de prévention

Pour se protéger contre la propagation de virus entre installations Windows, il est essentiel de :

• Appliquer régulièrement des patchs pour le système et les logiciels tiers.
• Mettre en place un contrôle rigoureux des crédentials, incluant l’authentification multifactorielle (MFA).
• Protéger adéquatement les ressources partagées avec des protocoles sécurisés.
• Surveiller les activités suspectes via des outils de détection d’intrusion.
• Limiter les privilèges des utilisateurs en adoptant la politique du “strict nécéssaire”.
• Segmenter les réseaux pour restreindre les déplacements non autorisés des virus.
• Utiliser des technologies basées sur la virtualisation matérielle pour une sécurité accrue.

Possibilités de Propagation des Virus entre Installations Windows