Techniques de Contournement des Mises à Jour de Sécurité sur Windows

Des méthodes permettant de supprimer de force les correctifs de sécurité sur les machines Windows, rendant ainsi les vulnérabilités corrigées à nouveau exploitables, ont été présentées récemment.

Ces techniques peuvent être utilisées par des utilisateurs malveillants, des intrus ou des logiciels malveillants déjà présents sur l’ordinateur d’une victime pour annuler les mises à jour fournies par Microsoft, permettant ainsi l’exploitation de failles anciennes pour prendre le contrôle total de la machine, souvent sans déclencher d’outils de détection de menaces.

Il semble qu’un accès administratif soit nécessaire, ou qu’il faille qu’un compte privilégié exécute certaines étapes pour réaliser ces attaques. Si un tel accès est déjà en place, il est possible de causer des dommages considérables et de voler des informations sensibles, ce qui limite l’impact de cette recherche pour la majorité des utilisateurs.

Cependant, certains individus malintentionnés pourraient trouver ces techniques utiles pour s’infiltrer discrètement dans l’environnement d’une cible, tout en révélant davantage sur le fonctionnement interne de Windows, ce qui mérite d’être signalé.

Cette approche a été développée par Alon Leviev, un chercheur de l’entreprise de cybersécurité SafeBreach, et a été révélée lors de la conférence Black Hat à Las Vegas. Elle s’inspire du bootkit UEFI BlackLotus, qui a permis de rétrograder le gestionnaire de démarrage Windows à une version exploitable, contournant ainsi le Secure Boot.

J’ai réussi à rétrograder le noyau du système d’exploitation, les DLL, les pilotes… en gros tout ce que je voulais.

« J’ai trouvé un moyen de prendre le contrôle des mises à jour Windows pour mettre à jour le système, mais avec un contrôle total sur le contenu des mises à jour », a déclaré Leviev lors d’une interview avant sa présentation. « J’ai pu rétrograder le noyau du système d’exploitation, les DLL, les pilotes… tout ce que je voulais. »

Cette rétrogradation non autorisée peut être effectuée sur les versions Windows 10, 11 et les éditions Windows Server, ainsi que sur le support de virtualisation du système d’exploitation.

« L’ensemble de la pile de virtualisation est également vulnérable aux rétrogradations », a précisé Leviev. « Il est facile de rétrograder le Credential Guard, le noyau sécurisé, et même l’hyperviseur lui-même, et compromettre l’hyperviseur confère encore plus de privilèges que le noyau, ce qui le rend d’autant plus précieux. »

De plus, cette méthode est discrète. « Elle est totalement indétectable car elle est réalisée de la manière la plus légitime [et] est invisible parce que nous n’avons rien installé – nous avons simplement mis à jour le système », a ajouté Leviev.

Réaction de Microsoft

SafeBreach a informé Microsoft des vulnérabilités identifiées il y a six mois, et le géant de l’informatique a publié, en parallèle de la présentation de Leviev, deux avis de sécurité. Microsoft n’a pas encore élaboré de solution complète pour les failles de sécurité découvertes, mais alerte actuellement ses clients.

« Nous apprécions le travail de SafeBreach pour avoir identifié et signalé cette vulnérabilité de manière responsable à travers un processus de divulgation coordonnée », a déclaré Microsoft dans un communiqué.

« Nous développons activement des mesures d’atténuation pour protéger contre ces risques tout en suivant un processus rigoureux impliquant une enquête approfondie, le développement de mises à jour pour toutes les versions affectées, et des tests de compatibilité, afin d’assurer une protection maximale des clients avec un minimum de perturbations opérationnelles. »

Le premier avis de Redmond, référencé comme CVE-2024-38202, traite d’une vulnérabilité d’élévation de privilèges dans la pile de mises à jour Windows. Il indique :

Il est donc possible de forcer un système à annuler ses mises à jour, le rendant à nouveau exploitable.

Redmond recommande aux utilisateurs de consulter cet avis pour plus de détails sur la manière de mitiger cette menace. Le géant de l’informatique a précisé que bien que cette vulnérabilité puisse être exploitée par des utilisateurs non privilégiés et non administrateurs, des étapes supplémentaires impliquant un compte privilégié sont nécessaires pour réaliser ce retour en arrière non autorisé des mises à jour.

« Un attaquant tentant d’exploiter cette vulnérabilité nécessite une interaction supplémentaire d’un utilisateur privilégié pour réussir », a souligné Microsoft.

Ensuite, il y a le CVE-2024-21302, décrit par Microsoft comme une vulnérabilité d’élévation de privilèges en mode noyau sécurisé de Windows. Cela nécessite des droits administratifs pour être exécuté. On nous dit :

Un outil de preuve de concept pour réaliser tout cela, appelé Windows Downdate, a été développé par Leviev et présenté à Black Hat. Il sera probablement mis à disposition pour que les utilisateurs puissent évaluer leur vulnérabilité face à ces failles. Le chercheur a publié ses conclusions en détail si cela vous intéresse.

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *