Une attaque de rétrogradation de mise à jour Windows indétectable expose des systèmes entièrement mis à jour

Alon Leviev, un chercheur en sécurité chez SafeBreach, a attiré l’attention sur des « attaques de rétrogradation » sur les systèmes Windows 10, Windows 11 et Windows Server qui peuvent forcer des logiciels entièrement à jour à revenir à une version antérieure avec des vulnérabilités connues et exploitables.

Faisant cette annonce lors de la conférence de sécurité en cours « Black Hat 2024 » qui se tient à Las Vegas, Leviev a averti que des acteurs malveillants peuvent exposer et exploiter des vulnérabilités précédemment « entièrement corrigées » pour compromettre des systèmes et obtenir un accès non autorisé.

Leviev a montré comment le processus de mise à jour de Windows pouvait être compromis pour rétrograder des composants critiques du système d’exploitation, y compris des bibliothèques de liens dynamiques (DLL), des pilotes et même le noyau NT.

Bien qu’une attaque de rétrogradation ramène tous les composants critiques à des versions antérieures, la vérification de mise à jour rapporterait faussement que le système d’exploitation (OS) était entièrement mis à jour et incapable d’installer de futures mises à jour, tandis que les outils de récupération et de scan ne pouvaient identifier aucun problème.

« J’ai trouvé plusieurs vulnérabilités que j’ai utilisées pour développer Windows Downdate—un outil pour prendre le contrôle du processus de mise à jour de Windows afin de créer des rétrogradations entièrement indétectables, invisibles, persistantes et irréversibles sur des composants critiques du système d’exploitation—qui m’ont permis d’élever mes privilèges et de contourner les fonctionnalités de sécurité. En conséquence, j’ai pu rendre une machine Windows entièrement corrigée vulnérable à des milliers de vulnérabilités passées, transformant des vulnérabilités corrigées en zéro-days et rendant le terme « entièrement corrigé » sans signification sur n’importe quelle machine Windows dans le monde », a écrit Leviev dans un article de blog.

Le chercheur israélien a réussi à rétrograder le processus Isolated User Mode de Credential Guard, le Secure Kernel et l’hyperviseur de Hyper-V en exploitant les vulnérabilités de zéro-day, exposant ainsi des vulnérabilités d’escalade de privilèges passées.

« J’ai découvert plusieurs façons de désactiver la sécurité basée sur la virtualisation de Windows (VBS), y compris ses fonctionnalités telles que Credential Guard et l’intégrité du code protégé par l’hyperviseur (HVCI), même lorsqu’elles sont appliquées avec des verrous UEFI. À ma connaissance, c’est la première fois que les verrous UEFI de VBS ont été contournés sans accès physique », a révélé Leviev.

« En conséquence, j’ai pu rendre une machine Windows entièrement corrigée vulnérable à des milliers de vulnérabilités passées, transformant des vulnérabilités corrigées en zéro-days et rendant le terme « entièrement corrigé » sans signification sur n’importe quelle machine Windows dans le monde. »

Selon Leviev, c’est la première fois que les verrous UEFI de la sécurité basée sur la virtualisation (VBS) ont été contournés sans accès physique. Les implications de ses recherches sont significatives non seulement pour Microsoft Windows mais aussi pour tous les fournisseurs de systèmes d’exploitation qui pourraient être soumis à des attaques de rétrogradation.

SafeBreach Labs a signalé l’attaque de rétrogradation, surnommée « Windows Downdate », à Microsoft en février de cette année dans le cadre d’un processus de divulgation responsable coordonné. Six mois après le signalement, Leviev a révélé l’attaque de rétrogradation « Windows Downdate » au public.

Microsoft a publié des avis sur les deux vulnérabilités de zéro-day non corrigées (suivies sous les noms CVE-2024-38202 et CVE-2024-21302) et a déclaré que les clients seraient informés lorsque l’atténuation officielle serait disponible dans une mise à jour de sécurité Windows. Il a également déclaré qu’il n’était pas au courant de tentatives d’exploitation de ces vulnérabilités dans la nature.

Entre-temps, la société a donné des recommandations qui ne corrigent pas les vulnérabilités mais peuvent être utilisées pour réduire le risque d’exploitation jusqu’à ce que la mise à jour de sécurité soit disponible.

« Nous apprécions le travail de SafeBreach pour avoir identifié et signalé cette vulnérabilité de manière responsable à travers une divulgation coordonnée des vulnérabilités. Nous développons activement des atténuations pour protéger contre ces risques tout en suivant un processus approfondi impliquant une enquête minutieuse, le développement de mises à jour pour toutes les versions affectées et des tests de compatibilité, afin d’assurer une protection maximale des clients avec une perturbation opérationnelle minimale », a déclaré un porte-parole de Microsoft dans un communiqué.