Vous installez régulièrement les correctifs de sécurité Windows ? C’est bien ! Vous pensez être protégé des failles du système d’exploitation ? Et bien, plus maintenant ! Depuis la découverte de deux brèches béantes, il y a plusieurs mois, Microsoft a admis qu’il est possible pour des pirates de désinstaller les mises à jour de sécurité et de réintroduire d’anciennes vulnérabilités. Je vous explique tout.
Une attaque par rétrogradation
C’est à Alon Leviev, chercheur en sécurité chez SafeBreach (entreprise pionnière dans la simulation de cyberattaque), que l’on doit la trouvaille de cette faille (une faille « Zero-day ») de Windows. Cette découverte n’est pas des moindres puisqu’elle met en évidence la possibilité de désinstaller les mises à jour Windows, dans le but de rouvrir d’anciennes failles normalement corrigées avant d’exploiter leur vulnérabilité. Ces attaques conçues pour revenir à une version plus ancienne se nomment « rollback ».
Une faille de Windows Update
En cause, Windows Update, l’utilitaire de mises à jour Windows, qui offre la possibilité d’être reprogrammé dans le but de remettre des composants logiciels à un état antérieur. Alon Leviev a pu poser le doigt sur ce scénario d’attaque alors qu’il explorait les subtilités du processus de mise à niveau du système d’exploitation.
Le chercheur en sécurité a pu prendre la main sur l’installateur de patchs et faire régresser les versions de façon indétectable et irréversible grâce à Windows Downdate, un outil qu’il a lui-même développé. Ce déclassement touche les composants critiques du système d’exploitation, mais aussi les bibliothèques de liaisons dynamiques (DLL), les pilotes, et même le noyau NT. Par ailleurs, Alon Levliev a découvert qu’il pouvait contourner les fonctions de sécurité et augmenter les privilèges utilisateur.
Un risque encouru par de très nombreux PC
La brèche affecte tous les appareils qui prennent en charge VBS, le nom donné au système de sécurité basée sur la virtualisation. En d’autres termes sont concernés tous les appareils tournants sous Windows 10 et 11 (ainsi que ceux dotés de Windows Server 2016 et versions ultérieures). Nous parlons là, bien entendu, d’appareils physiques locaux, mais aussi de machines virtuelles (VM).
Malgré l’étendu du risque, l’entreprise américaine assure dans l’un de ses bulletins de sécurité que jusque-là, elle « n’a pas connaissance de tentatives d’exploitation de cette vulnérabilité ». Elle précise en outre qu’un attaquant doit déclencher « une interaction supplémentaire de la part d’un utilisateur disposant de privilèges pour réussir », minorant ainsi la probabilité d’une mise en œuvre.
Microsoft planche sur le correctif
Découvertes il y a plusieurs mois, les deux failles ont été divulguées dans le courant de l’été. Baptisées CVE-2024-38202 et CVE-2024-21302 par Microsoft, elles sont classifiées au niveau de gravité « Important » dans la mesure où elles impactent l’élévation des privilèges. La première touche au noyau de Windows (NT), la seconde à la pile Windows Update.
À l’heure où je rédige cet article, seule la faille CVE-2024-38202 a reçu un correctif : le KB5042562 qui apporte des conseils pour bloquer la restauration des mises à jour de sécurité liées à la virtualisation (VBS). Il ne couvre toutefois les versions impactées que partiellement. Des atténuations supplémentaires sont prévues pour les prochaines mises à jour.
Que pensez-vous de la sécurité Windows ? Faites-vous toujours pleinement confiance aux développeurs du produit américain ?