Cet exploit Windows Update est carrément terrifiant

Hibou Gourou

Windows Update peut parfois se retourner contre vous avec des correctifs défectueux , mais pour l'essentiel, il vise à nous protéger des dernières menaces. Microsoft propose régulièrement de nouveaux correctifs qui corrigent les vulnérabilités potentielles. Mais et s’il existait un outil capable d’annuler chaque mise à jour de Windows et d’exposer votre PC à toutes les menaces que Microsoft pensait avoir déjà corrigées ? Mauvaise nouvelle : un tel outil existe désormais et s'appelle Windows Downdate.

Ne vous inquiétez pas, cependant. Vous êtes à l'abri de Windows Update, du moins pour le moment. L'outil a été développé comme preuve de concept par le chercheur de SafeBreach, Alon Leviev, et bien que son potentiel soit tout simplement terrifiant, il a été conçu de bonne foi comme exemple de ce qu'on appelle le « piratage au chapeau blanc », où les chercheurs tentent de trouvez les vulnérabilités avant que les acteurs malveillants ne puissent le faire en premier.

Dans le cas de Windows Downdate, si celui-ci tombait entre de mauvaises mains, l’impact pourrait être stupéfiant. L'exploit s'appuie sur une faille dans Windows Update pour installer des mises à jour plus anciennes dont certaines vulnérabilités n'ont pas encore été corrigées. Leviev a utilisé l'outil pour rétrograder les bibliothèques de liens dynamiques (DLL), les pilotes et même le noyau NT, qui est un composant essentiel de Windows. Ceci est réalisé en contournant toute vérification, et le résultat est entièrement invisible et irréversible.

« J'ai pu rendre une machine Windows entièrement corrigée sensible à des milliers de vulnérabilités passées, transformant les vulnérabilités corrigées en zéro jour et rendant le terme « entièrement corrigé » dénué de sens sur n'importe quelle machine Windows dans le monde », a déclaré Leviev dans un article de SafeBreach . "Après ces mises à niveau, le système d'exploitation a signalé qu'il était entièrement mis à jour et qu'il était incapable d'installer les futures mises à jour, tandis que les outils de récupération et d'analyse n'étaient pas en mesure de détecter les problèmes."

L'outil de rétrogradation de Windows.
Alon Leviev / SafeBreach

Leviev a également découvert que l'ensemble de la pile de virtualisation de Windows était également sensible à cet exploit ; le chercheur a réussi à rétrograder le processus de mode utilisateur isolé de Credential Guard, l'hyperviseur d'Hyper-V et Secure Kernel. Leviev a même trouvé « plusieurs façons » de désactiver la sécurité basée sur la virtualisation (VBS) dans Windows, et cela était toujours possible même lorsque les verrous UEFI étaient appliqués.

"À ma connaissance, c'est la première fois que les verrous UEFI de VBS sont contournés sans accès physique", a déclaré Leviev.

Windows Downdate peut essentiellement annuler tous les correctifs de sécurité jamais créés, puis faire croire au PC que tout va bien, car il l'expose furtivement à des centaines de menaces différentes. Un outil comme celui-ci pourrait causer de sérieux dégâts sur n'importe quel système d'exploitation, et Leviev soupçonne que d'autres systèmes d'exploitation, tels que MacOS et Linux, pourraient également être menacés.

La bonne nouvelle est que Leviev avait l'intention de protéger les utilisateurs de Windows contre un outil comme celui-ci, et le chercheur a fait part de ses conclusions à Microsoft en février 2024. Microsoft a publié deux CVE en réponse ( CVE-2024-21302 et CVE-2024-38202 ) et semble travailler dur pour corriger cette vulnérabilité. Espérons que Microsoft sera plus rapide à corriger cet exploit que les pirates non éthiques ne le feront pour l'utiliser à leur propre avantage.