Il existe une nouvelle façon effrayante d’annuler les correctifs de sécurité Windows

Hibou Gourou
Personne assise et utilisant un ordinateur HP avec Windows 11.
Microsoft

Les correctifs de sécurité pour Windows sont essentiels pour protéger votre PC contre le développement de menaces. Mais les attaques par rétrogradation sont un moyen de contourner les correctifs de Microsoft, et un chercheur en sécurité a décidé de montrer à quel point ceux-ci peuvent être mortels.

Alon Leviev, chercheur en sécurité chez SafeBreach, a mentionné dans un article de blog de l'entreprise qu'ils avaient créé quelque chose appelé l'outil Windows Downdate comme preuve de concept. L'outil crée des mises à niveau persistantes et irréversibles sur les systèmes Windows Server et les composants Windows 10 et 11.

Leviev explique que son outil (et les menaces similaires) effectue une attaque de restauration de version, « conçue pour ramener un logiciel immunisé et entièrement à jour à une ancienne version. Ils permettent à des acteurs malveillants d’exposer et d’exploiter des vulnérabilités précédemment corrigées/corrigées pour compromettre les systèmes et obtenir un accès non autorisé.

Il mentionne également que vous pouvez utiliser l'outil pour exposer le PC à des vulnérabilités plus anciennes provenant des pilotes, des DLL, du noyau sécurisé, du noyau NT, de l'hyperviseur, etc. Leviev a ensuite publié ce qui suit sur X (anciennement Twitter) : « Outre les rétrogradations personnalisées, Windows Downdate fournit des exemples d'utilisation faciles à utiliser de correctifs de restauration pour CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 et PPLFault, ainsi que des exemples pour rétrograder l'hyperviseur, le noyau et contourner les verrous UEFI de VBS.

Ce qui est également préoccupant, c'est que l'outil est indétectable car il ne peut pas être bloqué par les solutions de détection et de réponse des points finaux (EDR), et votre ordinateur Windows continuera de vous dire qu'il est à jour même s'il ne l'est pas. Il a également découvert diverses façons de désactiver la sécurité basée sur la virtualisation (VBS) de Windows , notamment l'intégrité du code protégé par hyperviseur (HVCI) et Credential Guard.

Microsoft a publié une mise à jour de sécurité (KB5041773) le 7 août pour corriger la faille d'élévation de privilèges du mode noyau sécurisé Windows CVE-2024-21302 et un correctif pour CVE-2024-38202 . Microsoft a également publié quelques conseils que les utilisateurs de Windows peuvent suivre pour rester en sécurité, tels que la configuration des paramètres « Audit Object Access » pour rechercher les tentatives d'accès aux fichiers. La sortie de ce nouvel outil montre à quel point les PC sont exposés à toutes sortes d'attaques et comment il ne faut jamais baisser la garde en matière de cybersécurité.

La bonne nouvelle est que nous pouvons être tranquilles pour l’instant puisque l’outil a été créé comme une preuve de concept, un exemple de « piratage au chapeau blanc » pour découvrir les vulnérabilités avant les acteurs malveillants. Leviev a également remis ses conclusions à Microsoft en février 2024 et, espérons-le, le géant du logiciel disposera bientôt des correctifs nécessaires.