Microsoft n'a pas encore repéré d'attaque dans la nature, mais il faudra du temps pour développer une atténuation
Que vient-il de se passer ? Un autre jour, une autre faille de sécurité découverte dans Microsoft Windows. La dernière en date est le fruit d'une étude présentée lors de la conférence sur la sécurité Black Hat, qui a révélé une faille de conception dans l'architecture Windows Update qui permet de rétrograder des composants critiques du système d'exploitation en manipulant le processus de mise à jour.
Une vulnérabilité importante dans les outils de sécurité de Microsoft Windows a été dévoilée lors de la conférence sur la sécurité Black Hat. Alon Leviev, chercheur chez SafeBreach, a présenté une méthode permettant d'exploiter le processus de mise à jour de Windows, permettant aux attaquants de rétrograder les systèmes vers des versions antérieures. Ce processus réintroduit des vulnérabilités qui ont déjà été corrigées dans les versions actuelles de Windows.
La faille consiste à créer une liste d'actions de rétrogradation personnalisée qui est ajoutée au registre Windows. Cette liste n'est pas appliquée par le programme d'installation approuvé, ce qui incite le système à accepter des fichiers système obsolètes et vulnérables.
En renommant un dossier de fichiers, l'attaque contourne la sécurité basée sur la virtualisation (VBS), ce qui permet de contrôler les actions de mise à jour telles que la création, la suppression et la modification du registre des fichiers. Cela fait apparaître l'attaque comme une mise à jour légitime, la rendant indétectable par les outils de sécurité standard.
Une fois le noyau sécurisé ou l'hyperviseur rétrogradé, l'attaquant peut désactiver VBS, contourner les verrous UEFI et extraire les informations d'identification, même avec des paramètres restrictifs tels que Credential Guard et Windows Defender.
L'attaque facilite l'escalade des privilèges du niveau administrateur au niveau du noyau et plus loin dans l'hyperviseur, accordant aux attaquants l'accès à tous les environnements isolés et la possibilité d'exploiter les vulnérabilités passées de la pile de virtualisation.
L'étude n'a trouvé aucune mesure de réduction des risques de dégradation dans la pile de virtualisation, ce qui rend l'ensemble du système vulnérable. Cette faille met en évidence un problème plus vaste qui pourrait également affecter d'autres systèmes d'exploitation.
Microsoft a reconnu la vulnérabilité et travaille à la correction de cette faille. Cependant, la solution est complexe en raison du défaut de conception qui affecte plusieurs sous-programmes. Cela peut également prendre un certain temps, car des tests rigoureux sont nécessaires pour éviter les échecs d'intégration ou les régressions. La bonne nouvelle est que Microsoft affirme n'avoir observé aucune exploitation de cette vulnérabilité à ce jour.
SafeBreach Labs a divulgué ses résultats de manière responsable à Microsoft en février 2024. Leviev suggère que les fournisseurs et les chercheurs explorent de nouveaux vecteurs d'attaque pour prévenir des vulnérabilités similaires.
Le chercheur a également critiqué l'approche de Microsoft consistant à corriger uniquement des vulnérabilités spécifiques plutôt qu'à repenser les programmes pour éliminer des catégories entières d'attaques. Parallèlement, en réponse à d'autres problèmes de sécurité, Microsoft s'est engagé à intégrer les performances de sécurité dans les évaluations des employés afin d'améliorer les mesures de sécurité globales.
Jeu de briques
Snake
Pacman
Bubble