L’attaque « Windows Downdate » expose les PC Windows aux anciennes vulnérabilités !
À l'occasion de la conférence Black Hat 2024, le chercheur en sécurité Alon Leviev a dévoilé une nouvelle attaque surnommée "Windows Downdate", basée sur l'exploitation de 2 failles de sécurité zero-day présente dans Windows. Voici ce qu'il faut savoir.
Il y a une semaine, le chercheur en sécurité Alon Leviev de chez SafeBreach a publié un rapport au sujet de l'attaque "Windows Downdate", qu'il a présenté lors des conférences Black Hat USA 2024 et Def Con 32 (2024). Lors de cette démonstration, l'attaque a pu être réalisée sur des machines Windows 10, Windows 11 et Windows Server avec les dernières mises à jour (sans tenir compte des nouvelles mises à jour que Microsoft vient de publier).
Cette attaque repose sur l'exploitation de deux failles de sécurité zero-day, désormais traquées avec les références CVE-2024-38202 et CVE-2024-21302. Il s'agit d'une attaque de type "downgrade" basée sur Windows Update qui va forcer l'appareil pris pour cible à revenir à un "état antérieur", c'est-à-dire que certaines bibliothèques DLL et le noyau NT font un downgrade vers une version antérieure (le fichier actuel est remplacé par le même fichier, dans une version obsolète).
De ce fait, un appareil patché redevient vulnérable à certaines vulnérabilités, réintroduites, et peut donc être compromis totalement. Pour autant, d'un point de vue de Windows Update et d'autres services de Windows, la machine continue d'apparaître comme étant à jour, puisque les mises à jour sont installées.
"J'ai ensuite visé plus haut et découvert que l'ensemble de la pile de virtualisation était également menacée. J'ai réussi à rétrograder le processus en mode utilisateur isolé de Credential Guard, le noyau sécurisé et l'hyperviseur d'Hyper-V afin d'exposer les vulnérabilités antérieures en matière d'escalade des privilèges.", peut-on lire dans le rapport d'Alon Leviev.
Il est important de spécifier que l'attaque nécessite des privilèges Administrateur sur la machine, afin de pouvoir ensuite bénéficier des privilèges SYSTEM.
Du côté de Microsoft, voici ce que l'on peut lire : "Un chercheur en sécurité a informé Microsoft d'une vulnérabilité de type élévation de privilèges dans Windows 10, Windows 11, Windows Server 2016, et les systèmes basés sur des versions plus récentes, y compris les machines virtuelles Azure (VM) qui prennent en charge VBS (Virtualization Based Security)."
Est-ce qu'il y a des correctifs de sécurité ?
Mardi 13 août 2024, Microsoft a publié de nouvelles mises à jour de sécurité pour les différentes versions de Windows. Il est donc légitime de se demander si l'entreprise américaine a fait le nécessaire pour corriger ces deux failles de sécurité ? La réponse est à la fois oui, et à la fois non. Tout simplement parce que Microsoft a corrigé la faille de sécurité CVE-2024-21302, mais pas la CVE-2024-38202. Le correctif serait en cours de développement. De plus, un article au sujet de mesures d'atténuation a aussi été mis en ligne (voir cette page).
Pourtant, Microsoft a eu le temps de développer des correctifs et de proposer une solution, puisque l'entreprise américaine a été informée de ce problème de sécurité en février 2024. De son côté, Alon Leviev a bien respecté les délais et nous ne pouvons pas lui reprocher d'exposer cette vulnérabilité de façon publique.
Pour le moment, rien n'indique que l'attaque "Windows Downdate" a été exploitée lors de cyberattaques réelles. L'entreprise américaine qu'il est peu probable que cela soit le cas à l'avenir, contrairement à d'autres zero-day déjà exploitées et qui viennent de recevoir un patch.
