Durant la convention Black Hat 2024 et DEF CON 32, Alon Leview, un chercheur en sécurité chez SafeBreach, a révélé non pas une, mais deux failles « zero-day » sur Windows qui auraient pu être exploitées pour mener une attaque de grande envergure sur votre PC.
L’attaque consiste à effectuer une rétrogradation de votre ordinateur et à « annuler des correctifs » sur les systèmes de Windows 10, 11 et Server, rétablissant ainsi d’anciennes failles sans que l’utilisateur s’en aperçoive. Quel sera l’impact de ce bug sur le système d’exploitation ?
Windows : deux nouvelles failles « en cours de correction »
La faille révélée permettait aux hackers de revenir à des versions logicielles anciennes des bibliothèques de liens dynamiques (DLL) du noyau tout en n’affichant aucun problème du côté de Windows Update, ce qui rendait la faille presque indétectable. D’après le chercheur, les attaquants pouvaient également désactiver la sécurité basée sur la virtualisation afin d’élever leurs droits d’admin. Les deux failles portent les noms de code CVE-2024-38202 et CVE-2024-21302.
Le chercheur indique par ailleurs dans son compte rendu qu’il y avait plusieurs façons de « désactiver la sécurité basée sur la virtualisation Windows (VBS) » avec des fonctionnalités comme Credential Guard et Hypervisor-Protected Code Integrity (HVCI), même lorsqu’elles sont appliquées avec des verrous UEFI. Selon lui, c’est la première fois que ces fonctionnalités sont désactivées sans accès physique.
Il ajoute que le terme « entièrement corrigé » pour une machine sujette à ce type d’attaques complètement dénué de sens pour n’importe quelle machine fonctionnant sous Windows à travers le monde.
Une faille datant de six mois
Ayant baptisé son attaque de rétrogradation « Windows Downdate », Alon Leview avait déjà tiré la sonnette d’alarme en février en exposant ce type de failles dans le cadre d’un processus de divulgation responsable.
Microsoft a, de son côté, déclaré qu’il travaillait sur un correctif pour résoudre ces deux failles, « Windows Update Stack Elevation of Privilege » (CVE-2024-38202) et « Windows Secure Kernel Mode Elevation of Privilege » (CVE-2024-21302), utilisées par le chercheur pour élever ses privilèges.
« Nous apprécions le travail de SafeBreach pour identifier et signaler de manière responsable cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Nous développons activement des mesures d’atténuation pour nous protéger contre ces risques tout en suivant un processus complet impliquant une enquête approfondie, le développement de mises à jour sur toutes les versions affectées et des tests de compatibilité, afin de garantir une protection maximale des clients avec une perturbation opérationnelle minimale », a indiqué un porte-parole de Microsoft à Bleeping Computer.
Reste à savoir comment la firme de Redmond déploiera un correctif pour « patcher » cette faille de sécurité qui remplace les fichiers système de Windows par des versions plus anciennes. Cette mise à jour est censée révoquer les fichiers système VBS (Virtualization Based Security) obsolètes et non corrigés, atténuant ainsi l’attaque.