Alon Leviev, chercheur en sécurité chez SafeBreach, a révélé lors de Black Hat 2024 que deux jours zéro pouvaient être exploités dans des attaques de rétrogradation pour « annuler le correctif » des systèmes Windows 10, Windows 11 et Windows Server entièrement mis à jour et réintroduire d’anciennes vulnérabilités.

Microsoft a publié des avis sur les deux jours zéro non corrigés (suivis comme CVE-2024-38202 et CVE-2024-21302) en coordination avec le discours du Chapeau noir, fournissant des conseils d’atténuation jusqu’à ce qu’un correctif soit publié.

Dans les attaques de rétrogradation, les auteurs de menaces forcent un appareil cible à jour à revenir à des versions logicielles plus anciennes, réintroduisant des vulnérabilités qui peuvent être exploitées pour compromettre le système.

Alon Leviev, chercheur en sécurité chez SafeBreach, a découvert que le processus de mise à jour de Windows pouvait être compromis pour rétrograder des composants critiques du système d’exploitation, y compris les bibliothèques de liens dynamiques (DLL) et le noyau NT. Même si tous ces composants étaient désormais obsolètes, lors de la vérification avec Windows Update, le système d’exploitation a signalé qu’il était entièrement mis à jour, les outils de récupération et d’analyse étant incapables de détecter les problèmes.

En exploitant les vulnérabilités zero-day, il pourrait également rétrograder le Noyau sécurisé et le processus en Mode Utilisateur isolé de Credential Guard et l’hyperviseur Hyper-V pour exposer les vulnérabilités passées d’escalade de privilèges.

« J’ai découvert plusieurs façons de désactiver la sécurité basée sur la virtualisation Windows (VBS), y compris ses fonctionnalités telles que la protection des informations d’identification et l’intégrité du code protégé par l’hyperviseur (HVCI), même lorsqu’elles sont appliquées avec des verrous UEFI. À ma connaissance, c’est la première fois que les verrous UEFI de VBS sont contournés sans accès physique », a révélé Leviev.

« En conséquence, j’ai pu rendre une machine Windows entièrement corrigée sensible à des milliers de vulnérabilités passées, transformant les vulnérabilités corrigées en zéro jour et rendant le terme « entièrement corrigé » dénué de sens sur n’importe quelle machine Windows dans le monde. »

Comme Leviev l’a dit, cette attaque de rétrogradation est indétectable car elle ne peut pas être bloquée par les solutions de détection et de réponse des points de terminaison (EDR), et elle est également invisible car Windows Update signale qu’un périphérique est entièrement mis à jour (malgré sa rétrogradation).

Pas de patchs après six mois
Leviev a dévoilé son attaque de rétrogradation » Windows Downdate  » six mois après avoir signalé les vulnérabilités à Microsoft en février dans le cadre d’un processus coordonné de divulgation responsable.

Microsoft a déclaré aujourd’hui qu’il travaillait toujours sur un correctif pour les vulnérabilités d’élévation de privilèges de la pile de mises à jour Windows (CVE-2024-38202) et d’Élévation de privilèges en Mode Noyau sécurisé Windows (CVE-2024-21302) utilisées par Leviev pour élever les privilèges, créer des mises à jour malveillantes et réintroduire des failles de sécurité en remplaçant les fichiers système Windows par des versions plus anciennes.

Comme l’explique l’entreprise, la vulnérabilité d’escalade de privilèges de sauvegarde Windows CVE-2024-38202 permet aux attaquants disposant de privilèges utilisateur de base de « découpler » les bogues de sécurité précédemment atténués ou de contourner les fonctionnalités de sécurité basée sur la virtualisation (VBS). Les attaquants disposant de privilèges d’administrateur peuvent exploiter la faille d’escalade de privilèges CVE-2024-21302 pour remplacer les fichiers système Windows par des versions obsolètes et vulnérables.

Microsoft a déclaré qu’il n’était actuellement au courant d’aucune tentative d’exploitation de cette vulnérabilité dans la nature et a conseillé de mettre en œuvre des recommandations partagées dans deux avis de sécurité publiés aujourd’hui pour aider à réduire le risque d’exploitation jusqu’à la publication d’une mise à jour de sécurité.

« J’ai pu montrer comment il était possible de rendre une machine Windows entièrement corrigée sensible à des milliers de vulnérabilités passées, transformant les vulnérabilités corrigées en zéro jour et rendant le terme « entièrement corrigé » dénué de sens sur n’importe quelle machine Windows dans le monde », a déclaré Leviev.

« Nous pensons que les implications sont importantes non seulement pour Microsoft Windows, qui est le système d’exploitation de bureau le plus utilisé au monde, mais également pour d’autres fournisseurs de systèmes d’exploitation susceptibles d’être potentiellement exposés à des attaques de rétrogradation. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *