Les attaquants peuvent rétrograder les composants du noyau Windows pour contourner les fonctionnalités de sécurité telles que l’application de la signature du pilote et déployer des rootkits sur des systèmes entièrement corrigés.
Cela est possible en prenant le contrôle du processus de mise à jour de Windows pour introduire des composants logiciels obsolètes et vulnérables sur une machine à jour sans que le système d’exploitation ne modifie l’état entièrement corrigé.
Déclassement des Fenêtres
Le chercheur en sécurité de SafeBreach, Alon Leviev, a signalé le problème de prise de contrôle de la mise à jour, mais Microsoft l’a rejeté en disant qu’il ne franchissait pas une limite de sécurité définie, bien que cela ait été possible en obtenant l’exécution du code du noyau en tant qu’administrateur.
Leviev lors des conférences sur la sécurité BlackHat et DEFCON de cette année a démontré que l’attaque était faisable mais que le problème n’était pas complètement résolu, laissant la porte ouverte aux attaques de rétrogradation/de restauration de version.
Le chercheur a publié un outil appelé Windows Downdate, qui permet de créer des rétrogradations personnalisées et d’exposer un système cible apparemment entièrement mis à jour à des vulnérabilités déjà corrigées via des composants obsolètes, tels que des DLL, des pilotes et le noyau NT.
« J’ai pu rendre une machine Windows entièrement corrigée sensible aux vulnérabilités passées, en rendant les vulnérabilités corrigées non corrigées et en rendant le terme “entièrement corrigé” dénué de sens sur n’importe quelle machine Windows dans le monde » – Alon Leviev
Bien que la sécurité du noyau se soit considérablement améliorée au fil des ans, Leviev a réussi à contourner la fonctionnalité d’application de la signature du pilote (DSE), montrant comment un attaquant pouvait charger des pilotes de noyau non signés pour déployer un malware rootkit qui désactive les contrôles de sécurité et masque l’activité qui pourrait conduire à la détection de la compromission.
” Ces dernières années, des améliorations significatives ont été mises en œuvre pour renforcer la sécurité du noyau, même en supposant qu’il pourrait être compromis avec des privilèges d’administrateur », explique Leviev.
Alors que les nouvelles protections rendent plus difficile la compromission du noyau, « la possibilité de rétrograder les composants qui résident dans le noyau rend les choses beaucoup plus simples pour les attaquants », explique le chercheur.
Leviev appelle sa méthode « ItsNotASecurityBoundary » Contournement DSE car il s’agit d’une rétrogradation de l’exploit ItsNotASecurityBoundary qui exploite les failles d’immutabilité des faux fichiers, une nouvelle classe de vulnérabilité dans Windows identifiée par Gabriel Landau d’Elastic comme un moyen d’exécuter du code arbitraire avec les privilèges du noyau.
Cibler le noyau
Dans une nouvelle étude publiée aujourd’hui, Leviev montre comment un attaquant disposant de privilèges d’administrateur sur une machine cible pourrait exploiter le processus de mise à jour Windows pour contourner les protections DSE en rétrogradant un composant corrigé, même sur des systèmes Windows 11 entièrement mis à jour.
L’attaque est possible en remplaçant ‘ ci.dll’ » un fichier responsable de l’application de DSE, avec une version non corrigée qui ignore les signatures des pilotes, ce qui contourne essentiellement les contrôles de protection de Windows.
Une fois que le composant est rétrogradé vers une version vulnérable, la machine doit redémarrer, tout comme lors d’un processus de mise à jour légitime.
Leviev décrit également des méthodes pour désactiver ou contourner la sécurité basée sur la virtualisation (VBS) de Microsoft qui crée un environnement isolé pour Windows afin de protéger les ressources essentielles et les actifs de sécurité tels que le mécanisme d’intégrité du code du noyau sécurisé (skci.dll) et les informations d’identification de l’utilisateur authentifié.
VBS s’appuie généralement sur des protections telles que les verrous UEFI et les configurations de registre pour empêcher les modifications non autorisées, mais il peut être désactivé s’il n’est pas configuré avec une sécurité maximale (indicateur“Obligatoire”) en effectuant une modification ciblée de la clé de registre.
Lorsqu’il est partiellement activé, les fichiers VBS clés tels que ‘ SecureKernel.exe ‘peut être remplacé par des versions corrompues qui perturbent le fonctionnement de VBS et ouvrent la voie au contournement « ItsNotASecurityBoundary » et au remplacement de ‘ ci.dll’.
Les travaux de Leviev montrent que les attaques de rétrogradation sont encore possibles via plusieurs voies, même si elles comportent parfois de forts prérequis de privilèges.
Une solution se prépare
Alors que les vulnérabilités exploitées pour l’attaque de rétrogradation présentées à BlackHat et DEFCON (c’est-à-dire CVE-2024-21302 et CVE-2024-38202), Microsoft doit encore résoudre le problème de prise de contrôle de Windows Update.
« […] la prise de contrôle de Windows Update, qui a également été signalée à Microsoft, n’a pas été corrigée, car elle n’a pas franchi une limite de sécurité définie. Obtenir l’exécution du code du noyau en tant qu’administrateur n’est pas considéré comme franchissant une frontière de sécurité (pas une vulnérabilité) », note Leviev.
Jusqu’à ce que Microsoft corrige le problème, le chercheur souligne que les solutions de sécurité doivent surveiller et détecter les attaques de rétrogradation, car elles continuent de présenter un risque important pour les organisations.
Dans une déclaration pour Breachtrace, un porte-parole de Microsoft a déclaré que l’entreprise « développe activement des mesures d’atténuation pour se protéger contre ces risques. »
Cependant, le processus implique « une enquête approfondie, le développement de mises à jour sur toutes les versions affectées et des tests de compatibilité » pour s’assurer que les clients sont protégés et que les perturbations opérationnelles sont minimisées.
La société développe une mise à jour de sécurité qui atténue le problème en révoquant les fichiers système VBS obsolètes et non corrigés. On ne sait pas quand la mise à jour sera disponible car le problème est complexe et nécessite des tests complets pour éviter les échecs d’intégration ou les régressions.