Le chercheur en sécurité SafeBreach Alon Leviev a publié son outil Windows Downdate, qui peut être utilisé pour les attaques de rétrogradation qui réintroduisent d’anciennes vulnérabilités dans les systèmes Windows 10, Windows 11 et Windows Server à jour.

Lors de telles attaques, les auteurs de menaces forcent les appareils ciblés à jour à revenir à des versions logicielles plus anciennes, réintroduisant ainsi des vulnérabilités de sécurité qui peuvent être exploitées pour compromettre le système.

Windows Downdate est disponible en tant que programme open source basé sur Python et exécutable Windows précompilé qui peut aider à rétrograder les composants système Windows 10, Windows 11 et Windows Server.

Leviev a également partagé plusieurs exemples d’utilisation qui permettent de rétrograder l’hyperviseur Hyper-V (vers une version vieille de deux ans), le noyau Windows, le pilote NTFS et le pilote du Gestionnaire de filtres (vers leurs versions de base), ainsi que d’autres composants Windows et correctifs de sécurité précédemment appliqués.

« Vous pouvez l’utiliser pour prendre en charge les mises à jour Windows pour rétrograder et exposer les vulnérabilités passées provenant des DLL, des pilotes, du noyau NT, du noyau sécurisé, de l’hyperviseur, des trustlets IUM et plus encore », a expliqué Alon Leviev, chercheur en sécurité chez SafeBreach.

« Outre les rétrogradations personnalisées, Windows Downdate fournit des exemples d’utilisation faciles à utiliser de la restauration des correctifs pour CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 et PPLFault, ainsi que des exemples de rétrogradation de l’hyperviseur, du noyau et contourner les verrous UEFI de VBS. »

Comme Leviev l’a déclaré lors de Black Hat 2024 lorsqu’il a divulgué l’attaque de rétrogradation Windows Downdate—qui exploite les vulnérabilités CVE-2024-21302 et CVE-2024-38202—l’utilisation de cet outil est indétectable car il ne peut pas être bloqué par les solutions EDR (endpoint detection and response) et Windows Update continue de signaler que le système ciblé est à jour (malgré sa rétrogradation).

« J’ai découvert plusieurs façons de désactiver la sécurité basée sur la virtualisation Windows (VBS), y compris ses fonctionnalités telles que la protection des informations d’identification et l’intégrité du code protégé par l’hyperviseur (HVCI), même lorsqu’elles sont appliquées avec des verrous UEFI. À ma connaissance, c’est la première fois que les verrous UEFI de VBS sont contournés sans accès physique », a déclaré Leviev.

« En conséquence, j’ai pu rendre une machine Windows entièrement corrigée sensible à des milliers de vulnérabilités passées, transformant les vulnérabilités corrigées en zéro jour et rendant le terme « entièrement corrigé » dénué de sens sur n’importe quelle machine Windows dans le monde. »

Alors que Microsoft a publié une mise à jour de sécurité (KB5041773) pour corriger la faille d’escalade de privilèges en mode Noyau sécurisé Windows CVE-2024-21302 le 7 août, la société n’a pas encore fourni de correctif pour CVE-2024-38202, une vulnérabilité d’élévation de privilèges de la pile Windows Update.

En attendant la publication d’une mise à jour de sécurité, Redmond conseille aux clients de mettre en œuvre les recommandations partagées dans l’avis de sécurité publié plus tôt ce mois-ci pour aider à se protéger contre les attaques de rétrogradation de Windows.

Les mesures d’atténuation de ce problème incluent la configuration des paramètres « Audit Object Access » pour surveiller les tentatives d’accès aux fichiers, la restriction des opérations de mise à jour et de restauration, l’utilisation de listes de contrôle d’accès pour limiter l’accès aux fichiers et les privilèges d’audit pour identifier les tentatives d’exploitation de cette vulnérabilité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *