Microsoft Windows Update : des pirates rétrogradent votre version, d’anciennes failles font leur retour

Une nouvelle vulnérabilité a été découverte et elle permet aux pirates de rétrograder la version de Windows d’une cible. Ce qui expose la victime à des failles précédemment corrigées par les mises à jour de sécurité de Microsoft.

Windows 11 10 Microsoft faille vulnérabilité système d'exploitation mise à jour  Downdate
  • Une vulnérabilité nommée “Downdate” permet de rétrograder Windows 10 et 11 via le système de mise à jour, exposant à des failles de sécurité précédemment corrigées
  • Cette faille exploite une clé non verrouillée dans le processus de mise à jour, permettant de manipuler la liste d’actions sans détection
  • Microsoft travaille sur des correctifs complexes pour résoudre ce problème, notamment la révocation prudente des fichiers système VBS vulnérables.

Les mises à jour Windows permettent notamment de renforcer la sécurité de votre machine avec les correctifs dédiés. Sauf qu’une vulnérabilité majeure dans Windows Update a été découverte, permettant à des pirates de rétrograder la version d’une cible. Ce qui expose la victime à des failles de sécurité précédemment corrigées.

La rétrogradation expose à des failles précédemment corrigées

Cette découverte, baptisée “Downdate”, a été présentée lors de la conférence de sécurité Black Hat à Las Vegas. Alon Leviev, chercheur chez SafeBreach Labs, a identifié cette faille en étudiant les méthodes d’attaque par rétrogradation après avoir observé une campagne de piratage utilisant un malware qui rétrograde le gestionnaire de démarrage de Windows 10 et 11.

Son analyse du processus de Windows Update a révélé la possibilité de rétrograder soit l’ensemble du système d’exploitation, soit des composants spécifiques. La vulnérabilité exploite une faille dans le processus de mise à jour de Windows. Bien que le serveur de mise à jour de Microsoft contrôle un dossier crucial pour l’intégrité du processus, Alon Leviev a découvert qu’une clé spécifique, “PoqexecCmdline”, n’était pas verrouillée. Cette faille permet de manipuler la liste d’actions de mise à jour sans que le système ne détecte l’anomalie.

Cette technique permet potentiellement de rétrograder des composants essentiels de Windows, comme les pilotes, les bibliothèques de liens dynamiques et même le noyau NT. Elle pourrait aussi affecter des éléments de sécurité cruciaux comme le noyau sécurisé de Windows, Credential Guard, l’hyperviseur et la sécurité basée sur la virtualisation (VBS).

Bien que cette méthode ne fournisse pas un accès initial à un appareil ciblé, elle pourrait permettre à un attaquant ayant déjà accès de causer des dégâts considérables en réintroduisant de nombreuses vulnérabilités précédemment corrigées.

Des solutions sont à l’étude chez Microsoft

Microsoft a déclaré travailler activement sur des solutions pour protéger contre ces risques. Le processus de correction est complexe et implique une révocation prudente des fichiers système VBS vulnérables, une tâche délicate qui pourrait potentiellement causer des problèmes d’intégration ou réintroduire d’autres problèmes précédemment résolus (ironique !).

Alon Leviev souligne l’importance pour la communauté des développeurs de prendre en compte les attaques par rétrogradation, car les pirates recherchent constamment des moyens furtifs et difficiles à détecter pour s’infiltrer dans les systèmes ciblés.

Source : Wired