Deux failles zero-day dans le système de mise à jour de Windows permettraient à des cybercriminels de rétrograder des composants critiques du système d'exploitation. Tous les correctifs de sécurité seraient ainsi annulés.
Avec les failles de sécurité, Windows doit avoir l'impression de remplir le tonneau des Danaïdes. On ne compte plus les correctifs destinés à combler les brèches. Autant dire qu'avec la découverte de deux nouvelles d'entre elles par un chercheur en sécurité, l'OS de Microsoft va également avoir la sensation de peigner la girafe.
Ces failles zero-day dans le processus de mise à jour Windows 10, 11 et Server pourraient donner aux pirates les moyens d'annuler tous les correctifs précédemment installés. Ce faisant, toutes les portes leur seraient alors rouvertes, et ils pourraient attaquer ou infecter les appareils de leurs proies.
Annuler les correctifs de sécurité grâce aux failles Windows Update
Les deux failles zero-day découvertes par Alon Leviev, chercheur chez SafeBreach, portent les références CVE-2024-38202 et CVE-2024-21302. Elles permettraient à des hackers d'exploiter le processus de mise à jour de Windows afin de rétrograder des composants critiques du système d'exploitation, tels que les bibliothèques dynamiques et le noyau NT. Même si le système peut signaler que l'appareil est entièrement mis à jour, les fichiers essentiels auraient en réalité été remplacés par des versions vulnérables, réintroduisant ainsi des failles de sécurité depuis longtemps corrigées.
L'expert a également réussi à désactiver les fonctionnalités de sécurité fondées sur la virtualisation (VBS) de Windows, y compris Credential Guard et Hypervisor-Protected Code Integrity, et ce, même lorsque le verrouillage UEFI était en place. Cette capacité à contourner les protections les plus avancées de Windows est particulièrement préoccupante, car elle permettrait aux pirates d'exposer des vulnérabilités d'élévation de privilèges depuis longtemps résolues.
En clair, Alon Leviev explique son modus operandi : « J'ai pu rendre une machine Windows entièrement corrigée vulnérable à des milliers de vulnérabilités passées, transformant les vulnérabilités corrigées en vulnérabilités zero-day et rendant le terme "entièrement corrigé" dénué de sens sur n'importe quelle machine Windows dans le monde », a-t-il déclaré à nos confrères de Bleeping Computer.
Historique des vulnérabilités Windows
Cette découverte ne ferait hélas pas les affaires de Microsoft, déjà rompue aux incidents liés à ses nombreuses vulnérabilités.
Pour autant, le géant des GAFAM est beau joueur et indique dans un bulletin de sécurité être au courant du problème, tout en nuançant sa portée, précisant qu'« un attaquant qui tente d'exploiter cette vulnérabilité nécessite une interaction supplémentaire de la part d'un utilisateur disposant de privilèges pour réussir ».
Les recherches d'Alon Leviev ont été plus tard saluées, toujours chez Bleeping Computer : « Nous apprécions le travail de SafeBreach pour identifier et signaler de manière responsable cette vulnérabilité par le biais d'une divulgation coordonnée des vulnérabilités », déclare un porte-parole de Microsoft.
Bien que la firme de Redmond « n'a connaissance d'aucune tentative d'exploitation de cette vulnérabilité », elle prévoit un correctif dans une prochaine mise à jour de Windows, sans pour autant donner d'échéance. Elle invite toutefois ses utilisateurs à s'abonner aux bulletins de notifications pour être tenus au courant de l'avancée des réparations, qui prend les traits d'une mise en abyme des correctifs de failles de sécurité.
Sources : Bleeping Computer, SafeBreach, Microsoft
