Une faille dans Windows Update permet aux hackers de réactiver d'anciennes vulnérabilités

Déjà connue de Microsoft, cette faille encore active pourrait être exploitée pour restaurer d’anciennes mises à jour du système, et ainsi exploiter des vulnérabilités que l’on pensait définitivement patchées.

Dans une note de blog, Alon Leviev, chercheur en sécurité chez SafeBreach, explique avoir mis au point un dispositif capable d’exploiter deux vulnérabilités critiques dans Windows Update. Baptisé Windows Downdate, l’outil est capable de mener des attaques par rétrogradation, et donc de restaurer d’anciennes versions de l’OS pour les systèmes Windows 10, Windows 11 et Windows Server. Une annonce d’autant plus inquiétante que l’une des failles exploitables n’a pas encore été patchée par Microsoft, bien que la firme de Redmond l’ait déjà référencée.

Restaurer d'anciennes versions du système, failles comprises

Disponible sur GitHub, Windows Downdate est un petit programme open source, écrit en Python et précompilé pour Windows. Son objectif : restaurer d’anciennes versions du système d’exploitation, entraînant la réouverture de brèches colmatées pouvant à nouveau être exploitées. Plus encore, plusieurs exemples partagés par Leviev ont démontré que l’outil pouvait aussi downgrader l’hyperviseur Hyper-V (jusqu’à des versions vieilles de deux ans), le noyau Windows, le driver NTFS et le gestionnaire de filtres (jusqu’à leur toute première version), parmi d’autres composants Windows ayant reçu des mises à jour de sécurité. Le champ de vulnérabilités ressuscitées est vaste, alors que leur réactivation concerne aussi bien d’anciennes failles provenant des DLL des pilotes, du noyau NT, du noyau sécurisé, de l’hyperviseur ou encore des processus IUM.

Les choses auraient pu en rester là, et l’on aurait pu penser qu’un bon antivirus suffirait à bloquer les éventuelles attaques par rétrogradation, mais Windows Downdate est présenté par son concepteur comme indétectable, donc impossible à bloquer par n’importe quel EDR, y compris celui de Microsoft Defender. Par là même, utilisateurs et utilisatrices n’y voient que du feu dans la mesure où Windows Update continue de confirmer que le système est à jour, malgré la rétrogradation.

Sur deux failles exploitables, une attend toujours son patch

Si Windows Downdate peut contourner le système de mises à jour Windows Update, c’est parce qu’il repose sur l’exploitation de deux vulnérabilités déjà connues de Microsoft, estampillées CVE-2024-21302 (élévation de privilèges dans le mode de noyau sécurisé de Windows) et CVE-2024-38202 (élévation de privilèges dans la pile Windows Update). Problème, alors que la première a été corrigée en début de mois avec le déploiement de la mise à jour de sécurité KB5041773, la seconde est toujours active.

En attendant l’arrivée d’un patch que l’on espère imminent, la firme de Redmond recommande à ses utilisateurs et utilisatrices de configurer les paramètres « Auditer l’accès aux objets » pour vérifier les tentatives d’accès aux fichiers, de contrôler les utilisateurs autorisés à effectuer des opérations de mises à jour et de restauration, de mettre en place une liste de contrôle d’accès pour restreindre les modifications des fichiers de mises à jour, et enfin d’auditer les privilèges sensibles pour identifier l’accès, la modification ou le remplacement des fichiers liés aux mises à jour. Une solution temporaire visant à réduire les risques d’attaques par rétrogradation, mais qui reste bien trop complexe à mettre en place pour les utilisateurs et utilisatrices standard.

Sources : SafeBreach, GitHub, Microsoft