De nouvelles recherches présentées aujourd'hui à la conférence sur la sécurité Black Hat à Las Vegas montrent qu'une vulnérabilité dans Windows Update pourrait être exploitée pour rétrograder Windows vers des versions plus anciennes, exposant ainsi une série de vulnérabilités historiques qui peuvent ensuite être exploitées pour prendre le contrôle total d'un système. Microsoft affirme qu'il travaille sur un processus complexe pour corriger soigneusement le problème, baptisé « Downdate ».
Alon Leviev, le chercheur de SafeBreach Labs qui a découvert la faille, explique qu'il a commencé à chercher des méthodes d'attaque possibles pour rétrograder après avoir constaté qu'une campagne de piratage surprenante de l'année dernière utilisait un type de malware (connu sous le nom de « BlackLotus UEFI bootkit ») qui reposait sur la rétrogradation du gestionnaire de démarrage Windows vers une ancienne version vulnérable. Après avoir sondé le flux de Windows Update, Leviev a découvert un moyen de rétrograder stratégiquement Windows, soit l'ensemble du système d'exploitation, soit seulement des composants spécifiquement choisis. À partir de là, il a développé une attaque de preuve de concept qui utilisait cet accès pour désactiver la protection Windows connue sous le nom de Virtualization-Based Security (VBS) et cibler en fin de compte le code hautement privilégié exécuté dans le « noyau » de l'ordinateur.
« J'ai trouvé un exploit de rétrogradation qui est totalement indétectable car il est effectué en utilisant Windows Update lui-même », auquel le système fait confiance, a déclaré Leviev à WIRED avant sa conférence. « En termes d'invisibilité, je n'ai désinstallé aucune mise à jour. J'ai essentiellement mis à jour le système même si sous le capot il était rétrogradé. Le système n'est donc pas au courant de la rétrogradation et semble toujours à jour. »
La capacité de rétrogradation de Leviev provient d'une faille dans les composants du processus de mise à jour de Windows. Pour effectuer une mise à niveau, votre PC place ce qui est essentiellement une demande de mise à jour dans un dossier de mise à jour spécial. Il présente ensuite ce dossier au serveur de mise à jour Microsoft, qui vérifie et confirme son intégrité. Ensuite, le serveur crée pour vous un dossier de mise à jour supplémentaire que lui seul peut contrôler, dans lequel il place et finalise la mise à jour et stocke également une liste d'actions, appelée « pending.xml », qui comprend les étapes du plan de mise à jour, telles que les fichiers qui seront mis à jour et l'emplacement où le nouveau code sera stocké sur votre ordinateur. Lorsque vous redémarrez votre PC, il exécute les actions de la liste et met à jour le logiciel.
L'idée est que même si votre ordinateur, y compris votre dossier de mise à jour, est compromis, un acteur malveillant ne peut pas détourner le processus de mise à jour, car les parties cruciales de celui-ci se déroulent dans le dossier de mise à jour contrôlé par le serveur. Leviev a cependant examiné de près les différents fichiers dans le dossier de mise à jour de l'utilisateur et dans celui du serveur, et il a finalement découvert que même s'il ne pouvait pas modifier directement la liste d'actions dans le dossier de mise à jour du serveur, l'une des clés qui la contrôle, appelée « PoqexecCmdline », n'était pas verrouillée. Cela a donné à Leviev un moyen de manipuler la liste d'actions, et avec elle l'ensemble du processus de mise à jour, sans que le système ne se rende compte que quelque chose n'allait pas.
Grâce à ce contrôle, Leviev a ensuite trouvé des stratégies pour rétrograder plusieurs composants clés de Windows, notamment les pilotes, qui coordonnent les périphériques matériels ; les bibliothèques de liens dynamiques, qui contiennent les programmes et les données du système ; et, surtout, le noyau NT, qui contient la plupart des instructions de base pour le fonctionnement d'un ordinateur. Tous ces composants pouvaient être rétrogradés vers des versions plus anciennes contenant des vulnérabilités connues et corrigées. Et Leviev a même élargi son champ de recherche pour trouver des stratégies permettant de rétrograder les composants de sécurité de Windows, notamment le noyau sécurisé de Windows ; le composant de mot de passe et de stockage Windows Credential Guard ; l'hyperviseur, qui crée et supervise les machines virtuelles sur un système ; et VBS, le mécanisme de sécurité de virtualisation de Windows.
Cette technique ne permet pas d'accéder à distance à l'appareil de la victime, mais pour un attaquant disposant déjà d'un accès initial, elle pourrait permettre une véritable escalade, car Windows Update est un mécanisme très fiable et peut réintroduire un large éventail de vulnérabilités dangereuses qui ont été corrigées par Microsoft au fil des ans. Microsoft affirme n'avoir constaté aucune tentative d'exploitation de cette technique.
« Nous développons activement des mesures d'atténuation pour nous protéger contre ces risques tout en suivant un processus approfondi impliquant une enquête approfondie, le développement de mises à jour sur toutes les versions affectées et des tests de compatibilité, afin de garantir une protection maximale des clients avec une perturbation opérationnelle minimisée », a déclaré un porte-parole de Microsoft à WIRED dans un communiqué.
Une partie du correctif proposé par l'entreprise consiste à révoquer les fichiers système VBS vulnérables, ce qui doit être fait avec soin et progressivement, car cela pourrait entraîner des problèmes d'intégration ou réintroduire d'autres problèmes sans rapport qui étaient auparavant traités par ces mêmes fichiers système.
Leviev souligne que les attaques de rétrogradation constituent une menace importante que la communauté des développeurs doit prendre en compte, car les pirates informatiques recherchent sans cesse des chemins vers les systèmes cibles qui sont furtifs et difficiles à détecter.