{"id":22194,"date":"2024-09-05T16:02:11","date_gmt":"2024-09-05T14:02:11","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22194"},"modified":"2024-10-08T13:12:38","modified_gmt":"2024-10-08T11:12:38","slug":"windows-downgrade-downdate-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/windows-downgrade-downdate-protection\/22194\/","title":{"rendered":"Comment se pr\u00e9munir des attaques par repli sous Windows"},"content":{"rendered":"

Toutes les applications logicielles, y compris les syst\u00e8mes d\u2019exploitation, contiennent des vuln\u00e9rabilit\u00e9s. Les corriger gr\u00e2ce \u00e0 des mises \u00e0 jour r\u00e9guli\u00e8res est essentiel \u00e0 la cybers\u00e9curit\u00e9. Les chercheurs qui ont invent\u00e9 l\u2019attaque Windows Downdate<\/a> ont cibl\u00e9 ce m\u00eame m\u00e9canisme de mise \u00e0 jour, afin de restaurer furtivement un syst\u00e8me Windows enti\u00e8rement \u00e0 jour vers une ancienne version contenant des fichiers et services vuln\u00e9rables. Le syst\u00e8me se retrouve expos\u00e9 aux exploits bien connus et aux compromissions en profondeur, y compris l\u2019hyperviseur<\/a> et le noyau s\u00e9curis\u00e9. Pire encore, les mises \u00e0 jour standards et les v\u00e9rifications de l\u2019\u00e9tat du syst\u00e8me indiqueront que tout est \u00e0 jour et que tout va bien.<\/p>\n

M\u00e9canisme de l\u2019attaque<\/h2>\n

Les chercheurs ont en fait trouv\u00e9 deux d\u00e9fauts distincts avec des m\u00e9canismes de fonctionnement l\u00e9g\u00e8rement diff\u00e9rents. L\u2019une des vuln\u00e9rabilit\u00e9s, identifi\u00e9e CVE-2024-21302<\/a> et intitul\u00e9e Downdate, est li\u00e9e \u00e0 un d\u00e9faut dans le processus d\u2019installation de la mise \u00e0 jour\u00a0: les modules t\u00e9l\u00e9charg\u00e9s de la mise \u00e0 jour sont contr\u00f4l\u00e9s, prot\u00e9g\u00e9s contre la modification et sign\u00e9s num\u00e9riquement, mais \u00e0 une des \u00e9tapes interm\u00e9diaires de l\u2019installation (entre les red\u00e9marrages), la proc\u00e9dure de mise \u00e0 jour cr\u00e9e puis utilise un fichier contenant une liste des actions planifi\u00e9es (pending.xml). Si les pirates informatiques peuvent cr\u00e9er leur propre version de ce fichier, puis ajouter des informations \u00e0 ce sujet dans le registre, le service Windows Modules Installer (TrustedInstaller)<\/a> ex\u00e9cutera les instructions qu\u2019il contient au red\u00e9marrage.<\/p>\n

En pratique, le contenu du fichier pending.xml est v\u00e9rifi\u00e9, mais lors des \u00e9tapes pr\u00e9c\u00e9dentes<\/strong> de l\u2019installation, et TrustedInstaller ne le rev\u00e9rifie pas. Bien s\u00fbr, il est impossible d\u2019\u00e9crire ce que vous voulez dans le fichier et d\u2019installer des fichiers arbitraires de cette fa\u00e7on puisqu\u2019ils doivent \u00eatre sign\u00e9s par Microsoft, mais le remplacement des fichiers syst\u00e8me par des fichiers plus anciens d\u00e9velopp\u00e9s par Microsoft est tout \u00e0 fait possible. Cela peut exposer de nouveau le syst\u00e8me \u00e0 des vuln\u00e9rabilit\u00e9s, parfois graves, dont les correctifs sont appliqu\u00e9s de longue date. L\u2019ajout dans le registre des cl\u00e9s n\u00e9cessaires li\u00e9es \u00e0 suspend.xml n\u00e9cessite des privil\u00e8ges d\u2019administrateur, apr\u00e8s quoi un red\u00e9marrage du syst\u00e8me doit \u00eatre lanc\u00e9. Cependant, ce sont les seules v\u00e9ritables limitations. Cette attaque ne requiert pas de privil\u00e8ges \u00e9lev\u00e9s (pour laquelle Windows obscurcit l\u2019\u00e9cran et demande \u00e0 l\u2019administrateur une autorisation suppl\u00e9mentaire) et la plupart des outils de s\u00e9curit\u00e9 ne marqueront pas comme suspectes les actions ex\u00e9cut\u00e9es pendant l\u2019attaque.<\/p>\n

La deuxi\u00e8me vuln\u00e9rabilit\u00e9, CVE-2024-38202<\/a>, permet \u00e0 un acteur de manipuler le dossier Windows.old, o\u00f9 le syst\u00e8me de mise \u00e0 jour stocke l\u2019installation pr\u00e9c\u00e9dente de Windows. Bien que la modification des fichiers de ce dossier n\u00e9cessite des privil\u00e8ges sp\u00e9cifiques, un pirate avec des droits d\u2019utilisateur standards peut renommer le dossier, cr\u00e9er un autre fichier Windows.old, et y placer des versions d\u00e9pass\u00e9es et vuln\u00e9rables des fichiers syst\u00e8me Windows. Lancer une restauration du syst\u00e8me r\u00e9tablit alors Windows sur l\u2019installation vuln\u00e9rable. Certains privil\u00e8ges sont requis pour la restauration du syst\u00e8me, mais il ne s\u2019agit pas de privil\u00e8ges d\u2019administrateur et ils sont parfois accord\u00e9s \u00e0 des utilisateurs ordinaires.<\/p>\n

Contournement du VBS et vol de mot de passe<\/h2>\n

Depuis 2015, l\u2019architecture de Windows a \u00e9t\u00e9 repens\u00e9e pour \u00e9viter qu\u2019une compromission du noyau Windows ne puisse entra\u00eener celle de l\u2019ensemble du syst\u00e8me. Cela implique une s\u00e9rie de mesures collectivement appel\u00e9es s\u00e9curit\u00e9 bas\u00e9e sur la virtualisation (VBS)<\/a>. L\u2019hyperviseur syst\u00e8me sert entre autres \u00e0 isoler les modules du syst\u00e8me d\u2019exploitation et \u00e0 cr\u00e9er un noyau s\u00e9curis\u00e9 pour l\u2019ex\u00e9cution des op\u00e9rations les plus sensibles, le stockage des mots de passe, etc.<\/p>\n

Pour emp\u00eacher les pirates de d\u00e9sactiver le VBS, Windows peut \u00eatre configur\u00e9 de mani\u00e8re \u00e0 rendre cela impossible, m\u00eame avec des privil\u00e8ges d\u2019administrateur. Le seul moyen de d\u00e9sactiver cette protection est de red\u00e9marrer l\u2019ordinateur dans un mode sp\u00e9cifique et de saisir une commande clavier. Cette fonctionnalit\u00e9 s\u2019appelle verrou UEFI (Unified Extensible Firmware Interface, ou interface micrologicielle extensible unifi\u00e9e). L\u2019attaque Windows Downdate contourne \u00e9galement cette restriction en rempla\u00e7ant les fichiers par des versions modifi\u00e9es, obsol\u00e8tes et vuln\u00e9rables. Le VBS ne v\u00e9rifie pas que les fichiers syst\u00e8me sont \u00e0 jour. Ceux-ci peuvent donc \u00eatre remplac\u00e9s par d\u2019anciennes versions vuln\u00e9rables sans trace ni message d\u2019erreur d\u00e9tectable. Techniquement, le VBS n\u2019est pas d\u00e9sactiv\u00e9, mais la fonctionnalit\u00e9 n\u2019ex\u00e9cute plus sa fonction de s\u00e9curit\u00e9.<\/p>\n

Cette attaque permet de remplacer les fichiers du noyau s\u00e9curis\u00e9 et de l\u2019hyperviseur par des versions vieilles de deux ans et contenant de multiples vuln\u00e9rabilit\u00e9s, dont l\u2019exploitation entra\u00eene une escalade de privil\u00e8ges. Par cons\u00e9quent, les pirates peuvent obtenir les privil\u00e8ges syst\u00e8me maximaux, l\u2019acc\u00e8s complet aux processus de l\u2019hyperviseur et de protection de la m\u00e9moire, ainsi que la possibilit\u00e9 de lire facilement les identifiants, les mots de passe hach\u00e9s et les hachages NTLM<\/a> de la m\u00e9moire (qui peuvent \u00eatre utilis\u00e9s pour \u00e9tendre l\u2019attaque r\u00e9seau).<\/p>\n

Protection contre Downdate<\/h2>\n

Microsoft a \u00e9t\u00e9 inform\u00e9 des vuln\u00e9rabilit\u00e9s Downdate en f\u00e9vrier\u00a02024, mais ce n\u2019est qu\u2019en ao\u00fbt que les d\u00e9tails ont \u00e9t\u00e9 publi\u00e9s lors de la sortie mensuelle des correctifs. La correction des bugs s\u2019est av\u00e9r\u00e9e ardue et lourde d\u2019effets secondaires, y compris le plantage de certains syst\u00e8mes Windows. Par cons\u00e9quent, au lieu de se pr\u00e9cipiter pour publier un autre correctif, Microsoft a simplement publi\u00e9 quelques conseils pour att\u00e9nuer les risques. Les voici\u00a0:<\/p>\n