Une nouvelle menace pour la sécurité des systèmes Windows a été identifiée, permettant à des attaquants de restaurer des vulnérabilités précédemment corrigées. L’article examine les implications de cette cyberattaque, ainsi que les mesures préconisées par Microsoft pour protéger les utilisateurs, même en cas de mise à jour récente de leur système d’exploitation.
En un mot: Des chercheurs ont mis au point une cyberattaque qui inverse les mises à jour de sécurité de Windows pour exploiter les vulnérabilités précédemment corrigées. Bien qu’ils ne puissent pas déployer le logiciel malveillant à distance, les utilisateurs doivent respecter les pratiques de sécurité standard, même sur des systèmes d’exploitation entièrement mis à jour. Microsoft a publié un guide détaillé pour minimiser le risque d’une attaque de rétrogradation alors que l’entreprise développe une solution plus complète.
Des chercheurs en sécurité des laboratoires SafeBreach ont publié le code d’un logiciel capable de restaurer Windows pour rouvrir d’anciennes vulnérabilités de sécurité. Microsoft n’a pas encore complètement résolu le problème, mais la mise en place d’une politique de révocation stricte peut aider à s’en défendre jusqu’à ce qu’une solution appropriée soit disponible.
Les attaquants peuvent utiliser l’exploit, que les chercheurs ont baptisé Downdate, pour rétablir une version obsolète de Windows et prendre ensuite le contrôle total d’un système en utilisant des failles précédemment corrigées. Downdate peut contourner les mesures de sécurité telles que la sécurité basée sur la virtualisation (VBS), Windows Defender, les verrous UEFI et Credential Guard. Windows 10, 11 et les versions Server 2019 et ultérieures sont concernés.
SafeBreach a publié le logiciel Downdate sur GitHub pour faciliter les recherches sur le problème. La version actuelle ne peut être utilisée que par la personne qui utilise physiquement le PC, mais les pirates pourraient théoriquement l’intégrer dans des charges utiles de malware.
Microsoft répertorie la menace sous deux CVE – 2024-21302 et 2024-38202. L’entreprise a commencé à travailler sur une solution lorsque SafeBreach l’a alertée de la vulnérabilité en février. Cependant, l’entreprise a déclaré que le processus est lent car Downdate affecte de nombreux aspects de Windows et qu’une solution nécessitera des tests approfondis.
En attendant, les développeurs disposent d’une méthode d’atténuation qui peut fournir une couche de sécurité supplémentaire. Le site Web de support Windows inclut des instructions pour révoquer les fichiers système VBS obsolètes, ce qui oblige le firmware UEFI à instaurer des contrôles supplémentaires au démarrage. Cependant, la procédure risque de rendre un système inamorçable si les utilisateurs ne font pas attention. Microsoft conseille aux utilisateurs et aux administrateurs de ne pas l’utiliser sur les versions antérieures de Windows, et tous les périphériques de démarrage doivent d’abord installer les mises à jour publiées après le 13 août 2024. La règle s’applique également aux supports de démarrage externes et à l’environnement de récupération Windows.
Bien que Downdate affecte les versions entièrement mises à jour de Windows, les utilisateurs doivent toujours se tenir au courant des correctifs de sécurité et installer le correctif de Microsoft pour la vulnérabilité dès sa sortie. L’entreprise suggère également aux utilisateurs de rester prudents lors de la consultation de leurs e-mails et d’installer uniquement des logiciels provenant de sources fiables.