Des Rootkits capables de contourner les défenses de Windows en rétrogradant les mises à jour
Les Rootkits représentent une menace significative pour les systèmes Windows, car ils sont capables de contourner les mises à jour de sécurité en exploitant une vulnérabilité spécifique. Cette technique, appelée attaque par rétrogradation, permet aux cybercriminels de revenir à des versions antérieures du système, rendant les ordinateurs vulnérables même s’ils sont à jour. En manipulant des composants tels que le kernel Windows et en contournant les fonctions de sécurité comme le Driver Signature Enforcement, les attaquants peuvent s’infiltrer dans le système, installer des Rootkits et dissimuler leurs activités malveillantes, menaçant ainsi l’intégrité du système.
Dans le paysage actuel de la cybersécurité, les rootkits continuent de représenter une menace redoutable pour les systèmes d’exploitation, notamment Windows. Récemment, il a été découvert que des rootkits peuvent exploiter une vulnérabilité en rétrogradant les mises à jour de sécurité, contournant ainsi les défenses intégrées même sur des systèmes à jour. Cet article explore la nature de cette vulnérabilité, les méthodes par lesquelles les attaquants peuvent la mettre à profit, et les implications pour la sécurité du système.
Sommaire
Des Rootkits capables de contourner les défenses de Windows
Les rootkits sont des programmes malveillants sophistiqués conçus pour se dissimuler profondément dans le système d’exploitation et procurer aux pirates un accès furtif. Ils sont souvent difficiles à détecter en raison de leur capacité à masquer les modifications qu’ils apportent au système. Ce qui rend les rootkits particulièrement dangereux, c’est leur aptitude à désactiver les sécurités essentielles, permettant aux cybercriminels de prendre le contrôle d’un ordinateur sans que l’utilisateur en ait connaissance.
La récente découverte par Alon Leviev, un chercheur en cybersécurité, met en lumière une faille critique dans le processus de mise à jour de Windows. Les cybercriminels peuvent en effet utiliser des techniques d’attaque pour annuler ou rétrograder les mises à jour de sécurité appliquées, réintroduisant ainsi des composants vulnérables dans le système. Cela ouvre la voie à l’exécution de rootkits capables de contourner des mécanismes de défense tels que le Driver Signature Enforcement (DSE).
Le processus de rétrogradation des mises à jour Windows
La vulnérabilité se situe dans la capacité des attaquants à manipuler Windows Update et à remplacer des composants récents par des versions obsolètes et vulnérables. En exploitant cette faille, un système apparemment à jour peut devenir vulnérable en un instant. L’aspect particulièrement préoccupant est que cela permet aux pirates de contourner des mesures de sécurité critiques sans laisser de traces visibles.
Fonctionnement de Driver Signature Enforcement
La fonctionnalité Driver Signature Enforcement dans Windows joue un rôle crucial en s’assurant que seuls les pilotes ayant une signature numérique valide puissent être chargés. Cela prévient le chargement de logiciels potentiellement malveillants au niveau du noyau. Malheureusement, en contournant cette mesure, les attaquants peuvent charger des pilotes non signés pour installer des rootkits, menaçant gravement la sécurité du système.
L’outil Windows Downdate
Leviev a démontré l’efficacité de cette attaque avec un outil qu’il a développé, appelé Windows Downdate. Cet outil met en exergue la facilité avec laquelle les composants critiques de Windows peuvent être remplacés ou rétrogradés, même si le système est censé être protégé. L’une des techniques d’attaque qu’il décrit utilise la vulnérabilité du fichier
ci.dll
pour passer outre les règles de sécurité.
Défis de la Virtualization Based Security (VBS)
La Virtualization Based Security (VBS) est une autre couche de défense censée protéger des éléments essentiels comme le mécanisme d’intégrité du code du noyau. Toutefois, certaines configurations peuvent être exploitées pour désactiver cette protection, une fois que des fichiers comme
SecureKernel.exe
sont remplacés, facilitant ainsi la rétrogradation des composants essentiels.
Efforts et réponses de Microsoft
Bien que Microsoft ait identifié certaines des vulnérabilités clés associées à ces attaques et ait déjà émis des correctifs pour certains exploits majeurs (CVE-2024-21302 et CVE-2024-38202), le défi reste conséquent. Il nécessite non seulement une identification précise des vecteurs d’attaque possibles mais aussi une mise à jour continue pour s’assurer que le processus de Windows Update ne puisse pas être compromis par des entités non autorisées.
Comparaison des Rootkits utilisant le Downgrade des Mises à Jour de Windows
Caractéristique | Description |
Technique utilisée | Downgrade des composants du kernel Windows |
Objectif | Contourner les patches de sécurité |
Composants ciblés | Kernel, DLL, drivers obsolètes |
Mécanisme de défense contourné | Driver Signature Enforcement |
Conséquence sur le système | Installation de rootkits |
Risque pour l’utilisateur | Perte de sécurité et intégrité système |
Solution proposée | Mises à jour régulières et revocation de fichiers obsolètes |
Vulnérabilités connues | CVE-2024-21302, CVE-2024-38202 |
Impact démontré | Présenté aux conférences BlackHat et DEFCON |
Protection recommandée | Usage d’antivirus et surveillance des mises à jour |
Commentaires
Laisser un commentaire