Des Rootkits capables de contourner les défenses de Windows en rétrogradant les mises à jour
AccueilWindowsDes Rootkits capables de contourner les défenses de Windows en rétrogradant les mises à jour
Windows

Des Rootkits capables de contourner les défenses de Windows en rétrogradant les mises à jour

Par Jean-Luc Pircard , le octobre 29, 2024 , mis à jour le octobre 30, 2024 — cybercriminalité, mises à jour, rootkits, sécurité informatique, windows - 5 minutes de lecture
Notez-moi

Les Rootkits représentent une menace significative pour les systèmes Windows, car ils sont capables de contourner les mises à jour de sécurité en exploitant une vulnérabilité spécifique. Cette technique, appelée attaque par rétrogradation, permet aux cybercriminels de revenir à des versions antérieures du système, rendant les ordinateurs vulnérables même s’ils sont à jour. En manipulant des composants tels que le kernel Windows et en contournant les fonctions de sécurité comme le Driver Signature Enforcement, les attaquants peuvent s’infiltrer dans le système, installer des Rootkits et dissimuler leurs activités malveillantes, menaçant ainsi l’intégrité du système.

Dans le paysage actuel de la cybersécurité, les rootkits continuent de représenter une menace redoutable pour les systèmes d’exploitation, notamment Windows. Récemment, il a été découvert que des rootkits peuvent exploiter une vulnérabilité en rétrogradant les mises à jour de sécurité, contournant ainsi les défenses intégrées même sur des systèmes à jour. Cet article explore la nature de cette vulnérabilité, les méthodes par lesquelles les attaquants peuvent la mettre à profit, et les implications pour la sécurité du système.

Des Rootkits capables de contourner les défenses de Windows

Les rootkits sont des programmes malveillants sophistiqués conçus pour se dissimuler profondément dans le système d’exploitation et procurer aux pirates un accès furtif. Ils sont souvent difficiles à détecter en raison de leur capacité à masquer les modifications qu’ils apportent au système. Ce qui rend les rootkits particulièrement dangereux, c’est leur aptitude à désactiver les sécurités essentielles, permettant aux cybercriminels de prendre le contrôle d’un ordinateur sans que l’utilisateur en ait connaissance.

La récente découverte par Alon Leviev, un chercheur en cybersécurité, met en lumière une faille critique dans le processus de mise à jour de Windows. Les cybercriminels peuvent en effet utiliser des techniques d’attaque pour annuler ou rétrograder les mises à jour de sécurité appliquées, réintroduisant ainsi des composants vulnérables dans le système. Cela ouvre la voie à l’exécution de rootkits capables de contourner des mécanismes de défense tels que le Driver Signature Enforcement (DSE).

Le processus de rétrogradation des mises à jour Windows

La vulnérabilité se situe dans la capacité des attaquants à manipuler Windows Update et à remplacer des composants récents par des versions obsolètes et vulnérables. En exploitant cette faille, un système apparemment à jour peut devenir vulnérable en un instant. L’aspect particulièrement préoccupant est que cela permet aux pirates de contourner des mesures de sécurité critiques sans laisser de traces visibles.

Fonctionnement de Driver Signature Enforcement

La fonctionnalité Driver Signature Enforcement dans Windows joue un rôle crucial en s’assurant que seuls les pilotes ayant une signature numérique valide puissent être chargés. Cela prévient le chargement de logiciels potentiellement malveillants au niveau du noyau. Malheureusement, en contournant cette mesure, les attaquants peuvent charger des pilotes non signés pour installer des rootkits, menaçant gravement la sécurité du système.

L’outil Windows Downdate

Leviev a démontré l’efficacité de cette attaque avec un outil qu’il a développé, appelé Windows Downdate. Cet outil met en exergue la facilité avec laquelle les composants critiques de Windows peuvent être remplacés ou rétrogradés, même si le système est censé être protégé. L’une des techniques d’attaque qu’il décrit utilise la vulnérabilité du fichier


ci.dll

pour passer outre les règles de sécurité.

Défis de la Virtualization Based Security (VBS)

La Virtualization Based Security (VBS) est une autre couche de défense censée protéger des éléments essentiels comme le mécanisme d’intégrité du code du noyau. Toutefois, certaines configurations peuvent être exploitées pour désactiver cette protection, une fois que des fichiers comme


SecureKernel.exe

sont remplacés, facilitant ainsi la rétrogradation des composants essentiels.

Efforts et réponses de Microsoft

Bien que Microsoft ait identifié certaines des vulnérabilités clés associées à ces attaques et ait déjà émis des correctifs pour certains exploits majeurs (CVE-2024-21302 et CVE-2024-38202), le défi reste conséquent. Il nécessite non seulement une identification précise des vecteurs d’attaque possibles mais aussi une mise à jour continue pour s’assurer que le processus de Windows Update ne puisse pas être compromis par des entités non autorisées.

Comparaison des Rootkits utilisant le Downgrade des Mises à Jour de Windows

Caractéristique Description
Technique utilisée Downgrade des composants du kernel Windows
Objectif Contourner les patches de sécurité
Composants ciblés Kernel, DLL, drivers obsolètes
Mécanisme de défense contourné Driver Signature Enforcement
Conséquence sur le système Installation de rootkits
Risque pour l’utilisateur Perte de sécurité et intégrité système
Solution proposée Mises à jour régulières et revocation de fichiers obsolètes
Vulnérabilités connues CVE-2024-21302, CVE-2024-38202
Impact démontré Présenté aux conférences BlackHat et DEFCON
Protection recommandée Usage d’antivirus et surveillance des mises à jour
  • Korg PA-600
    KORG PA-600 CLAVIER ARRANGEUR 61 TOUCHES En concevant des instruments capables d’accepter de nombreuses mises à jour et configurables à volonté, Korg allonge considérablement la durée de vie technologique des arrangeurs. Cette gamme comporte aujourd’hui 5 modèles permettant à tout musicien de bénéficier de la qualité Korg tout en restant dans son budget. Créés à l’origine pour les compositeurs ou les musiciens de scène, les arrangeurs se mettent aujourd’hui au service de tous.Halte à l’obsolescence des arrangeurs qui doivent être remisés au rayon des ringardises aussi rapidement qu’ils sont apparus à l’étal des magasins, pour n’avoir pas su évoluer avec les nécessités des musiques du moment ! Mais, heureusement, Korg a résolu le problème avec le Pa600, et son grand frère, le Pa900, dont les banques de sons se montrent renouvelables à votre guise ! Ce qui n’est pas une vétille, vous l’admettrez, le propre d’un arrangeur résidant dans son assistance à toutes les étapes de votre création musicale.Format compact, touches dynamiques pour le clavier, grand écran tactile pour un accès intelligent à toutes vos données, séquenceur et lecteur de fichiers standard Midi ou MP3, port USB, le Pa600 conjugue le meilleur du numérique actuel aux 950 sonorités, 125 effets et 64 sets de batterie proposés. Un arrangeur à l’ergonomie réussi qui conviendra aussi bien au professionnel exigeant qu’à l’amateur en quête de sonorités réalistes et de facilité d’utilisation. Voilà qui nous arrange…Caractéristiques :- 61 touches sensibles à la vélocité- Polyphonie 128 voix- EQ 3 bandes par piste- Générateur de sons EDS (Enhanced Definition Synthesis) et technologie RX (Real Experience)- Defined Nuance Control (DNC2)- 950 sons- 360 styles- 600 styles utilisateur- Mémoire utilsateur PCM 96 MB- Supporte les fichiers MP3 et MP3+G- 2 modes guitare- Ecran couleur tactile 7"- Séquenceur 16 pistes- Affichage des paroles- Fente pour carte micro SD- Sortie ligne L/R (mono)- Entrée ligne L/R- MIDI In/Out- USB to Host- USB to Device- Connexion pour pédale d'expression- Connexion pour pédale switch assignable- Système de haut-parleurs: 2 x 15 Watt- Inclus: Manuel d'utilisation, pupitre et câble d'alimentation- Dimensions: 1030 x 378 x 127 mm- Poids: 11 kg
    799,00 €
  • Korg PA-300
    En concevant des instruments capables d'accepter de nombreuses mises à jour et configurables à volonté, Korg allonge considérablement la durée de vie technologique des arrangeurs. Cette gamme comporte aujourd'hui 5 modèles permettant à tout musicien de bénéficier de la qualité Korg tout en restant dans son budget.L'incontournable famille PA Korg s'agrandit avec le PA300 qui vient compléter cette célèbre gamme. Le plus surprenant pour cet instrument représentant l'entrée de gamme de la série PA c'est la quantité et la qualité des éléments fournis par Korg. Petit oui mais uniquement par le prix. Au menu de cet excellent arrangeur :Caractéristiques :- 61 touches sensibles à la vélocité- Polyphonie 128 voix- EQ 3 bandes par piste- Technologie RX (Real Experience)- 950 sonorités- 310 styles- 1040 styles utilisateur- Lecteur MP3- Transposeur- Ecran couleur tactile 5"- Séquenceur 16 pistes- USB-MIDI- USB to Host- USB to Device- Sortie casque- Connexion pour pédale d'expression- Amplification: 2 x 13 Watt- Dimensions: 1030 x 378,3 x 127 mm- Poids: 8,35 kg- Manuel d'utilisation, pupitre, DVD tutoriel et bloc d'alimentation inclus
    629,00 €
Jean-Luc Pircard

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.