Contournement de la signature des pilotes Windows
- Des attaquants peuvent contourner des fonctions de sécurité comme l’application forcée de la signature des pilotes en rétrogradant des composants du kernel Windows, et installer des rootkits sur des systèmes entièrement à jour.
- En contrôlant le processus de mise à jour de Windows, il est possible d’introduire sur des systèmes récents des composants logiciels anciens et vulnérables.
Downgrade de Windows
- Le chercheur en sécurité Alon Leviev de SafeBreach a signalé un problème d’arguments de mise à jour, mais Microsoft l’a ignoré, estimant qu’il ne franchissait pas une frontière de sécurité.
- Leviev a démontré lors des conférences de sécurité BlackHat et DEFCON que l’attaque était possible, et le problème n’est toujours pas résolu.
- Le chercheur a présenté un outil appelé Windows Downdate, capable de créer des rétrogradations personnalisées et de réexposer, via des composants obsolètes, des vulnérabilités déjà corrigées.
- Leviev a montré qu’il était possible de contourner la fonction d’application forcée de la signature des pilotes (DSE), de charger des pilotes kernel non signés et de déployer un malware de type rootkit désactivant les contrôles de sécurité.
Ciblage du kernel
- Leviev a expliqué comment exploiter le processus de mise à jour de Windows pour contourner les protections DSE.
- En remplaçant le fichier
ci.dll par une version non corrigée, il est possible d’ignorer la signature des pilotes et de contourner les vérifications de protection de Windows.
- Ce remplacement est déclenché par Windows Update et exploite une condition de double lecture dans laquelle Windows vérifie la copie la plus récente pendant qu’une copie vulnérable de
ci.dll est chargée en mémoire.
- Il a aussi décrit des méthodes pour désactiver ou contourner VBS (sécurité basée sur la virtualisation).
Résumé de GN⁺
- Cet article explique comment exploiter une faille de sécurité des systèmes Windows pour contourner l’application forcée de la signature des pilotes et installer des rootkits.
- Ces attaques deviennent possibles en exploitant le processus de mise à jour de Windows afin de rétrograder des composants pourtant corrigés.
- Cela souligne que les outils de sécurité doivent surveiller de très près les procédures de rétrogradation, y compris lorsqu’elles ne franchissent pas explicitement une frontière de sécurité critique.
- Parmi les autres outils de sécurité offrant des fonctions similaires, les solutions EDR (Endpoint Detection and Response) sont recommandées.
1 commentaires
Avis Hacker News
Microsoft affirme que l’UAC n’est pas une frontière de sécurité. L’application de la signature des pilotes est bien présentée comme une fonctionnalité de sécurité, mais dans ce cas l’entreprise soutient qu’aucune frontière de sécurité n’est franchie
Avis d’un utilisateur estimant qu’il manque un modèle conceptuel pour comprendre pourquoi Windows est vulnérable au piratage
Un utilisateur disposant des droits administrateur peut effectuer des opérations arbitraires sur l’ordinateur. Un lecteur se demande s’il existe ici une nuance subtile qui aggrave la gravité de cette attaque
Avis selon lequel il est difficile de croire que Microsoft s’y oppose malgré l’existence d’une démonstration. Le compte Vimeo contient de nombreuses autres découvertes en sécurité
Avec des privilèges administrateur, il est possible d’exécuter du code noyau, ce qui permet à l’utilisateur root d’installer un rootkit. Le chercheur a présenté un outil appelé Windows Downdate
Sous Windows comme sous Linux, un compte local avec des privilèges ordinaires est en pratique presque équivalent à root. Avis sur les différences entre UAC et
sudo, et opinion selon laquelle il vaudrait mieux supprimer les deux dans la configuration par défautLe noyau applique les règles de partage de fichiers, mais ne vérifie pas les autorisations conflictuelles pour le memory mapping. Linux a supprimé le verrouillage obligatoire
L’attaque paraît presque suspectement simple. Elle trompe le processus de mise à jour pour installer d’anciennes versions de composants noyau vulnérables. Avis selon lequel Microsoft avait probablement déjà envisagé ce problème
Un utilisateur se souvient des difficultés rencontrées lorsque Microsoft a imposé la signature des pilotes. Éloges à Alon Leviev et SafeBreach pour avoir découvert cette vulnérabilité
Il est possible de bricoler Windows 11 pour en faire un meilleur OS, mais selon un avis il vaudrait mieux se concentrer sur les rootkits