Windows est-il aussi sécurisé que Microsoft veut le faire croire ? La question peut désormais se poser. D’après Ars Technica, Microsoft aurait admis certains manquements en matière de sécurité dans son OS. Le problème concerne plus particulièrement Windows Update et son système de liste noire censé bloquer l’installation de pilotes obsolètes et potentiellement malveillants.
Des millions de PC vulnérables
Pour rappel, les pilotes permettent aux différents appareils connectés à un PC de communiquer avec le noyau de Windows, le cœur du système d’exploitation, autrement dit la zone la plus sensible de l’OS. Pour s’assurer de la bonne protection du noyau de Windows, Microsoft exige que les pilotes logiciels soient signés numériquement à l’aide d’un certificat permettant à l’OS de vérifier leur provenance. Malheureusement, certains anciens pilotes légitimes, mais comportant des vulnérabilités, sont exploités par des pirates pour simplifier leurs attaques. En se servant d’anciens pilotes légitimes, mais vulnérables, ils ont un accès direct au noyau de Windows. Ils n’ont donc pas besoin de créer eux-mêmes de brèche pour y accéder et peuvent lancer leur attaque immédiatement.
Ces attaques, très répandues et connues sous le nom de BYOVD (littéralement Bring Your Own Vulnerable Driver), étaient en principe bloquées par Windows grâce au fameux système de liste noire. Cette dernière consigne tous les pilotes obsolètes connus pour les failles qu’ils embarquent. Cette technique permet à des pirates ayant accès aux droits administrateurs d’une machine, de contourner facilement les protections en place dans l’OS pour accéder au noyau de Windows et ainsi commettre leur méfait.
Microsoft n’a pas mis à jour son système de protection
Bien conscient de ce que représente cette menace, Microsoft a mis en place plusieurs systèmes de protection, dont la stratégie HVCI (Hypervisor-Protected Code Integrity), une fonction qui permet d’isoler le noyau Windows des processus en cours d’exécution. Ce système, activé par défaut sur certaines machines Windows, a pour but est d’empêcher l’OS de charger des pilotes légitimes connus pour leurs vulnérabilités.
Malheureusement, le système de protection de Microsoft n’était visiblement pas fonctionnel depuis près de trois ans. Des millions d’utilisateurs de Windows 10 et Windows 11 croyant être protégé avec les outils de sécurité intégrés à l’OS ont ainsi été exposés à ce type d’attaque. Will Dormann, un chercheur en sécurité, a en effet expliqué sur Twitter avoir pu télécharger et installer des pilotes vulnérables sur une machine sur laquelle le système de protection de Microsoft était actif. Et cela, même si ceux-ci étaient sur la liste noire de Microsoft.
The Microsoft recommended driver block rules page states that the driver block list "is applied to" HVCI-enabled devices.
Yet here is an HVCI-enabled system, and one of the drivers in the block list (WinRing0) is happily loaded.
I don't believe the docs.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy— Will Dormann (@wdormann) September 16, 2022
Il a découvert un peu plus tard que l’opération était possible parce que Microsoft n’avait tout simplement pas mis à jour la liste de blocage depuis… 2019 !
La firme de Redmond a fini par réagir officiellement, indiquant avoir mis à jour sa documentation en ligne dans laquelle la marche à suivre pour mettre à jour la liste noire des drivers bloqués est détaillée. Sans entrer dans les détails, Microsoft a également indiqué travailler sur un correctif qui sera proposé à tous les utilisateurs par le biais d’une mise à jour prochaine de Windows.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Ars Technika