À une époque où la sécurité numérique est d’une importance cruciale, les systèmes d’exploitation tels que Windows 11 présentent néanmoins des vulnérabilités inquiétantes. Des chercheurs en sécurité ont récemment découvert des failles au sein des fonctionnalités de protection essentielles de ce système, permettant potentiellement l’exécution de code arbitraire en mode noyau. Cet article explorera ces failles, leurs implications et les mesures à prendre pour renforcer la sécurité de vos systèmes.
Les failles découvertes
Les éléments de sécurité touchés incluent des composants comme la Virtualization-based Security (VBS) et l’ Hypervisor-Protected Code Integrity (HVCI), qui sont activés par défaut dans Windows 11. VBS isole des environnements mémoire pour assurer l’intégrité du système, tandis que HVCI empêche le chargement de fichiers et pilotes non autorisés. Malgré ces protections, des vulnérabilités telles que les dereference pointers permettent aux attaquants de manipuler la mémoire du noyau sans devoir injecter du code exécutable.
Mécanismes d’attaque
La méthode d’exploitation commence par transformer une vulnérabilité de dereference de pointeur en une primitive de lecture/écriture arbitraire, ce qui permet aux intrus de réaliser des attaques ne déclenchant pas les contrôles de sécurité classiques. Cette approche offre diverses possibilités, telles que :
- Élever des privilèges de token
- Interchanger des adresses de tokens
- Désactiver les callbacks du noyau de Endpoint Detection and Response (EDR)
- Modifier les niveaux de protection des processus
Environnement de preuve de concept
Un travail d’équipe a permis de construire un environnement de preuve de concept avec VMware. Les étapes de configuration sont essentielles pour démontrer la vulnérabilité :
- Désactiver l’intégrité mémoire dans les paramètres d’isolement de base de l’hôte.
- Activer le support VBS dans les paramètres de la machine virtuelle VMware.
- Modifier les paramètres de démarrage sécurisé UEFI de la VM tout en maintenant le fonctionnement de VBS.
- Réactiver l’intégrité mémoire dans le système d’exploitation invité.
Réponse de Microsoft
En réponse à ces découvertes, Microsoft a corrigé plusieurs failles d’exposition d’adresses mémoire dans Windows 11 24H2, bien que certaines restent exploitables pour les utilisateurs dont les niveaux de privilèges sont élevés. Cette vulnérabilité concerne plusieurs versions, notamment :
- Windows 11 21H2 et versions ultérieures
- Windows Server 2016 à 2022
- Des plateformes incluant x86, x64 et ARM64
Implications de ces vulnérabilités
Ces failles révèlent la confiance inhérente que Windows accorde à ses processus noyau. Cette confiance peut permettre à des adversaires d’opérer avec des privilèges élevés ou de désactiver des mécanismes de sécurité sans éveiller de soupçons. Les enjeux de cette situation soulignent la nécessité d’une vigilance constante et d’un renforcement des mesures de sécurité.
Des mesures proactives doivent inclure la mise à jour régulière des systèmes, l’utilisation de solutions de sécurité avancées et la sensibilisation des utilisateurs aux menaces potentielles. En considérant ces aspects, vous pourrez mieux sécuriser vos environnements de travail.
Pour plus d’informations, je vous invite à consulter le site Source.
- Obtenez Windows 11 Gratuitement Avant La Fin Du Support De Windows 10 - janvier 28, 2025
- Les 8 meilleures extensions Windhawk pour dynamiser votre PC sous Windows 11 - janvier 27, 2025
- L’upgrade de Windows 10 vers Windows 11 devient encore plus simple et gratuit ! - janvier 26, 2025