Lors de la conférence Black Hat USA 2024, le chercheur de SafeBreach, Alon Leviev, a présenté une attaque qui manipule un fichier XML de liste d'actions pour pousser un outil « Windows Downdate » qui contourne toutes les étapes de vérification de Windows et le Installateur de confiance. L'outil peut également manipuler Windows pour confirmer que le système est entièrement mis à jour.

Le processus de mise à jour de Windows a déjà été compromis. Lancé en 2023, le Bootkit BlackLotus UEFI inclut des fonctionnalités de rétrogradation qui utilisent les vulnérabilités de l'architecture Windows Update. Semblable à la méthode présentée par Leviev, le BlackLotus Bootkit rétrograde divers composants du système pour contourner les verrous VBS UEFI. Un acteur malveillant peut alors utiliser des attaques « jour zéro » d’élévation de privilèges sur un système précédemment à jour. Dans un article de blog sur SafeBreach, Leviev a déclaré : « J'ai découvert plusieurs façons de désactiver la sécurité basée sur la virtualisation (VBS) de Windows, y compris ses fonctionnalités telles que Credential Guard et Hypervisor-Protected Code Integrity (HVCI), même lorsqu'elles sont appliquées avec des verrous UEFI. À ma connaissance, c’est la première fois que les verrous UEFI de VBS sont contournés sans accès physique. »

Leviev a informé Microsoft des vulnérabilités en février de cette année. Cependant, Microsoft développe toujours une mise à jour de sécurité pour révoquer les systèmes VBS obsolètes et non corrigés. Microsoft prévoit également de publier un guide pour « fournir aux clients des mesures d’atténuation ou des conseils pertinents en matière de réduction des risques dès qu’ils seront disponibles ». Des conseils sont nécessaires puisque, selon Leviev, ces attaques sont indétectables et invisibles. Pour en savoir plus ou pour voir l'exploit en action, veuillez consulter les ressources ci-dessous.