La querelle des chercheurs avec Microsoft continue de s’intensifier avec une nouvelle faille Windows Zero Day qui, selon un expert en vulnérabilité d’expérience, ne fonctionne pas comme annoncé.
Un chercheur mécontent qui publie depuis plusieurs mois des vulnérabilités Zero Day de Microsoft Windows a publié jeudi un nouvel exploit qui promet de contourner le cryptage BitLocker sur les appareils verrouillés. Un expert en sécurité très respecté a signalé que l’exploit ne fonctionne pas comme décrit initialement, mais le chercheur cherche des moyens de le corriger.
Baptisé GreatXML, l’exploit est censé fonctionner à partir de l’environnement de récupération Windows (WinRE), un mode de démarrage spécial de Windows à partir duquel les problèmes de démarrage peuvent être résolus. Cela semble également être lié à la fonctionnalité d’analyse hors ligne de Windows Defender.
« Si l’analyse hors ligne de Defender a été lancée sur la machine victime à un moment donné, il n’est pas nécessaire de se connecter, la machine est automatiquement vulnérable », a déclaré le chercheur, qui se connecte sous le nom de Nightmare Eclipse ou Chaotic Eclipse, dans les notes d’exploitation. « Si l’analyse hors ligne de Defender n’a jamais été lancée, vous devez soit vous connecter et la lancer vous-même, soit trouver un moyen de démarrer WinRE en état d’analyse hors ligne (je pense qu’il devrait être tout à fait possible de le faire sans vous connecter). »
L’obligation de se connecter est pertinente ici, car un lecteur système chiffré avec BitLocker sera déverrouillé et déchiffré lorsque l’utilisateur se connectera. Cependant, l’intérêt d’un contournement BitLocker est d’accéder au lecteur non chiffré sans avoir les informations d’identification pour se connecter, par exemple sur un ordinateur portable volé.
Sur les machines sur lesquelles une analyse Windows Defender hors ligne a été effectuée dans le passé, l’exploitation est censée fonctionner en copiant deux fichiers (unattend.xml et Recovery/WindowsRE/ReAgent.xml) fourni par Nightmare Eclipse à la partition WinRE — cela peut être fait depuis l’extérieur du système d’exploitation car la partition WinRE n’est pas cryptée — puis redémarrez le système en mode WinRE.
« Si tout a été fait correctement, un shell avec un accès illimité au volume BitLocker apparaîtra », a déclaré Nightmare Eclipse.
Cependant, Will Dormann, un analyste de vulnérabilités expérimenté qui a enquêté sur les exploits précédents publiés par Nightmare Eclipse, n’a pas pu reproduire le contournement à l’aide des instructions fournies après avoir essayé trois versions de Windows 11.
« Je pense que l’article est erroné dans la mesure où le message engendré CMD.EXE Cela se produit la PROCHAINE fois qu’une analyse Microsoft Defender hors ligne est déclenchée », a déclaré Dormann sur son compte Mastodon. « Et pour déclencher une analyse Microsoft Defender hors ligne, vous devez tous les deux être connectés à Windows et disposer également d’informations d’identification d’administrateur. Et si vous disposez déjà de ce niveau d’accès, vous pouvez simplement désactiver BitLocker.
L’observation de Dormann serait cohérente avec la documentation de Microsoft, qui indique que le déclenchement d’une analyse hors ligne de Windows Defender nécessite des privilèges administratifs et déclenchera un redémarrage en mode WinRE pour que l’analyse démarre. Le but de l’analyse hors ligne est d’être exécutée depuis l’extérieur du système d’exploitation pour nettoyer les menaces au niveau du noyau telles que les rootkits qui pourraient autrement interférer avec le processus Windows Defender normal.
Nightmare Eclipse n’a pas répondu au rapport de Dormann, mais a demandé sur X si quelqu’un connaissait un moyen de déclencher une analyse hors ligne Defender simplement en modifiant ReAgent.xml. Cela suggère que le chercheur recherche un autre moyen de déclencher l’exploit, mais cela pourrait être lié au scénario dans lequel une analyse hors ligne Defender n’a jamais été exécutée dans le passé.
Le propre article de blog d’Eclipse sur GreatXML a disparu de son site blogspot.com, mais il prétend que c’était l’œuvre de Google (Google possède le service Blogger). Le référentiel GitHub où il a publié ses précédents exploits Zero Day a également été supprimé récemment, soi-disant par Microsoft, propriétaire de GitHub, une décision qui a suscité des critiques de la part de nombreux membres de la communauté de la sécurité, car GitHub était un endroit sûr pour stocker les recherches en matière de sécurité, y compris les exploits Zero Day de preuve de concept.
Le chercheur a une vendetta personnelle contre Microsoft après avoir affirmé que l’entreprise l’avait maltraité et qu’il avait jusqu’à présent publié huit exploits zero-day dans des composants Windows. Certaines versions ont été programmées peu de temps après le Patch Tuesday de Microsoft pour obliger l’entreprise à publier des correctifs hors bande ou à attendre le mois suivant.
Cela a également été le cas plus tôt cette semaine, lorsque le chercheur a publié un exploit d’élévation de privilèges zero-day dans Windows Defender baptisé RoguePlanet et a suivi deux jours plus tard avec le prétendu contournement de GreatXML BitLocker.
Même si Dormann n’a pas réussi à faire fonctionner GreatXML, les entreprises devraient quand même prendre cet exploit au sérieux, compte tenu de l’expérience d’Eclipse en matière de publication de zéros fonctionnels. S’il y a un bug dans l’exploit, le chercheur ou quelqu’un d’autre pourrait le corriger ou trouver un autre moyen de le déclencher.
