Les attaquants peuvent utiliser un pilote vulnérable pour cibler la plupart des systèmes Windows et Linux Mathew J. Schwartz (euroinfosec) • 16 janvier 2025
Les systèmes Microsoft et Linux nécessitent une mise à jour immédiate pour révoquer les autorisations d’un pilote vulnérable que les attaquants pourraient abuser pour installer un bootkit UEFI. (Image : Shutterstock)
Microsoft a corrigé une vulnérabilité présente dans la majorité des systèmes Unified Extensible Firmware Interface, que les attaquants pourraient exploiter pour exécuter du code malveillant pendant le processus de démarrage, avant le chargement de Windows.
Voir aussi : Détection et réponse aux fuites de données LLM pour les outils de recherche d’IA d’entreprise
La vulnérabilité, suivie comme CVE-2024-7344est présent dans plusieurs outils de récupération système en temps réel, mais pourrait être utilisé par des attaquants pour cibler n’importe quel système Windows ou Linux, même s’il n’exécute pas d’outil utilisant le pilote vulnérable.
“Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait contourner Secure Boot”, déclare Microsoft dit dans un avis de sécurité. Le géant de la technologie a corrigé la faille mardi en publiant des mises à jour pour chaque système d’exploitation pris en charge qui révoquent le pilote vulnérable. Les mises à jour pour les systèmes Linux, qui sont également à risque, sont disponibles via le Service de micrologiciel du fournisseur Linux.
Les chercheurs de la société de cybersécurité Eset, qui ont découvert la faille, recommandent à toutes les organisations d’appliquer immédiatement les mises à jour – ou les mesures d’atténuation qu’elles ont détaillées – et de vérifier que les révocations ont eu lieu. Ils dit le risque posé par la vulnérabilité est important, « car les attaquants peuvent apporter leur propre copie du binaire vulnérable sur n’importe quel système UEFI avec le certificat UEFI tiers Microsoft inscrit » et l’utiliser pour installer un bootkit tel que BlackLotus ou Bootkitty qui peut prendre le contrôle total du système sous-jacent.
Eset a signalé la faille au centre de coordination du CERT aux États-Unis en juin 2024. Le CERT/CC a coordonné un correctif avec les fournisseurs concernés : Computer Education System, Howyar Technologies, Greenware Technologies, Radix Technologies, Sanfong, Signal Computer et Wasay Software Technology.
UEFI est une norme industrielle pour l’initialisation du matériel lors de la mise sous tension d’un ordinateur, publiée par le forum UEFI. L’interface, successeur du système d’entrée/sortie de base, ou BIOS, moins sécurisé, est une partie essentielle du processus de démarrage de Windows et de nombreuses distributions Linux. Il gère les fonctions de démarrage en interfaçant entre le micrologiciel de l’ordinateur et le système d’exploitation. En effet, l’UEFI est un mini-système d’exploitation à part entière. Étant donné que l’UEFI s’exécute avant Windows ou Linux et donc avant le chargement de toute défense de sécurité au niveau du système d’exploitation, il reste une cible régulière pour les attaquants.
Eset a retracé la vulnérabilité désormais corrigée jusqu’à une application qui utilise un chargeur de fichiers au format Windows PE personnalisé – pour l’environnement de préinstallation -, plutôt que d’utiliser “les fonctions UEFI standard et sécurisées LoadImage et StartImage”.
Tout système UEFI sur lequel le démarrage sécurisé UEFI tiers de Microsoft est activé, ainsi que son paramètre « Autoriser l’autorité de certification UEFI tierce de Microsoft » activé, est à risque. Eset a dit que PC à noyau sécurisé Windows 11 devrait avoir cette dernière option désactivée par défaut.
Le pilote UEFI vulnérable a été signé par le certificat UEFI tiers « Microsoft Corporation UEFI CA 2011 » de Microsoft.
La vulnérabilité pourrait être exploitée pour vaincre le démarrage sécurisé UEFI (destiné à garantir que le processus de démarrage ne se déroule qu’avec un logiciel correctement signé par le fabricant du matériel) et permettre aux attaquants d’installer un kit de démarrage UEFI malveillant.
Même si UEFI et UEFI Secure Boot sont destinés à assurer la sécurité, leur efficacité ne doit pas être considérée comme une évidence, a déclaré Martin Smolár, le chercheur d’Eset qui a découvert la vulnérabilité (voir : La CISA américaine demande des améliorations aux composants informatiques clés).
“Ce qui nous préoccupe le plus en ce qui concerne la vulnérabilité n’est pas le temps qu’il a fallu pour réparer et révoquer le binaire – ce qui était plutôt bon par rapport à des cas similaires – mais le fait que ce n’est pas la première fois qu’un tel problème est manifestement dangereux, Un binaire UEFI signé a été découvert”, a-t-il déclaré. “Cela soulève la question de savoir dans quelle mesure l’utilisation de telles techniques dangereuses est courante parmi les fournisseurs de logiciels UEFI tiers, et combien d’autres chargeurs de démarrage similaires, obscurs mais signés, pourraient exister.”
#Des #chercheurs #détectent #une #grave #faille #contournement #démarrage #sécurisé #UEFI