Catégories
Informatique

Exploit de sécurité BootHole GRUB2 Bootloader découvert, affecte des milliards de périphériques Windows et Linux

Boothole grub2

Les bootloaders sont un logiciel essentiel pour presque tous les appareils électroniques modernes. Malheureusement, toutes les vulnérabilités du chargeur de démarrage peuvent ouvrir un appareil aux attaquants. Les chercheurs d'Eclypsium ont récemment découvert une vulnérabilité de débordement de tampon dans le chargeur de démarrage GRUB2, surnommé «BootHole». Cela affecte tout appareil qui utilise GRUB2 avec Secure Boot, y compris la plupart des appareils Linux et certains appareils Windows.

Comment fonctionne BootHole

Le «GRand Unified Bootloader version 2», ou GRUB2, est un bootloader commun sur de nombreux périphériques Linux. Il utilise bison, un générateur d'analyseurs, et flex, un analyseur lexical, pour "Générer un moteur d'analyse pour un langage spécifique au domaine (DSL)." Cependant, Eclypsium souligne que le flex et le bison ont «Hypothèses de conception incompatibles»'ce qui peut entraîner des problèmes. Dans le cas de BootHole, ces «Hypothèses de conception non concordantes» peut créer une vulnérabilité de débordement de tampon.

Un débordement de tampon se produit lorsque plus de données sont poussées dans une mémoire tampon qu'elle ne peut en gérer. Ces données ont encore besoin d'un endroit où aller et elles débordent donc souvent dans les espaces mémoire voisins. Ce «débordement» peut corrompre ou écraser les données qui se trouvaient à l'origine dans l'espace mémoire. Les attaquants peuvent alors abuser de cette situation pour exécuter du code arbitraire et causer des problèmes majeurs avec un périphérique.

exemple de dépassement de tampon eclypsium

Les processus de démarrage sécurisé sont généralement isolés des utilisateurs de niveau administratif. Cependant, dans ce scénario, le chargeur de démarrage analyse un fichier de configuration situé dans la partition système EFI. En conséquence, tout utilisateur disposant d'un accès administrateur peut modifier grub.cfg. En outre, le fichier de configuration est généralement implémenté sous forme de fichier texte non signé. Toute modification du fichier de configuration n'est donc pas cochée.

Dans l'exemple fourni par les chercheurs, Eclypsium a découvert qu'ils pouvaient utiliser le fichier de configuration modifié pour transmettre un jeton trop volumineux pour le tampon d'analyse de flex. Il a appelé la fonction «YY_FATAL_ERROR ()». Cela a jeté un code d'erreur, mais n'a pas interrompu l'exécution. Flex ne vérifie jamais le retour de YY_FATAL_ERROR (), il a donc continué à appeler et à copier un jeton trop volumineux pour le tampon. Selon les chercheurs, ce problème «Écrase les structures critiques du tas.»

Conséquences potentielles et résolution

Cette vulnérabilité peut avoir des conséquences majeures. Les attaquants qui ont obtenu des privilèges administratifs peuvent exécuter du code arbitraire et donc prendre en charge l'intégralité du processus du chargeur de démarrage. L'attaquant pourrait exécuter un logiciel malveillant, remplacer le processus du chargeur de démarrage par un processus malveillant et obtenir un contrôle total sur les appareils vulnérables.

Eclypsium indique que les attaquants doivent déjà disposer de privilèges administratifs. Ceci est important à noter, car vous auriez probablement déjà des problèmes si un attaquant réussissait à aller aussi loin. Cependant, cette vulnérabilité est certainement préoccupante. Cela augmenterait encore les privilèges de l'attaquant et offrirait la possibilité de reprendre le contrôle d'un système avec un chargeur de démarrage modifié en place. À son tour, l'attaque pourrait persister à un niveau inférieur sur le système que ce qui est généralement détectable tout en dissimulant les preuves de son infiltration dans l'espace utilisateur.

Correction du malware du chargeur de démarrage eclypsium

L'un des aspects les plus inquiétants de cette vulnérabilité est ce qui doit être fait pour l'atténuer. L'atténuation nécessitera la coopération de diverses entreprises, de projets open source et d'individus. Il faudra d'abord des mises à jour immédiates de GRUB2. De nouveaux bootloaders devront éventuellement être déployés et les anciennes versions devront être révoquées. Eclypsium prévient que ce sera probablement un processus long et interminable. Des précautions sont nécessaires car ces types de mises à jour peuvent parfois rendre un appareil inutilisable. Le problème sera éventuellement résolu, mais les utilisateurs doivent être patients.

Les chercheurs d'Eclypsium ont également récemment découvert des micrologiciels de périphériques non signés ou non vérifiés dans des appareils de grandes entreprises technologiques. Un micrologiciel non signé met non seulement en danger des appareils individuels, mais peut également menacer tout un réseau. Les chercheurs ont pu infecter un serveur hôte et remplacer le micrologiciel NIC du système, ce qui leur a finalement permis de surveiller, modifier et rediriger le trafic.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *