Catégories
Informatique

Une nouvelle vulnérabilité BootHole révélée, affecte des milliards d'appareils

https://www.tomshardware.com/

(Crédit d'image: Eclypsium)

Eclypsium, une société spécialisée dans les solutions de sécurité d'entreprise, a révélé une nouvelle vulnérabilité qui permet aux attaquants de prendre le contrôle quasi-total des systèmes Windows ou Linux. La société affirme que des milliards d'appareils sont vulnérables, comme des systèmes allant des ordinateurs portables, des ordinateurs de bureau, des serveurs et des stations de travail, à d'autres types d'appareils, tels que les équipements spéciaux utilisés dans les secteurs industriel, médical, financier et autres. L'annonce fait partie d'une divulgation coordonnée à l'échelle de l'industrie.

L'attaque expose une vulnérabilité dans le framework UEFI Secure Boot qui empêche normalement l'accès non autorisé au système pendant le démarrage. En compromettant le démarrage sécurisé, les attaquants peuvent ensuite utiliser des chargeurs de démarrage UEFI malveillants pour obtenir un accès et un contrôle sans entraves au système. Heureusement, cette attaque nécessite des privilèges élevés pour être exploitée (mais ne pas accès physique), ce qui signifie qu'il serait difficile pour des entités extérieures d'attaquer un système sans un certain niveau de connaissances internes ou ayant déjà obtenu l'accès aux informations d'identification par d'autres moyens.

Cependant, une fois compromis, le système semble fonctionner normalement même si les logiciels malveillants ont un accès complet au système et au système d'exploitation. Le code malveillant réside alors dans le chargeur de démarrage et persistera donc même après la réinstallation du système d'exploitation. La vulnérabilité (CVE-2020-10713) a reçu une note CVSS de 8,2, ce qui signifie que les attaquants peuvent exploiter la vulnérabilité pour obtenir un accès quasi-total à un appareil.

https://www.tomshardware.com/

(Crédit d'image: Eclypsium)

UEFI Secure Boot est une norme de l'industrie qui protège presque tous les serveurs et PC contre les attaques pendant le processus de démarrage du système, et tous les systèmes équipés de Secure Boot sont affectés, même si la fonctionnalité n'est pas activée.

Secure Boot utilise des signatures cryptographiques pour vérifier chaque type de code autorisé à s'exécuter pendant le processus de démarrage. Le GRUB2 (Grand Unified Bootloader) gère le chargement du système et le transfert de contrôle vers le système d'exploitation pendant le démarrage, et si ce processus est compromis, les attaquants peuvent obtenir le contrôle total du système.

https://www.tomshardware.com/

(Crédit d'image: Eclypsium)

En guise d'explication de base (lisez ici pour une plongée technique approfondie), l'attaque BootHole exploite une vulnérabilité de dépassement de tampon dans le fichier de configuration GRUB2, qui est un fichier texte qui n'est pas protégé comme les autres fichiers et exécutables. Cela permet l'exécution de code arbitraire dans GRUB2, et permet ainsi à l'attaquant d'échanger des bootloaders malveillants qui permettent aux attaquants un accès complet au système.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *