Des failles UEFI permettent de contourner le démarrage sécurisé de Windows et Linux

Des failles UEFI permettent de contourner le démarrage sécurisé de Windows et Linux


Dans l’un des cas, l’exploitation de la vulnérabilité serait particulièrement simple, qu’il faut redouter des attaques imminentes. Des patchs sont disponibles.

Pirater un système d’exploitation, c’est bien, mais infecter l’UEFI, c’est encore mieux. Car cela permet au pirate planquer son code malveillant dans le firmware de l’appareil à l’abri des antivirus et autres logiciels de sécurité. C’est pourquoi Microsoft vient de bannir trois UEFI dans lesquels les chercheurs en sécurité d’Eclypsium viennent de révéler – à l’occasion de la conférence Def Con 30 – d’importantes vulnérabilités. À savoir : Eurosoft, CryptoPro Secure Disk for BitLocker (CPSDBL) et New Horizon Datasys (NHD). Ces bootloaders ont été signés par Microsoft. Ils sont exécutés dans le cadre d’un enchaînement cryptographique (Secure Boot) qui est censé garantir l’intégrité des codes exécutés, que ce soit sur Windows ou sur Linux.

Mais les failles trouvées par les chercheurs permettent de contourner ce processus. Pour Eurosoft (CVE-2022-34301) et CPSDBL (CVE-2022-34303), il est possible d’utiliser des commandes shell embarquées pour lire et écrire dans la mémoire ou faire un mappage de la mémoire. Dans le cas de NHD (CVE-2022-34302), c’est encore plus simple : le pirate pourrait directement injecter son propre code malveillant. « La simplicité de l’exploitation rend très probable que des adversaires vont exploiter réellement cette vulnérabilité particulière », soulignent dans les chercheurs dans une note de blog.

Faille UEFI CVE-2022-34302

Certes, toutes ces vulnérabilités nécessitent au préalable d’avoir un accès root à la machine ciblée. Mais ce n’est pas ce qui manquerait, estiment Eclypsium. La bonne nouvelle, c’est qu’il existe d’ores et déjà des patchs pour les trois failles révélées. Pour savoir si l’on est concerné par ce problème, on peut consulter le site web du CERT de Carnegie Mellon. Celui-ci a contacté des dizaines de fournisseurs pour connaître leur degré d’implication. Mais pour l’instant, seuls trois ont répondu : Microsoft (affecté), Red Hat (non affecté) et Phoenix Technologies (non affecté).

Source :

Bleeping Computer



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.