Une équipe de chercheurs en cybersécurité a dévoilé aujourd’hui les détails d’une nouvelle vulnérabilité à haut risque affectant des milliards d’appareils dans le monde, notamment des serveurs et des stations de travail, des ordinateurs portables, des ordinateurs de bureau et des systèmes IoT exécutant presque toutes les distributions Linux ou systèmes Windows.
Surnommé ‘BootHole‘et suivi comme CVE-2020-10713, la vulnérabilité signalée réside dans le chargeur de démarrage GRUB2, qui, s’il est exploité, pourrait permettre aux attaquants de contourner la fonction de démarrage sécurisé et d’obtenir un accès persistant et furtif à privilèges élevés aux systèmes ciblés.
Secure Boot est une fonction de sécurité de l’interface UEFI (Unified Extensible Firmware Interface) qui utilise un chargeur de démarrage pour charger les composants critiques, les périphériques et le système d’exploitation tout en garantissant que seul le code signé cryptographiquement s’exécute pendant le processus de démarrage.
« L’un des objectifs de conception explicites de Secure Boot est d’empêcher le code non autorisé, même exécuté avec des privilèges d’administrateur, d’obtenir des privilèges supplémentaires et la persistance pré-OS en désactivant Secure Boot ou en modifiant la chaîne de démarrage », explique le rapport.
Vulnérabilité du chargeur de démarrage GRUB2
Découvert par des chercheurs d’Eclypsium, BootHole est une vulnérabilité de débordement de tampon qui affecte toutes les versions de GRUB2 et existe dans la façon dont il analyse le contenu du fichier de configuration, qui n’est généralement pas signé comme les autres fichiers et exécutables, ce qui permet aux attaquants de casser le racine matérielle du mécanisme de confiance.
À noter que le fichier grub.cfg est situé dans la partition système EFI, et donc, pour modifier le fichier, un attaquant a toujours besoin d’un point d’ancrage initial sur le système ciblé avec des privilèges d’administrateur qui fourniraient éventuellement à l’attaquant une escalade supplémentaire de privilège et persistance sur l’appareil.
Bien que GRUB2 soit le chargeur de démarrage standard utilisé par la plupart des systèmes Linux, il prend également en charge d’autres systèmes d’exploitation, noyaux et hyperviseurs tels que XEN.
«Le débordement de tampon permet à l’attaquant d’obtenir l’exécution de code arbitraire dans l’environnement d’exécution UEFI, qui pourrait être utilisé pour exécuter des logiciels malveillants, modifier le processus de démarrage, corriger directement le noyau du système d’exploitation ou exécuter un certain nombre d’autres actions malveillantes», ont déclaré les chercheurs.
Ainsi, pour exploiter la faille BootHole sur les systèmes Windows, les attaquants peuvent remplacer les bootloaders par défaut installés sur les systèmes Windows par une version vulnérable de GRUB2 pour installer le malware rootkit.
«Le problème s’étend également à tout appareil Windows qui utilise Secure Boot avec l’autorité de certification Microsoft Third Party UEFI standard», indique le rapport.
Selon le rapport détaillé Les chercheurs ont partagé avec The Hacker News, cette vulnérabilité peut avoir des conséquences majeures, et c’est principalement parce que l’attaque permet aux pirates d’exécuter du code malveillant avant même le démarrage du système d’exploitation, ce qui rend difficile pour les logiciels de sécurité de détecter la présence de logiciels malveillants ou de les supprimer.
En plus de cela, le chercheur a également ajouté que «l’environnement d’exécution UEFI ne dispose pas de la randomisation de la disposition de l’espace d’adressage (ASLR) ou de la prévention de l’exécution des données (DEP / NX) ou d’autres technologies d’atténuation des exploits généralement trouvées dans les systèmes d’exploitation modernes, créant ainsi des exploits pour ce type de vulnérabilité est beaucoup plus facile. «
Le simple fait d’installer des mises à jour et des correctifs ne résoudrait pas le problème
Les experts d’Eclypsium ont déjà contacté des entités industrielles associées, y compris des fournisseurs de systèmes d’exploitation et des fabricants d’ordinateurs, pour les aider à corriger le problème.
Cependant, il ne semble pas être une tâche facile de corriger complètement le problème.
Le simple fait d’installer des correctifs avec le chargeur de démarrage GRUB2 mis à jour ne résoudrait pas le problème, car les attaquants peuvent toujours remplacer le chargeur de démarrage existant du périphérique par la version vulnérable.
Selon Eclypsium, même «l’atténuation nécessitera la signature et le déploiement de nouveaux chargeurs de démarrage, et les chargeurs de démarrage vulnérables doivent être révoqués pour empêcher les adversaires d’utiliser des versions plus anciennes et vulnérables dans une attaque».
Ainsi, les fournisseurs concernés devront d’abord publier les nouvelles versions de leurs shims de chargeur de démarrage pour être signées par l’autorité de certification UEFI tierce de Microsoft.
Finalement, la liste de révocation UEFI (dbx) doit également être mise à jour dans le micrologiciel de chaque système affecté pour empêcher l’exécution de ce code vulnérable au démarrage.
Ce processus d’atténuation en plusieurs étapes prendra probablement des années aux organisations pour terminer le correctif.
« Cependant, le déploiement complet de ce processus de révocation sera probablement très lent. Les mises à jour liées à l’UEFI ont souvent rendu les appareils inutilisables, et les fournisseurs devront être très prudents. Si la liste de révocation (dbx) est mise à jour avant un Linux donné bootloader et shim sont mis à jour, puis le système d’exploitation ne se chargera pas », ont averti les chercheurs.
Dans un consultatif publié aujourd’hui, Microsoft a reconnu le problème, informant qu’il «travaillait pour terminer la validation et les tests de compatibilité d’une mise à jour Windows requise qui corrige cette vulnérabilité».
Il a également recommandé aux utilisateurs d’appliquer les correctifs de sécurité dès leur déploiement dans les semaines à venir.
Outre Microsoft, de nombreuses distributions Linux populaires ont également publié des avis connexes expliquant la faille, les atténuations possibles et le calendrier des correctifs de sécurité à venir.
Voici une liste de tous les avis:
//