lun. Nov 28th, 2022

Les chercheurs en sécurité ont pu trouver des vulnérabilités dans trois chargeurs de démarrage UEFI que Microsoft a tenté de bloquer avec une mise à jour.

Les chercheurs en sécurité d’Eclypsium ont découvert des vulnérabilités dans des chargeurs de démarrage UEFI tiers. Cela peut potentiellement contourner la fonctionnalité de démarrage sécurisé sur les ordinateurs Windows. En réponse, Microsoft a simplement bloqué les chargeurs de démarrage concernés avec une mise à jour de sécurité. Malheureusement la mise à jour est boguée.

Microsoft signe des chargeurs de démarrage UEFI sans analyse complète du code

Immédiatement après avoir allumé un système Windows, le chargeur de démarrage du micrologiciel commence à initialiser le matériel et à démarrer l’environnement UEFI. Cet environnement UEFI est alors responsable du démarrage du gestionnaire de démarrage Windows. En règle générale, dans le cadre de la spécification UEFI, Secure Boot garantit que seul un code de confiance peut être exécuté pour démarrer le système d’exploitation.

Cependant, afin de classer un code comme digne de confiance, l’autorité de certification Microsoft UEFI Third Party Certificate Authority (CA) le signe. Le problème, selon les chercheurs en sécurité d’Eclypsium Mickey Shkatov et Jesse Michael, est que le géant du logiciel le fait simplement sans une analyse complète du code.

« Ces tiers envoient leurs chargeurs de démarrage à Microsoft pour examen, mais différents fournisseurs ont différents niveaux de sécurité‘ Michael a averti SearchSecurity. Il est seulement vérifié si le code exécuté correspond à ce que le système attend. Que le code du chargeur de démarrage UEFI soit bon ou sans erreur n’a aucune importance. Et bien que Microsoft ait sa propre autorité de certification depuis 2011 et ait signé d’innombrables bootloaders, l’entreprise ne partage aucune information à ce sujet »,combien de chargeurs de démarrage et quelles versions il y a.« 

Voir aussi  Bluesky : Jack Dorsey annonce un nouveau réseau social

« Si nous pouvions énumérer tous les bootloaders et faire une sorte de vérification, je me sentirais un peu mieuxdit Michel inquiet.

Un exemple de l’année dernière a clairement montré que Microsoft n’est pas toujours aussi précis en matière de signatures numériques. Comme nous l’avons signalé en octobre 2021, le rootkit FiveSys a pu obtenir des privilèges presque illimités sur les systèmes infiltrés par le malware grâce à une signature numérique de Microsoft.

La mise à jour de sécurité verrouille les bootloaders affectés

Selon les chercheurs d’Eclypsium, trois des chargeurs de démarrage UEFI approuvés par Microsoft présentent des vulnérabilités. Cela permet aux attaquants de contourner la fonction Secure Boot et d’exécuter du code non signé. De cette façon, des modifications peuvent être apportées au système d’exploitation, des fonctions de sécurité peuvent être désactivées et des portes dérobées installées qui permettent un accès ultérieur au système.

Pour résoudre le problème, Microsoft a publié la mise à jour de sécurité KB5012170 et a ainsi simplement bloqué les chargeurs de démarrage UEFI concernés.

Les chargeurs de démarrage suivants sont concernés :

  • Eurosoft (Royaume-Uni) Ltd. (CVE-2022-34301)
  • Nouveau Horizon Datasys Inc. (CVE-2022-34302)
  • Disque sécurisé CryptoPro (CVE-2022-34303)

« Cette mise à jour de sécurité corrige la vulnérabilité en ajoutant les signatures des modules UEFI vulnérables connus au DBX. »

Microsoft

Selon les chercheurs en sécurité, l’exploitation des failles de sécurité dans deux des trois chargeurs de démarrage UEFI peut être facilement automatisée à l’aide de scripts de démarrage. Les trois vulnérabilités nécessitent des droits d’administrateur sur Windows ou des droits root sur les ordinateurs Linux. Cependant, l’obtenir n’est généralement pas un grand défi pour les attaquants.

Voir aussi  Nvidia tourne enfin le dos à la Russie

La mise à jour n’est pas sans erreur et peut entraîner une boucle de démarrage

Comme il s’est avéré peu de temps après la publication de la mise à jour de sécurité, certains utilisateurs sont aux prises avec une erreur qui oblige leur PC à abandonner l’installation de la mise à jour concernée, puis se retrouve dans une boucle de démarrage. Selon Microsoft, le problème fait actuellement l’objet d’une enquête et une solution sera apportée dès que possible.