Connect with us

Technologie

La vulnérabilité grave de BootHole met des millions de systèmes en danger

Published

on


Les chercheurs en sécurité à Eclypsium ont révélé une vulnérabilité grave dans le bootloader GRUB2 qui pourrait être utilisé par les cybercriminels pour prendre « contrôle quasi total » des systèmes Linux pendant le processus de démarrage et installer des bootkits « persistants et furtifs » ou bootloaders malveillants qui fonctionneront même il Secure Boot est activé et fonctionne correctement.

Baptisée BootHole, la vulnérabilité 8.2 cit cvss affecte les systèmes utilisant presque toutes les versions signées de GRUB2, ce qui signifie que pratiquement toutes les distributions Linux sont affectées.

Cependant, le problème est considéré comme encore plus vaste que linux – GRUB2 est également utilisé pour prendre en charge d’autres systèmes d’exploitation, noyaux et hyperviseurs tels que Xen, et le problème s’étend également à tout appareil Windows qui utilise Secure Boot avec la norme Microsoft Third Party Unified Extensible Firmware Interface (UEFI) Certificate Authority – de sorte que la plupart des ordinateurs portables, ordinateurs de bureau, serveurs et postes de travail sont en danger.

Des avis et mises à jour distincts devraient être publiés prochainement par Microsoft, l’équipe de réponse de sécurité UEFI, Oracle, Red Hat, Canonical, SuSE, Debian, Citrix, VMware et un certain nombre d’autres équipementiers et fournisseurs de logiciels, a déclaré Eclypsium.

Parce que le processus de démarrage est une partie fondamentalement importante de la façon dont les ordinateurs fonctionnent, être en mesure de compromettre cela signifie que les attaquants peuvent contrôler la façon dont le système d’exploitation du système entier est chargé et subvertir à peu près n’importe quel contrôle de sécurité à couche supérieure qui existe.

Ce bogue particulier est une vulnérabilité de débordement de mémoire tampon dans la façon dont GRUB2 analyse le contenu de son fichier de configuration. Cela permet l’exécution arbitraire du code dans GRUB2 et le contrôle sur le processus de démarrage. Il exige qu’un attaquant ait des privilèges élevés mais, par conséquent, lui permet de modifier le contenu du fichier de configuration pour s’assurer que le code d’attaque s’exécute avant les charges du système d’exploitation, et de gagner la persistance sur l’appareil, encore une fois indépendamment de la présence ou de la fonctionnalité de Secure Boot.

En fin de compte, un acteur qui exploite avec succès la vulnérabilité pourrait l’utiliser pour exécuter une variété d’autres actions malveillantes, y compris l’exfiltration de données ou l’installation de logiciels malveillants ou ransomware.

« Eclypsium a coordonné la divulgation responsable de cette vulnérabilité avec une variété d’entités de l’industrie, y compris les fournisseurs d’OS, les fabricants d’ordinateurs et les CERT », a déclaré la firme dans un blog de divulgation, qui peut être lu dans son intégralité ici.

« L’atténuation exigera que de nouveaux chargeurs de démarrage soient signés et déployés, et les chargeurs vulnérables devraient être révoqués pour empêcher les adversaires d’utiliser des versions plus anciennes et vulnérables dans une attaque », a-t-il déclaré. « Ce sera probablement un long processus et prendra beaucoup de temps pour que les organisations terminent le patching. »

Il ya un certain nombre de raisons pour cela, notamment parce que les mises à jour liées à l’UEFI ont une histoire notable de dispositifs de briques et d’avoir à être retiré à la hâte, de sorte que les personnes touchées devront être prudents dans la façon dont ils procèdent.

Eclypsium a recommandé aux équipes informatiques et de sécurité de vérifier s’assurer qu’elles disposent des capacités appropriées pour surveiller les chargeurs de démarrage et le firmware UEFI et vérifier les configurations UEFI dans leurs systèmes, et tester soigneusement les capacités de récupération au fur et à mesure que les mises à jour deviennent disponibles (y compris les paramètres de réinitialisation d’usine).

En attendant, il est important de surveiller en profondeur toute menace ou qui sont connus pour utiliser des bootloaders vulnérables pour infecter les cibles.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending