Des chercheurs découvrent le contournement de démarrage sécurisé UEFI dans 3 chargeurs de démarrage signés Microsoft


Une vulnérabilité de contournement de la fonctionnalité de sécurité a été découverte dans trois chargeurs de démarrage UEFI (Unified Extensible Firmware Interface) tiers signés qui permettent le contournement de la fonctionnalité UEFI Secure Boot.

« Ces vulnérabilités peuvent être exploitées en montant la partition système EFI et en remplaçant le chargeur de démarrage existant par le chargeur vulnérable, ou en modifiant une variable UEFI pour charger le chargeur vulnérable au lieu de celui existant », a déclaré la société de sécurité matérielle Eclypsium. a dit dans un rapport partagé avec The Hacker News.

La cyber-sécurité

Ce qui suit chargeurs de démarrage spécifiques au fournisseurqui ont été signés et authentifiés par Microsoft, ont été jugés vulnérables au contournement et ont été corrigés dans le cadre de la mise à jour Patch Tuesday du géant de la technologie publiée cette semaine –

Le démarrage sécurisé est un norme de sécurité conçu pour empêcher les programmes malveillants de se charger au démarrage (démarrage) d’un ordinateur et garantir que seul le logiciel approuvé par le fabricant d’équipement d’origine (OEM) est lancé.

Chargeurs de démarrage

En d’autres termes, l’exploitation réussie des failles pourrait permettre à un adversaire de contourner les barrières de sécurité au démarrage et d’exécuter du code arbitraire non signé pendant le processus de démarrage.

Cela peut avoir d’autres effets d’entraînement, permettant à un acteur malveillant d’obtenir un accès enraciné et d’établir une persistance sur un hôte d’une manière qui peut survivre aux réinstallations du système d’exploitation et aux remplacements de disque dur, sans parler de contourner complètement la détection par les logiciels de sécurité.

La cyber-sécurité

Appelant CVE-2022-34302 « beaucoup plus furtif », Eclypsium a noté que la vulnérabilité New Horizon Datasys est non seulement triviale à exploiter dans la nature, mais peut également « permettre des évasions encore plus complexes telles que la désactivation des gestionnaires de sécurité ».

Les gestionnaires de sécurité, par exemple, peuvent comprendre Mesures et vérifications de signature du Trusted Platform Module (TPM), ont déclaré les chercheurs d’Eclypsium Mickey Shkatov et Jesse Michael.

Il convient de noter que l’exploitation de ces vulnérabilités nécessite qu’un attaquant ait des privilèges d’administrateur, bien que l’augmentation des privilèges locaux ne soit pas insurmontable.

« Tout comme BootHole, ces vulnérabilités mettent en évidence les défis liés à la garantie de l’intégrité du démarrage des appareils qui reposent sur une chaîne d’approvisionnement complexe de fournisseurs et de code travaillant ensemble », ont conclu les chercheurs, ajoutant que « ces problèmes montrent à quel point de simples vulnérabilités dans le code tiers peuvent saper l’ensemble du processus. »



ttn-fr-57