IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Tous les appareils Windows et Linux seraient vulnérables à la nouvelle attaque du micrologiciel LogoFAIL


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2019
    Messages
    1 975
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2019
    Messages : 1 975
    Points : 38 421
    Points
    38 421
    Par défaut Tous les appareils Windows et Linux seraient vulnérables à la nouvelle attaque du micrologiciel LogoFAIL
    Tous les appareils Windows et Linux seraient vulnérables à la nouvelle attaque du micrologiciel LogoFAIL,
    les UEFI responsables du démarrage de ces appareils peuvent être compromises

    La plupart des appareils Windows et Linux sont actuellement vulnérables à une nouvelle attaque de micrologiciel appelée LogoFAIL. Cette attaque cible les interfaces de micrologiciels extensibles unifiées (UEFI) responsables du démarrage des appareils modernes fonctionnant sous Windows ou Linux. LogoFAIL exploite des vulnérabilités présentes depuis des années dans les analyseurs d'images UEFI, permettant d'exécuter du code malveillant au début du processus de démarrage, compromettant ainsi la sécurité de la plateforme.

    Les chercheurs de Binarly, la société de sécurité qui a découvert ces vulnérabilités, ont identifié près de deux douzaines de failles critiques cachées dans les UEFI, affectant une vaste gamme de modèles d'ordinateurs provenant de divers fabricants. L'attaque se distingue par sa facilité d'exécution, son impact sur les modèles grand public et professionnels, ainsi que par son haut niveau de contrôle sur les appareils infectés. LogoFAIL peut être exécuté à distance, contournant les mécanismes de défense traditionnels et compromettant la sécurité des plates-formes dès les premières étapes du processus de démarrage.

    Nom : windowsLinux.jpg
Affichages : 80499
Taille : 19,5 Ko

    LogoFAIL exploite des vulnérabilités dans les UEFI, permettant l'exécution de code malveillant au début du processus de démarrage, compromettant ainsi la sécurité des plates-formes Windows et Linux. L'attaque peut contourner les défenses traditionnelles, s'exécute à distance et affecte une large gamme de modèles d'ordinateurs. Les chercheurs ont publié des avis indiquant quels produits sont vulnérables et où trouver des correctifs de sécurité.

    Comme son nom l'indique, LogoFAIL se concentre sur les logos, en particulier ceux des fournisseurs de matériel, qui s'affichent à l'écran au début du processus de démarrage alors que l'UEFI est toujours en cours d'exécution. Les analyseurs d'images intégrés aux UEFI des trois principaux IBV présentent une douzaine de vulnérabilités critiques qui étaient jusqu'à présent passées inaperçues. En substituant des images légitimes de logo par des versions spécialement conçues pour exploiter ces failles, LogoFAIL permet l'exécution de code malveillant à une étape cruciale du démarrage connue sous le nom de DXE, abréviation de Driver Execution Environment (environnement d'exécution du pilote).

    Les chercheurs de Binarly, la société de sécurité à l'origine de la découverte de ces vulnérabilités, ont expliqué dans un livre blanc que dès qu'une exécution de code arbitraire est réalisée pendant la phase DXE, la sécurité de la plateforme est compromise. À partir de ce point, un contrôle total sur la mémoire, le disque de l'appareil cible, et même sur le système d'exploitation qui sera lancé est obtenu.

    Suite à cela, LogoFAIL peut délivrer une charge utile de deuxième étape, déposant un exécutable sur le disque dur avant même le démarrage du système d'exploitation principal. Une démonstration de cette exploitation a été présentée à travers une vidéo illustrative réalisée par les chercheurs. Les vulnérabilités font l'objet d'une divulgation massive coordonnée, publiée mercredi, impliquant la participation d'entreprises représentant presque l'ensemble de l'écosystème des processeurs x64 et ARM.

    Ces entreprises incluent les fournisseurs d'UEFI tels qu'AMI, Insyde et Phoenix, les fabricants d'appareils comme Lenovo, Dell et HP, ainsi que les fabricants de processeurs tels qu'Intel, AMD ou les concepteurs de processeurs ARM. L'annonce de l'attaque a eu lieu mercredi lors de la conférence sur la sécurité Black Hat à Londres.


    Dans un message, le fondateur et PDG de Binarly, Alex Matrosov, a formulé ce qui suit : « LogoFAIL représente un ensemble de vulnérabilités de sécurité hautement impactantes, récemment mises au jour, qui touchent différentes bibliothèques d'analyse d'images intégrées dans le micrologiciel du système, utilisées par divers fournisseurs au cours du processus de démarrage des appareils.

    Ces failles sont généralement enracinées dans le code de référence, affectant ainsi l'ensemble de l'écosystème, englobant le code et les fournisseurs d'appareils qui le mettent en œuvre. Cette attaque confère à un acteur malveillant l'avantage de contourner la plupart des solutions de sécurité des points finaux, permettant ainsi le déploiement d'un bootkit firmware dissimulé persistant dans une capsule firmware arborant une image de logo modifiée. »

    Lorsque le micrologiciel du système basé sur l'UEFI est configuré pour utiliser correctement des protections comme Intel Boot Guard avec un logo non modifiable, il n'est pas possible d'introduire l'image malveillante dans l'ESP. Dans de nombreux cas, cependant, il est toujours possible d'exécuter un outil logiciel disponible gratuitement sur le site web de l'IBV ou du fournisseur de l'appareil qui recharge le microprogramme à partir du système d'exploitation.

    Pour passer les contrôles de sécurité, l'outil installe le même micrologiciel UEFI à signature cryptographique déjà utilisé, en ne modifiant que l'image du logo, qui ne nécessite pas de signature numérique valide. Dans de nombreux cas, l'outil IBV est signé numériquement, ce qui réduit les risques d'intervention des protections des points d'extrémité.

    Nom : Imo.jpg
Affichages : 3455
Taille : 38,8 Ko
    Dans la présentation, les chercheurs ont fourni l'image ci-dessus pour illustrer le fonctionnement des attaques LogoFAIL


    Dans le document blanc qui accompagne la présentation, les chercheurs ont exposé les étapes d'une attaque LogoFAIL de la manière suivante : « Tel que démontré dans l'image précédente, une attaque LogoFAIL peut être décomposée en trois phases distinctes. En premier lieu, l'attaquant prépare une image de logo malveillante qu'il stocke dans l'ESP ou dans une section non signée d'une mise à jour du micrologiciel. Ensuite, il redémarre l'appareil.

    Au cours du processus de démarrage, le microprogramme vulnérable charge le logo malveillant à partir de l'ESP et l'analyse à l'aide d'un analyseur d'images vulnérable. Cela permet à l'attaquant de dévier le flux d'exécution en exploitant une faille dans l'analyseur lui-même. En tirant parti de cette menace, l'attaquant peut exécuter un code arbitraire pendant la phase DXE, ce qui équivaut à compromettre totalement la sécurité de la plateforme. »

    Les vulnérabilités de l’UEFI mises en lumière par LogoFAIL

    L'existence de LogoFAIL, cette nouvelle attaque de micrologiciel ciblant les interfaces de micrologiciels extensibles unifiées (UEFI) sur la plupart des appareils Windows et Linux, soulève des préoccupations significatives en matière de sécurité informatique. Les vulnérabilités exploitées par LogoFAIL, découvertes par les chercheurs de Binarly, révèlent une faille importante dans la conception et la mise en œuvre des UEFI, compromettant ainsi la sécurité des appareils modernes dès le processus de démarrage.

    Le constat selon lequel près de deux douzaines de failles critiques ont été identifiées dans les UEFI, touchant une variété de modèles d'ordinateurs provenant de divers fabricants, souligne l'ampleur de la menace. L'impact étendu sur les appareils grand public et professionnels met en lumière la nécessité urgente de remédier à ces vulnérabilités pour préserver la sécurité des utilisateurs.

    La facilité d'exécution de LogoFAIL, son potentiel d'infection à distance et sa capacité à contourner les mécanismes de défense traditionnels accentuent les risques encourus. Le niveau élevé de contrôle sur les appareils infectés soulève des préoccupations quant à la persistance et à la détection de cette menace, même après la mise en place de correctifs de sécurité.

    Il est impératif que les fabricants d'ordinateurs, les développeurs de micrologiciels et les fournisseurs de sécurité collaborent rapidement pour élaborer des correctifs robustes afin de contrer cette menace. L'ampleur de cette vulnérabilité souligne également l'importance de renforcer la sécurité des processus de démarrage et de réévaluer les mécanismes de défense existants pour garantir une protection efficace contre de telles attaques sophistiquées.

    Source : Binarly

    Et vous ?

    Quel est votre avis sur le sujet ?

    Existe-t-il des limitations ou les conditions spécifiques qui pourraient restreindre l'applicabilité de LogoFAIL à certains types d'appareils ou de configurations ?

    Existe-t-il des différences de vulnérabilité entre les versions spécifiques de Windows et Linux, et quels systèmes sont plus susceptibles d'être compromis ?

    Voir aussi :

    Avec la mise à jour de septembre du sous-système Windows pour Linux, WSL bénéficie d'un nouveau mode réseau « en miroir », de la récupération automatique de la mémoire et du DNS Tunneling

    Les résultats d'une étude comparative sur les attaques de ransomwares Linux et Windows révèlent les tendances majeures et la recrudescence des attaques, sur les systèmes Linux

    Une nouvelle mise à jour de Systemd permettra à Linux de bénéficier de l'infâme "écran bleu de la mort" de Windows, mais la fonctionnalité a reçu un accueil très mitigé

  2. #2
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 790
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 790
    Points : 7 286
    Points
    7 286
    Par défaut
    J'ai une petite question : comment s'en débarasser une fois infectée ?


    Quel est votre avis sur le sujet ?
    Je ne remets pas en cause les conférences de sécurité mais la différence entre black hat et white hat tient entre autre dans la révélation de la faille : ne pas la rendre publique avant un certain délai pour permettre à une solution de remédiation d'être mise en place.

  3. #3
    Membre régulier
    Profil pro
    Inscrit en
    Mars 2002
    Messages
    36
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2002
    Messages : 36
    Points : 98
    Points
    98
    Par défaut
    J'ai une petite question : comment s'en débarasser une fois infectée ?
    En toute logique il suffit de remettre un logo non vérolé.
    La faille profite de l'image parser de l'UEFI pour faire exécuter du code arbitraire au moment où l'image est affichée.
    Si la réécriture de l'UEFI est tentée, je pense que cela sera détecté car le secure boot s'assure de l'intégrité de l'UEFI.

  4. #4
    Membre à l'essai
    Homme Profil pro
    Ingénieur intégration/validation
    Inscrit en
    Septembre 2021
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur intégration/validation
    Secteur : Industrie

    Informations forums :
    Inscription : Septembre 2021
    Messages : 8
    Points : 23
    Points
    23
    Par défaut
    Quel est votre avis sur le sujet ?
    Que le BIOS UEFI est une bien belle cochonnerie comparé au BIOS Legacy.

    Existe-t-il des différences de vulnérabilité entre les versions spécifiques de Windows et Linux, et quels systèmes sont plus susceptibles d'être compromis ?
    Cela ne fait aucune différence que le système soit sous Linux ou Wouinwouin puisque cela se passe au niveau du firmware du BIOS de la machine. Avant même que le système d'exploitation ne démarre.

  5. #5
    Membre expert
    Profil pro
    programmeur du dimanche
    Inscrit en
    Novembre 2003
    Messages
    891
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : Novembre 2003
    Messages : 891
    Points : 3 838
    Points
    3 838
    Par défaut
    Quel est votre avis sur le sujet ?
    L'UEFI, c'est quand même beaucoup de complications pour finalement découvrir que bizarrement c'est pas sécurisé si toute sa mémoire n'est pas signée.
    Juste un microswitch sur la carte mère pour passer sa mémoire en lecture seule, ça conviendrait à pas mal de monde.

    J'ai une petite question : comment s'en débarasser une fois infectée ?
    Un attaquant va probablement juste mettre un code minimal dans le logo, juste pour charger le code malveillant. On peut considérer que l'OS est compromis après exécution, au moins...

Discussions similaires

  1. Réponses: 0
    Dernier message: 01/07/2020, 09h32
  2. Windows 10 : un OS qui s’adapte à tous les appareils
    Par Hinault Romaric dans le forum Visual Studio
    Réponses: 51
    Dernier message: 08/08/2015, 20h07
  3. Réponses: 2
    Dernier message: 21/10/2014, 14h22
  4. Réponses: 12
    Dernier message: 29/07/2009, 17h26
  5. Réponses: 0
    Dernier message: 16/07/2009, 02h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo