Une nouvelle vulnérabilité de démarrage sécurisé UEFI pourrait permettre aux attaquants de charger des kits de démarrage malveillants
Des détails ont émergé sur une vulnérabilité de sécurité désormais corrigée qui pourrait permettre de contourner le mécanisme de démarrage sécurisé dans les systèmes Unified Extensible Firmware Interface (UEFI).
La vulnérabilité, à laquelle est attribué l’identifiant CVE CVE-2024-7344 (score CVSS : 6,7), réside dans une application UEFI signée par le certificat UEFI tiers « Microsoft Corporation UEFI CA 2011 » de Microsoft, selon un nouveau rapport d’ESET partagé avec The Hacker News.
L’exploitation réussie de la faille peut conduire à l’exécution de code non fiable lors du démarrage du système, permettant ainsi aux attaquants de déployer des kits de démarrage UEFI malveillants sur des machines sur lesquelles Secure Boot est activé, quel que soit le système d’exploitation installé.
Secure Boot est une norme de sécurité du micrologiciel qui empêche le chargement de programmes malveillants au démarrage d’un ordinateur en garantissant que l’appareil démarre uniquement à l’aide d’un logiciel approuvé par le fabricant d’équipement d’origine (OEM). Cette fonctionnalité exploite les signatures numériques pour valider l’authenticité, la source et l’intégrité du code chargé.
L’application UEFI concernée fait partie de plusieurs suites logicielles de récupération système en temps réel développées par Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. et Signal Computer GmbH –
- Howyar SysReturn avant la version 10.2.023_20240919
- Greenware GreenGuard avant la version 10.2.023-20240927
- Radix SmartRecovery avant la version 11.2.023-20240927
- Système Sanfong EZ-back avant la version 10.3.024-20241127
- WASAY eRecoveryRX avant la version 8.4.022-20241127
- CES NeoImpact avant la version 10.1.024-20241127
- SignalComputer HDD King avant la version 10.3.021-20241127

« La vulnérabilité est due à l’utilisation d’un chargeur PE personnalisé au lieu des fonctions UEFI standard et sécurisées LoadImage et StartImage », a déclaré Martin Smolár, chercheur chez ESET. « Par conséquent, l’application permet le chargement de n’importe quel binaire UEFI, même non signé, à partir d’un fichier spécialement conçu nommé cloak.dat, au démarrage du système, quel que soit l’état du démarrage sécurisé UEFI. »
Un attaquant qui exploiterait la faille CVE-2024-7344 pourrait donc contourner les protections UEFI Secure Boot et exécuter du code non signé pendant le processus de démarrage dans le contexte UEFI avant même que le système d’exploitation ne se charge, lui accordant ainsi un accès secret et persistant à l’hôte.
« Le code exécuté au cours de cette phase de démarrage précoce peut persister sur le système, chargeant potentiellement des extensions de noyau malveillantes qui survivent aux redémarrages et à la réinstallation du système d’exploitation », a déclaré le Centre de coordination du CERT (CERT/CC) . « De plus, il peut échapper à la détection par les mesures de sécurité basées sur le système d’exploitation et les mesures de détection et de réponse aux points d’extrémité (EDR) ».
Les acteurs malveillants pourraient étendre davantage la portée de l’exploitation en apportant leur propre copie du binaire vulnérable « reloader.efi » sur n’importe quel système UEFI avec le certificat UEFI tiers Microsoft inscrit. Cependant, des privilèges élevés sont nécessaires pour déployer les fichiers vulnérables et malveillants sur la partition système EFI : administrateur local sous Windows et root sous Linux.
L’entreprise de cybersécurité slovaque a déclaré avoir divulgué de manière responsable les résultats au CERT/CC en juin 2024, après quoi Howyar Technologies et ses partenaires ont résolu le problème dans les produits concernés. Le 14 janvier 2025, Microsoft a révoqué les anciens binaires vulnérables dans le cadre de sa mise à jour Patch Tuesday .
Outre l’application des révocations UEFI, la gestion de l’accès aux fichiers situés sur la partition système EFI, la personnalisation du démarrage sécurisé et l’attestation à distance avec un module de plateforme sécurisée ( TPM ) sont quelques-unes des autres façons de se protéger contre l’exploitation de chargeurs de démarrage UEFI signés vulnérables inconnus et le déploiement de kits de démarrage UEFI.
« Le nombre de vulnérabilités UEFI découvertes ces dernières années et les échecs dans leur correction ou la révocation des binaires vulnérables dans un délai raisonnable montrent que même une fonctionnalité aussi essentielle que UEFI Secure Boot ne doit pas être considérée comme une barrière impénétrable », a déclaré Smolár.
« Cependant, ce qui nous inquiète le plus en ce qui concerne la vulnérabilité n’est pas le temps qu’il a fallu pour corriger et révoquer le binaire, qui était plutôt bon par rapport à des cas similaires, mais le fait que ce n’est pas la première fois qu’un binaire UEFI signé aussi manifestement dangereux est découvert. Cela soulève des questions sur la fréquence d’utilisation de ces techniques dangereuses parmi les fournisseurs de logiciels UEFI tiers, et sur le nombre d’autres chargeurs de démarrage similaires, obscurs mais signés, qui pourraient exister. »