BootHole : une vulnérabilité qui touche Linux et Windows
Les systèmes Linux et Windows sont affectés par une attaque commune. Cela s'explique par le fait que cette attaque cible directement le GRUB2 et qu'elle affecte aussi le Secure Boot.
Cette vulnérabilité baptisée BootHole (CVE-2020-10713) permet aux hackers d'altérer directement le processus de démarrage qui précède le boot de l'OS. Nous parlerons alors de bootkit.
Ce sont des chercheurs en sécurité d'Eclypsium qui ont découvert cette vulnérabilité au sein du fichier grub.cfg et celle-ci permettrait à l'attaquant d'injecter du code malveillant pendant le processus de démarrage : de quoi cibler le système d'exploitation qui va démarrer.
Le schéma ci-dessous explique de façon synthétique le fonctionnement de l'attaque BootHole. Le fichier grub.cfg va être utilisé pour exécuter des commandes malveillantes au sein de GRUB2 lorsque celui-ci va charger le fichier de configuration.
D'après les chercheurs en sécurité, l'exécution du malware pourrait permettre de remplacer complètement le bootloader pour utiliser une version malveillante.
Au début de l'article, je mentionnais également le Secure Boot car cette attaque fonctionne aussi lorsque cette fonctionnalité est activée puisqu'elle va permettre de contourner cette protection. Pour rappel, le Secure Boot sert à sécuriser le démarrage du système en vérifiant que les composants de firmware chargés sont bien signés.
Pour réaliser cette attaque, il est nécessaire d'avoir un accès administrateur sur la machine afin de modifier le fichier grub.cfg. Cette barrière n'est pas incontournable puisque le système et ses composants systèmes, notamment lorsqu'ils ne sont pas patchés, contiennent de nombreuses failles permettant l'élévation de privilèges.
D'après les experts en sécurité, plus de 80 shims sont affectés par cette vulnérabilité. Le shim est un composant qui intègre un certificat et qui va être utilisé pour vérifier le bootloader GRUB2 : s'il est affecté par la faille BootHole, alors le GRUB2 de la machine peut être altéré. D'ailleurs, quand je parle de machine, il faut savoir que cette faille touche aussi bien les postes de travail que les serveurs.
Désormais, Eclypsium attend à une réaction de la part des éditeurs afin d'obtenir des correctifs de sécurité, notamment du côté de chez Microsoft, Debian, VMware, Oracle, Citrix, HP ou encore Red Hat.
Cette faille est critique puisqu'elle a reçu un score CVSS de 8.2, ce qui signifie qu'elle permet d'obtenir un accès quasi total sur la machine ciblée. Cette faille touche aussi bien Linux que Windows puisque sur une machine, le bootloader GRUB2 peut-être utilisé pour charger ces deux systèmes, notamment dans le cadre d'un dual-boot. Autrement dit, des millions de systèmes sont concernés par cette vulnérabilité.
« Cette barrière n’est pas incontournable puisque le système et ses composants systèmes, notamment lorsqu’ils ne sont pas patchés, contiennent de nombreuses failles permettant l’élévation de privilèges. »
Ok, mais de un : ces failles ne sont pas légions et heureusement. Et de deux : si une faille système est déjà exploitée par la machine, on est déjà dans la panade 🙂
Ceci-dit, la plupart du temps, pas besoin de faille car l’utilisateur dit oui quasi systématiquement à l’UAC sans se poser de questions 😀
Qui répondra le plus vite a l’alerte … Fallait troller
le problème parfois nous devons commencé à ses poses des questions si réellement des IOS systèmes que nous téléchargeons ne sont tel pas de simple clone? Car une faille du GRUD est lié directement dans le système de démarrage du système.