Dell, HP: 2 nouveaux bugs d’accès à la mémoire et au noyau

Des vulnérabilités dans les ordinateurs portables Dell et HP pourraient permettre à un hacker d’accéder aux informations sensibles et d’obtenir des privilèges de noyau via la fonctionnalité Direct Memory Access (DMA) des appareils.

Les fabricants ont déployé des mises à jour du BIOS pour adresser ces problèmes mais les chercheurs signalent que ces attaques DMA sont encore possible contre un nombre important d’ordinateurs.

L’accès direct à la mémoire (en anglais DMA pour Direct Memory Access) est un procédé informatique où des données circulant de, ou vers, un périphérique (port de communication, disque dur, etc.) sont transférées directement par un contrôleur adapté vers la mémoire principale de la machine, sans intervention du microprocesseur si ce n’est pour lancer et conclure le transfert.

“Par exemple, un adaptateur de réseau ou un appareil Firewire a besoin de lire et d’écrire l’information rapidement,” selon un rapport d’Eclypsium. “Faire passer ce trafic par le système d’exploitation et le faire revenir ensuite est lent et manque d’efficacité. Au lieu de cela, DMA permet aux appareils de communiquer directement avec la mémoire du système sans passer par le système d’exploitation [ou le processeur principal].”

Cela est utile pour conserver de la puissance de calcul mais la fonctionnalité DMA offre aussi la possibilité aux hackers de lire et d’écrire sur la mémoire du système de la victime directement. Selon Eclypsium, cela peut permettre aussi de contourner les protections root-of-trust et chain-of-trust du matériel comme UEFI Secure Boot, Intel Boot Guard, HP Sure Start et Microsoft Virtualization Based Security.

Si la tentative de compromission est réussie, un pirate peut étendre son contrôle sur l’exécution du noyau lui-même. Le hacker sera donc capable d’exécuter du code sur le noyau du système, insérer une grande variété d’implants de noyau et effectuer beaucoup d’autres actions tels que la suppression de la nécessité de mots de passe ou la reproduction des shell du système.

Des bugs dans les ordinateurs portables Dell et HP

Dans ses tests sur les protections DMA des ordinateurs portables modernes, l’équipe d’Eclypsium a découvert que l’ordinateur portable Dell XPS 13 7390 2-en-1, sorti en Octobre 2019, est vulnérables aux attaques DMA de pré-démarrage.

dell

L’important bug (CVE-2019-18579) est une configuration non-sécurisé du BIOS dans les paramètres par défaut du firmware de l’appareil. Il était mis sur “Activer les modules de pré-démarrage Thunderbolt (et PCIe derrière TBT). Selon le rapport de Dell, un individu local non-authentifié ayant un accès physique au système de l’utilisateur peut obtenir un accès de lecture ou d’écriture à la mémoire principale via une attaque DMA lors du démarrage de la plateforme. Dell a déployé le Dell Client BIOS pour patcher le problème en désactivant ce paramètre par défaut.

“Nous avons été capable d’effectuer une injection de code DMA directement sur Thunderbolt (une interface de type USB pour les périphériques) lors du processus de démarrage,” ont écrit les chercheurs d’Eclypsium. Ils ont ajouté que l’attaque est “châssis-fermé”, ce qui signifie que les hackers n’auront pas besoin d’ouvrir le disque dur pour la mener. “Un pirate pourrait simplement se connecter au port exposé de l’appareil sans avoir à modifier l’appareil,” ont-ils ajouté.

La seconde faille a été trouvé dans le ProBook 640 G4 d’HP. Ce dernier inclut la fonctionnalité HP Sure Start Gen4. Le rapport précise que HP Sure Start contient un contrôleur intégré conçu pour vérifier l’intégrité du BIOS avant que le processeur exécute sa première ligne de code. Cette fonctionnalité est sensée empêcher les attaques “châssis-fermées”. Cependant, ils ont découvert qu’une attaque DMA de pré-démarrage à châssis ouvert était encore possible.

hp

Le bug (qui n’a pas encore d’identifiant CVE) permet aux hackers de compromettre l’Unified Extensible Firmware Interface (UEFI) du système. UEFI est une spécification qui définit une interface logiciel entre un système d’exploitation et le firmware d’une plateforme. Une compromission pourrait permettre à du code non-autorisé de d’exécuter au début du processus de démarrage, avant que le système d’exploitation ne prenne le contrôle.

“Une attaque DMA de pré-démarrage fonctionne à ce moment critique et peut compromettre complètement un système, même quand les autres protections d’intégrité de code (comme HP Sure Start, Intel Boot Guard ou Microsoft Virtualization Based Security avec Device Guard) sont utilisées,” ont déclaré les chercheurs d’Eclypsium.

L’équipe de chercheurs a découverte qu’une attaque pourrait être réalisé si l’appareil était ouvert, permettant à la carte sans-fil M.2 du système d’être remplacé par la plateforme de développement Xilinx SP605 FPGA.

“Le FPGA a été ensuite connecté à notre machine d’attaque et nous avons testé le système contre une technique d’attaque DMA bien connue. Nous avons été capable d’attaquer le système et d’obtenir le contrôle de l’appareil,” selon le rapport. “En utilisant DMA pour modifier la RAM du système durant le processus de démarrage, nous avons obtenu une exécution de code arbitraire et contourné les protections HP Sure Start qui vérifient l’intégrité du code du BIOS avant que l’exécution du code ne commence dans le processeur.”

HP a distribué une mise à jour du BIOS pour corriger cette faille de sécurité.

La firme de recherche en sécurité informatique a affirmé que le HP ProBook 640 G4 n’est surement pas le seul à être vulnérable à ce genre d’attaque.

“Les processus de pré-démarrage sont une zone de faiblesse sur tout les ordinateurs et les serveurs de plusieurs fabricants,” ont écrit les chercheurs. “En ce qui concerne HP, alors que la machine n’était pas vulnérable à une attaque ‘boitier-fermé’, la version de HP Sure Start dans le mode que nous avons testé était insuffisant pour se protéger contre notre type d’attaque. Il y’a plusieurs composants, du hardware au firmware jusqu’au système d’exploitation, qui doivent travailler ensemble pour empêcher les attaques DMA de pré-démarrage.”

Les 2 vulnérabilités découvertes permettent des exploits qui nécessitent un accès physique aux appareils mais les chercheurs ont ajouté qu’en général, les attaques DMA peuvent être exécuté à distance en utilisant un malware.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x