Une faille dans GRUB2, des milliards d’appareils concernés

Des milliards d’appareils Windows et Linux sont vulnérables aux cyberattaques résultant d’une faille dans le chargeur de démarrage GRUB2, avertissent les chercheurs.

GRUB2 (qui signifie GRand Unified Bootloader version 2) est le chargeur de démarrage par défaut pour la majorité des systèmes informatiques. Son travail consiste à gérer une partie du processus de démarrage – soit il présente un menu et attend l’entrée de l’utilisateur, soit il transfère automatiquement le contrôle au noyau d’un système d’exploitation.

Secure Boot est une norme de l’industrie qui garantit qu’un périphérique démarre en utilisant uniquement un logiciel de confiance. Lorsqu’un ordinateur démarre, le micrologiciel vérifie les signatures des pilotes de micrologiciel UEFI, des applications EFI et du système d’exploitation. Si les signatures sont valides, l’ordinateur démarre et le micrologiciel donne le contrôle au système d’exploitation. Selon les chercheurs d’Eclypsium, la faille identifiée comme CVE-2020-10713 pourrait permettre aux attaquants de contourner ces protections et d’exécuter du code arbitraire pendant le processus de démarrage, même lorsque Secure Boot est activé et effectue correctement la vérification de signature.

Surnommé BootHole par Eclypsium car il ouvre un trou dans le processus de démarrage, la nouvelle faille est une vulnérabilité de dépassement de tampon causée par la façon dont GRUB2 analyse le contenu du fichier de configuration GRUB2 (grub.cfg), selon Eclypsium.

«Le fichier de configuration GRUB2 est un fichier texte et n’est généralement pas signé comme les autres fichiers et exécutables», ont écrit les chercheurs dans leur analyse. Par conséquent, Secure Boot ne le vérifie pas. Ainsi, un attaquant pourrait modifier le contenu du fichier de configuration GRUB2 pour inclure du code d’attaque. De plus, ce fichier est chargé avant le chargement du système d’exploitation, de sorte que le code d’attaque s’exécute en premier.

«De cette façon, les attaquants gagnent en persistance sur l’appareil», ont expliqué les chercheurs.

Sur le plan technique, Red Hat a noté que le fichier grub.cfg est composé de plusieurs chaines de tokens.

“Le fichier de configuration est chargé et analysé lors de l’initialisation de GRUB juste après que le chargeur de démarrage initial, appelé shim, l’ait chargé”, a déclaré le projet dans un avis.

«Au cours de la phase d’analyse, les valeurs de configuration sont copiées dans des tampons internes stockés en mémoire. Les jetons de configuration qui sont plus longs que la taille de la mémoire tampon interne créent un problème de dépassement de la mémoire tampon. Un attaquant peut exploiter cette faille pour exécuter du code arbitraire, détournant davantage le processus de démarrage de la machine et contournant la protection Secure Boot. Par conséquent, il est possible que du code binaire non signé soit chargé, ce qui compromet davantage l’intégrité du système. »

grub2

Une fois à l’intérieur, les attaquants ont «un contrôle quasi total» sur une machine cible: «Les organisations devraient surveiller leurs systèmes pour détecter les menaces et les rançongiciels qui utilisent des chargeurs de démarrage vulnérables pour infecter ou endommager les systèmes», selon l’analyse.

La faille a une note CVSS de 8,2 (Red Hat la juge «modérée» en terme de gravité et Microsoft la qualifie d ‘«importante»). BootHole a probablement évité une note critique car, pour l’exploiter, un attaquant devrait d’abord obtenir des privilèges administratifs.

«Un attaquant devrait d’abord établir un accès au système, comme obtenir un accès physique, obtenir la possibilité de modifier un réseau pxe-boot, ou avoir un accès à distance à un système de réseau avec un accès root», selon Red Hat.

La mauvaise nouvelle est que GRUB2 est presque omniprésent dans le paysage informatique.

«La vulnérabilité réside dans le chargeur de démarrage GRUB2 utilisé par la plupart des systèmes Linux», ont déclaré les chercheurs. «Le problème s’étend également à tout appareil Windows qui utilise Secure Boot avec l’autorité de certification Microsoft Third Party UEFI standard.»

Ils ont ajouté que la majorité des ordinateurs (ordinateurs portables, ordinateurs de bureau, serveurs et postes de travail) sont vulnérables et que la vulnérabilité affecte également les appareils réseau, les équipements propriétaires spécifiques aux secteurs de la santé, de la finance et d’autres secteurs, les appareils IoT, la technologie opérationnelle (OT) et les équipements SCADA dans les environnements industriels. En tout, des milliards d’appareils sont vulnérables.

Pire encore, aucun simple correctif ou mise à jour de micrologiciel ne peut résoudre le problème, selon Eclypsium.

«L’atténuation est complexe, peut être risquée et nécessitera la signature et le déploiement du programme vulnérable spécifique, et les programmes vulnérables doivent être révoqués pour empêcher les adversaires d’utiliser des versions plus anciennes et vulnérables dans une attaque», ont déclaré les chercheurs. «Le processus d’atténuation en trois étapes prendra probablement des années aux organisations pour terminer le correctif.»

Grub2

Du côté des fournisseurs, le correctif nécessitera la publication de nouveaux installateurs et chargeurs de démarrage pour toutes les versions de Linux, ainsi que de nouvelles versions des «shims» des fournisseurs (les chargeurs de démarrage de première étape susmentionnés) à signer par l’autorité de certificat Microsoft Third-Party UEFI, a averti Eclypsium.

De plus, les fabricants de matériel qui fournissent leurs propres clés dans leur matériel au niveau de l’usine (qui signent directement GRUB2) devront fournir des mises à jour et révoquer leurs propres versions vulnérables de GRUB2.

«Il est important de noter que jusqu’à ce que toutes les versions affectées soient ajoutées à la [liste de révocation du démarrage sécurisé, a.k.a. dbx], un attaquant pourrait utiliser une version vulnérable de shim et GRUB2 pour attaquer le système», ont expliqué les chercheurs. “Cela signifie que chaque appareil qui fait confiance à l’autorité de certification UEFI tierce de Microsoft sera vulnérable pendant cette période.”

Les détails de la faille de GRUB2 partagés avec tout les partis concernés

Eclypsium a coordonné la divulgation responsable de BootHole avec tout les fournisseurs et distributions Linux concernés, notamment Microsoft, l’équipe de réponse de sécurité UEFI (USRT), Oracle, Red Hat (Fedora et RHEL), Canonical (Ubuntu), SuSE (SLES et openSUSE) , Debian, Citrix, VMware et divers OEM et éditeurs de logiciels, dont plusieurs ont émis leurs propres avis.

Microsoft publiera un ensemble de mises à jour dbx signées, qui peuvent être appliquées aux systèmes pour bloquer les shims qui peuvent être utilisés pour charger les versions vulnérables de GRUB2, selon Eclypsium.

«En raison du risque de briser les systèmes ou d’interrompre autrement les flux de travail opérationnels ou de récupération, ces mises à jour dbx seront initialement mises à la disposition des parties intéressées pour qu’elles s’appliquent manuellement à leurs systèmes plutôt que de pousser les entrées de révocation et de les appliquer automatiquement», a noté la société. «Les organisations doivent en outre s’assurer qu’elles disposent des capacités appropriées pour surveiller les chargeurs de démarrage et le micrologiciel UEFI et vérifier les configurations UEFI, y compris les listes de révocation, dans leurs systèmes.»

Les organisations doivent également tester les capacités de récupération de périphérique, y compris la fonctionnalité «réinitialisation aux paramètres d’usine par défaut», afin de pouvoir revenir en arrière si un périphérique est affecté négativement par une mise à jour.

SI cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x