Supermicro, Pulse Secure déploient des patchs contre les attaques TrickBoot

0

Supermicro et Pulse Secure ont publié des avis avertissant que certaines de leurs carte mères sont vulnérables au module d’infection de firmware UEFI du malware TrickBot, connu sous le nom de TrickBoot.

L’année dernière, les entreprises de cybersécurité Advanced Intelligence et Eclypsium ont publié un rapport conjoint sur un nouveau module malveillant « TrickBoot » qui est livré par le malware TrickBot.

Une fois exécuté, le module analysera le firmware UEFI d’un appareil pour déterminer s’il a désactivé la « protection d’écriture ». Si c’est le cas, le malware contient les fonctionnalités pour lire, écrire et effacer le firmware.

Cela pourrait permettre au malware d’effectuer diverses activités malveillantes, telles que le brick d’un appareil, en contournant les contrôles de sécurité du système d’exploitation, ou en réinfectant un système même après une réinstallation complète.

Pour vérifier si un UEFI de BIOS a activé la « protection d’écriture », le module utilise le pilote RwDrv.sys de l’utilitaire RWEverything.

« Toutes les requête du firmware de l’UEFI stockées dans la puce flash SPI passent par le contrôleur SPI, qui fait partie du Platform Controller Hub (PCH) sur les plateformes Intel. Ce contrôleur SPI inclut des mécanismes de contrôle d’accès, qui peuvent être verrouillés pendant le processus de démarrage afin d’empêcher la modification non autorisée du firmware UEFI stocké dans la puce de mémoire flash SPI.

Les systèmes modernes sont destinés à permettre à ces protections d’écriture du BIOS d’empêcher la modification du firmware; toutefois, ces protections sont souvent désactivées ou mal configurées. Si le BIOS n’a pas la protection d’écriture, les attaquants peuvent facilement modifier le firmware ou même le supprimer complètement », ont déclaré Eclypsium et Advanced Intel.

La capacité du malware à analyser le firmware d’un appareil est actuellement limitée à des plates-formes Intel spécifiques, y compris Skylake, Kaby Lake, Coffee Lake, Comet Lake.

Supermicro, Pulse Secure publient des avis

Dans un avis publié récemment, Supermicro avertit que certaines de leurs carte mères X10 UP sont vulnérables au malware TrickBoot et ont publié une mise à jour de BIOS « critique » pour permettre la protection de l’écriture.

« Supermicro est conscient du problème Trickboot qui n’est observé qu’avec un sous-ensemble des cartes mères X10 UP. Supermicro permettra d’atténuer cette vulnérabilité », a averti Supermicro dans un avis de sécurité.

Les cartes mères vulnérables de la série X10 UP (« Denlow ») sont énumérés ci-dessous.

  1. X10SLH-F (fin de vie le 11/3/2021)
  2. X10SLL-F (fin de vie depuis le 30/6/2015)
  3. X10SLM-F (fin de vie depuis le 30/6/2015)
  4. X10SLL+-F (fin de vie depuis le 30/6/2015)
  5. X10SLM+-F (fin de vie depuis le 30/6/2015)
  6. X10SLM+-LN4F (fin de vie depuis le 30/6/2015)
  7. X10SLA-F (fin de vie depuis le 30/6/2015)
  8. X10SL7-F (fin de vie depuis le 30/6/2015)
  9. X10SLL-S/-SF (fin de vie depuis le 30/6/2015)

Supermicro a publié la version 3.4 du BIOS pour corriger la vulnérabilité, mais ne l’a déployé publiquement que pour la carte mère X10SLH-F.

Pour les cartes mères qui ont atteint la fin de leur vie, les propriétaires doivent cotacter Supermicro pour avoir accès au nouveau BIOS.

Pulse Secure a également émis un avis car leurs appareils Pulse Secure Appliance 5000 (PSA-5000) et Pulse Secure Appliance 7000 (PSA-7000) utilisent matériel Supermicro vulnérable.

À l’heure actuelle, Pulse Secure a publié un patch de BIOS pour les appareils utilisant Pulse Connect Secure ou Pulse Policy Secure. Les propriétaires de Pulse One (On-Prem Appliance Only) devront attendre un peu plus longtemps pour qu’un patch soit déployé.

Pulse Secure avertit que l’application du patch nécessitera un redémarrage de l’appareil.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.