MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Les chercheurs d’ESET ont découvert une faille de sécurité majeure touchant les systèmes UEFI, permettant de contourner UEFI Secure Boot. Cette vulnérabilité (CVE-2024-7344) a été trouvée dans une application signée par le certificat UEFI tiers « Microsoft Corporation UEFI CA 2011 » de Microsoft. Son exploitation permet d’exécuter du code malveillant au démarrage et d’installer des bootkits (tels que Bootkitty ou BlackLotus), même sur des systèmes protégés.
ESET a alerté le CERT/CC en juin 2024, qui a contacté les éditeurs concernés. Le problème est maintenant résolu et Microsoft a révoqué les fichiers compromis lors du Patch Tuesday de janvier 2025.
La faille touche plusieurs logiciels de récupération système développés par sept entreprises : Howyar Technologies, Greenware Technologies, Radix Technologies, SANFONG, Wasay Software Technology, Computer Education System et Signal Computer.
Martin Smolár, chercheur chez ESET qui a découvert de la vulnérabilité affirme : « Le nombre de vulnérabilités UEFI découvertes ces dernières années et les échecs dans leur correction ou la révocation des binaires vulnérables dans un délai raisonnable montrent que même une fonctionnalité aussi essentielle que UEFI Secure Boot ne doit pas être considérée comme une barrière impénétrable. Cependant, ce qui nous préoccupe le plus n’est pas le temps de correction, qui fut relativement bon, mais le fait que ce n’est pas la première fois qu’un binaire UEFI signé et aussi manifestement dangereux est découvert. Cela soulève des questions sur la fréquence de ces techniques dangereuses chez les fournisseurs de logiciels UEFI tiers et sur l’existence potentielle d’autres chargeurs de démarrage similaires. »
Cette vulnérabilité ne se limite pas aux systèmes où le logiciel de récupération est installé : les attaquants peuvent utiliser leur propre copie du binaire vulnérable sur tout système UEFI où le certificat tiers Microsoft est présent. Des droits administrateur sont nécessaires pour déployer les fichiers malveillants sur la partition système EFI. La faille provient de l’utilisation d’un chargeur PE personnalisé plutôt que des fonctions UEFI sécurisées standard. Tous les systèmes UEFI avec signature tierce Microsoft activée sont concernés, sauf les PC Windows 11 Secured-core où cette option est désactivée par défaut.
Pour corriger cette vulnérabilité, il est nécessaire d’appliquer les dernières révocations UEFI de Microsoft. Les systèmes Windows se mettent à jour automatiquement. L’avis officiel sur la vulnérabilité CVE-2024-7344 est disponible auprès de Microsoft. Les utilisateurs Linux doivent se référer au service de micrologiciel de leur distribution.
