Mise à jour ajoutée ci-dessous à propos de ce kit de démarrage créé par des étudiants du programme de formation en cybersécurité Best of the Best (BoB) de Corée.
Le kit de démarrage UEFI Linux ‘Bootkitty’ récemment découvert exploite la faille LogoFAIL, identifiée comme CVE-2023-40238, pour cibler les ordinateurs fonctionnant sur un micrologiciel vulnérable.
Ceci est confirmé par la société de sécurité du micrologiciel Binarly, qui a découvert LogoFAIL en novembre 2023 et a mis en garde contre son potentiel d’utilisation dans des attaques réelles.
Connexion au kit de démarrage et à LogoFAIL
Bootkitty a été découvert par ESET, qui a publié un rapport la semaine dernière, notant qu’il s’agit du premier kit de démarrage UEFI ciblant spécifiquement Linux. Cependant, à l’heure actuelle, il s’agit davantage d’un malware UEFI en développement qui ne fonctionne que sur des versions spécifiques d’Ubuntu, plutôt que d’une menace généralisée.
LogoFAIL est un ensemble de failles dans le code d’analyse d’image des images de micrologiciels UEFI utilisées par divers fournisseurs de matériel, exploitables par des images malveillantes ou des logos plantés sur la partition système EFI (ESP).
« Lorsque ces images sont analysées au démarrage, la vulnérabilité peut être déclenchée et une charge utile contrôlée par un attaquant peut être exécutée arbitrairement pour détourner le flux d’exécution et contourner les fonctionnalités de sécurité telles que le démarrage sécurisé, y compris les mécanismes de démarrage vérifiés basés sur le matériel », a expliqué Binarly précédemment.
Selon le dernier rapport de Binarly, Bootkitty intègre le shellcode dans les fichiers BMP (‘logofail.bmp ‘ et ‘ faux logofail.bmp’) pour contourner les protections Secure Boot en injectant des certifications non autorisées dans la variante MokList.
Le fichier ‘ logo.le fichier’ bmp ‘ incorpore du shellcode à sa fin, et une valeur de hauteur négative (0xfffffd00) déclenche la vulnérabilité d’écriture hors limites lors de l’analyse.
La liste Mok légitime est remplacée par un certificat non autorisé, autorisant effectivement un chargeur de démarrage malveillant (‘boot kit.efi’).
Après avoir dévié l’exécution vers le shellcode, Booty kitty restaure les emplacements de mémoire écrasés dans la fonction vulnérable (RLE8ToBlt) avec les instructions d’origine, de sorte que tout signe d’altération évidente est effacé.
Impact sur le matériel spécifique
Binarly dit que Bootkitty pourrait avoir un impact sur tout périphérique qui n’a pas été corrigé contre LogoFAIL, mais son shellcode actuel attend un code spécifique utilisé dans les modules de micrologiciel trouvés sur les ordinateurs Acer, HP, Fujitsu et Lenovo.
L’analyse du chercheur sur le bootkit.le fichier efi a déterminé que les périphériques Lenovo basés sur Insyde sont les plus sensibles, car Bootkitty référence des noms de variables et des chemins spécifiques utilisés par cette marque. Cependant, cela pourrait indiquer que le développeur ne fait que tester le kit de démarrage sur son propre ordinateur portable et ajoutera ultérieurement la prise en charge d’une plus large gamme d’appareils.
Certains appareils largement utilisés dont le dernier micrologiciel est toujours vulnérable aux exploits LogoFAIL incluent IdeaPad Pro 5-16IRH8, Lenovo IdeaPad 1-15IRU7, Lenovo Legion 7-16IAX7, Lenovo Legion Pro 5-16IRX8 et Lenovo Yoga 9-14IRP8.
« Cela fait plus d’un an que nous avons sonné l’alarme pour la première fois à propos de LogoFAIL et pourtant, de nombreuses parties affectées restent vulnérables à une ou plusieurs variantes des vulnérabilités LogoFAIL », prévient Binarly.
« Bootkitty sert de rappel brutal des conséquences lorsque ces vulnérabilités ne sont pas correctement corrigées ou lorsque les correctifs ne sont pas correctement déployés sur les appareils sur le terrain. »
Si vous utilisez un appareil sans mises à jour de sécurité disponibles pour atténuer le risque d’échec du journal, limitez l’accès physique, activez le démarrage sécurisé, protégez les paramètres UEFI/BIOS par mot de passe, désactivez le démarrage à partir d’un support externe et téléchargez uniquement les mises à jour du micrologiciel à partir du site Web officiel de l’OEM.
Mise à jour 12/2/24: ESET a mis à jour son article original BootKitty aujourd’hui, déclarant que le projet avait été créé par des étudiants en cybersécurité du programme de formation Best of the Best (BoB) de Corée.
« L’objectif principal de ce projet est de sensibiliser la communauté de la sécurité aux risques potentiels et d’encourager des mesures proactives pour prévenir des menaces similaires », a déclaré le programme à ESET.
« Malheureusement, peu d’échantillons de bootkit ont été divulgués avant la présentation prévue de la conférence. »