Microsoft a utilisé son Copilote de sécurité alimenté par l’IA pour découvrir 20 vulnérabilités jusque-là inconnues dans les chargeurs de démarrage open source GRUB2, U-Boot et Barebox.
GRUB2 (Grand Unified Bootloader) est le chargeur de démarrage par défaut pour la plupart des distributions Linux, y compris Ubuntu, tandis que U-Boot et Barebox sont couramment utilisés dans les périphériques embarqués et IoT.
Microsoft a découvert onze vulnérabilités dans GRUB2, y compris des dépassements d’entiers et de tampons dans les analyseurs de systèmes de fichiers, des failles de commande et un canal secondaire dans la comparaison cryptographique.
De plus, 9 dépassements de tampon dans l’analyse de SquashFS, EXT4, CramFS, JFFS2 et des liens symboliques ont été découverts dans U-Boot et Barebox, qui nécessitent un accès physique pour exploiter.
Les failles nouvellement découvertes affectent les périphériques s’appuyant sur le démarrage sécurisé UEFI, et si les bonnes conditions sont remplies, les attaquants peuvent contourner les protections de sécurité pour exécuter du code arbitraire sur le périphérique.
Bien que l’exploitation de ces failles nécessiterait probablement un accès local aux appareils, les attaques précédentes de bootkit comme BlackLotus y sont parvenues grâce à des infections de logiciels malveillants.
« Alors que les auteurs de menaces auraient probablement besoin d’un accès physique aux périphériques pour exploiter les vulnérabilités U-boot ou Barebox, dans le cas de GRUB2, les vulnérabilités pourraient être exploitées pour contourner le démarrage sécurisé et installer des kits de démarrage furtifs ou potentiellement contourner d’autres mécanismes de sécurité, tels que BitLocker », explique Microsoft.
« Les implications de l’installation de tels kits de démarrage sont importantes, car cela peut accorder aux acteurs de la menace un contrôle total sur l’appareil, leur permettant de contrôler le processus de démarrage et le système d’exploitation, de compromettre d’autres appareils sur le réseau et de poursuivre d’autres activités malveillantes. »
« De plus, cela pourrait entraîner des logiciels malveillants persistants qui restent intacts même après une réinstallation du système d’exploitation ou un remplacement du disque dur. »
Vous trouverez ci-dessous un résumé des failles découvertes par Microsoft dans GRUB2:
- CVE-2024-56737 – Dépassement de tampon dans le montage du système de fichiers HFS en raison d’un strcpy non sécurisé sur une chaîne terminée par un caractère non nul
- CVE-2024-56738 – Attaque par canal latéral dans la fonction de comparaison cryptographique (grub_crypto_memcmp pas à temps constant)
- CVE-2025-0677 – Un débordement d’entier dans la gestion des liens symboliques UFS entraîne un débordement de tampon
- CVE-2025-0678 – Un dépassement d’entier dans la lecture d’un fichier Squash4 entraîne un dépassement de tampon
- CVE-2025-0684 – Un dépassement d’entier dans la gestion des liens symboliques ReiserFS entraîne un dépassement de tampon
- CVE-2025-0685 – Un dépassement d’entier dans la gestion des liens symboliques JFS entraîne un dépassement de tampon
- CVE-2025-0686 – Le débordement d’entiers dans la gestion des liens symboliques RomFS entraîne un débordement de tampon
- CVE-2025-0689 – Lecture hors limites dans le traitement des blocs UDF
- CVE-2025-0690 – Dépassement d’entier signé et écriture hors limites dans la commande de lecture (gestionnaire de saisie au clavier)
- CVE-2025-1118 – la commande dump permet une lecture arbitraire de la mémoire (doit être désactivée en production)
- CVE-2025-1125 – Un débordement d’entier dans l’ouverture d’un fichier compressé HFS provoque un débordement de tampon
Toutes les failles ci-dessus sont classées de gravité moyenne, à l’exception de CVE-2025-0678, qui est classée « élevée » (score CVSS v3.1: 7,8).
Microsoft affirme que Security Copilot a considérablement accéléré le processus de découverte des vulnérabilités dans une base de code volumineuse et complexe, telle que GRUB2, économisant environ 1 semaine de temps nécessaire à l’analyse manuelle.
Non seulement l’outil d’IA a identifié les failles non découvertes auparavant, mais il a également fourni des recommandations d’atténuation ciblées qui pourraient fournir des indications et accélérer la publication de correctifs de sécurité, en particulier dans les projets open source soutenus par des contributeurs bénévoles et de petites équipes de base.
En utilisant les résultats de l’analyse, Microsoft indique que Security Copilot a trouvé des bogues similaires dans des projets utilisant du code partagé avec GRUB2, tels que U-boot et Barebox.
GRUB2, U-boot et Barebox ont publié des mises à jour de sécurité pour les vulnérabilités en février 2025, donc la mise à jour vers les dernières versions devrait atténuer les failles.