Un simple logo est capable de pirater un ordinateur sous Windows ou Linux dès les premières étapes du démarrage. Cette tactique exploite une douzaine de failles de sécurité.
Lors de la conférence BlackHat Europe 2023, qui se déroule à Londres, les chercheurs de Binarly ont levé le voile sur un nouveau type d’attaque, baptisé LogoFail. Cette offensive concerne des centaines de modèles d’ordinateurs Windows et Linux, rapporte Ars Technica. Pratiquement toutes les marques d’ordinateurs sont concernées par la découverte.
L’offensive, qui peut être exécutée à distance, s’appuie sur une douzaine de vulnérabilités critiques, jamais identifiées par les développeurs. Les brèches sont présentes depuis des années, voire des décennies, dans le code des systèmes d’exploitation.
« Les vulnérabilités sont présentes dans la plupart des cas à l’intérieur du code source, affectant non pas un seul fournisseur, mais l’ensemble de l’écosystème de ce code et des fournisseurs d’appareils où il est utilisé », explique Binarly, qui précise que LogoFail « ne se limite pas à du matériel spécifique et peut être exploité avec succès sur des appareils x86 ou ARM ».
Comment fonctionne l’attaque LogoFail ?
L’attaque LogoFail cible l’Unified Extensible Firmware Interface (UEFI), l’interface logicielle entre le système d’exploitation et le firmware d’un ordinateur. Ce logiciel intégré assure les fonctions de base nécessaires au démarrage et au fonctionnement de l’ordinateur à la place du traditionnel BIOS, ou Basic Input/Output System.
Concrètement, l’attaque consiste à déployer un logiciel malveillant au cours des premières étapes du processus de démarrage de l’ordinateur. Cette approche permet de contourner une grande partie des mécanismes de sécurité mis en place par les fabricants. Des mesures, comme l’Intel Boot Guard des puces Intel, deviennent alors inefficaces, regrette Binarly. Pour déployer ce maliciel, les chercheurs se sont appuyés sur les analyseurs d’images de l’UEFI. Ceux-ci permettent d’inspecter, valider et charger des images au cours du processus de démarrage de l’ordinateur.
Pour initier l’attaque, un attaquant potentiel n’a qu’à remplacer les images de logo légitimes par des images d’apparence identique, conçues pour exploiter les vulnérabilités de l’UEFI. En clair, il faut substituer le logo Dell, Samsung, HP ou Acer par « une image de logo de démarrage modifiée, déclenchant la livraison de la charge utile ». Dès lors, il est possible d’exécuter du code malveillant sur l’ordinateur. Comme l’expliquent les chercheurs de Binarly, « à partir de cette étape, nous avons un contrôle total sur la mémoire et le disque de l’appareil cible, y compris sur le système d’exploitation qui sera démarré ».
Des correctifs en vue
LogoFAIL peut être exploité de deux manières. D’abord, en profitant de failles non corrigées dans des applications comme les navigateurs web. Après avoir pris le contrôle administrateur, les attaquants remplacent l’image de logo légitime au début du démarrage par une version malveillante. L’autre méthode exige d’obtenir un accès physique à un appareil déverrouillé pour remplacer le fichier image légitime par un fichier malveillant.
Pour se protéger d’éventuelles attaques, les fabricants d’ordinateurs et de cartes mères vont déployer des mises à jour de sécurité UEFI pour corriger les brèches. À ce stade, rien n’indique qu’un pirate a activement exploité la série de vulnérabilités à l’origine de LogoFail. Néanmoins, une attaque par LogoFail est difficile à identifier. Il n’est donc pas impossible qu’une opération soit passée inaperçue.
source : 01net