Information intéressante sur l'exploitation du bug connu sous le nom de "LogoFAIL", un rootkit à la frontière du bootkit puisqu'il exploite une faille UEFI (sans modifier le firmware).
Le principe : Avec un accès physique à la machine, il s'agit de hacker la fonction UEFI qui affiche le logo de constructeur au démarrage du PC grâce à une image "spécialement trafiquée" pour faire planter la fonction. Une fois la main prise grâce au bug, le pirate interagit avec les composants de sécurité TPM (les fameux exigés par Windows 11) pour valider une clé de signature cryptographique correspondant à un grub modifié et un noyau soigneusement patché pour implanter des backdoors. Ensuite reboot de la machine et le tour est joué. Comme le hack prend la main avant même Secure Boot, cette protection ignore totalement ce qui se passe et valide toute la chaîne sans problème.
Il n'y a pas de preuves à ce jour que ce hack soit activement exploité mais ça ne saurait tarder. A date, ça concerne les UEFI développés par Insyde (et qui exécutent Linux évidemment) employés notamment par Acer, HP, Fujitsu et Lenovo. Un patch existe depuis un moment mais encore faut-il l'avoir mis en place sur sa machine.
Source : BRLY-2023-006, CVE-2023-40238, CVE-2023-39538 et la notification de l'éditeur
LogoFAIL rootkit en approche, Secure Boot en PLS
LogoFAIL rootkit en approche, Secure Boot en PLS
Pc : Desktop | Linux Mint 22 Wilma | Cinnamon | 6.8.0-48-generic | Intel Core i5-6600K | 16GB | Intel HD Graphics 530 / i915 + NVIDIA GA104 [GeForce RTX 3070] / 550.120