LogoFAIL rootkit en approche, Secure Boot en PLS

[Armaggion]

Information intéressante sur l'exploitation du bug connu sous le nom de "LogoFAIL", un rootkit à la frontière du bootkit puisqu'il exploite une faille UEFI (sans modifier le firmware).

Le principe : Avec un accès physique à la machine, il s'agit de hacker la fonction UEFI qui affiche le logo de constructeur au démarrage du PC grâce à une image "spécialement trafiquée" pour faire planter la fonction. Une fois la main prise grâce au bug, le pirate interagit avec les composants de sécurité TPM (les fameux exigés par Windows 11) pour valider une clé de signature cryptographique correspondant à un grub modifié et un noyau soigneusement patché pour implanter des backdoors. Ensuite reboot de la machine et le tour est joué. Comme le hack prend la main avant même Secure Boot, cette protection ignore totalement ce qui se passe et valide toute la chaîne sans problème.

Il n'y a pas de preuves à ce jour que ce hack soit activement exploité mais ça ne saurait tarder. A date, ça concerne les UEFI développés par Insyde (et qui exécutent Linux évidemment) employés notamment par Acer, HP, Fujitsu et Lenovo. Un patch existe depuis un moment mais encore faut-il l'avoir mis en place sur sa machine.

Source : BRLY-2023-006, CVE-2023-40238, CVE-2023-39538 et la notification de l'éditeur

[Zaar]

Exploiter l'affichage du logo constructeur pour prendre la main sur toute la chaîne, c’est clairement du génie… côté sombre. Des approches innovantes, comme celles utilisant l’intelligence artificielle, pourraient offrir des pistes pour analyser ou anticiper ce genre de faille avant qu’elles ne soient exploitées. Genre, utiliser des systèmes pour générer des modèles ou simulations à partir de ces vulnérabilités pour mieux patcher en amont.