Des milliards d’appareils Windows et Linux sont affectés par une grave vulnérabilité de chargeur de démarrage GRUB2 qui pourrait être exploitée pour installer des logiciels malveillants persistants et furtifs, a révélé mercredi la société de sécurité de micrologiciels Eclypsium.

La vulnérabilité, suivie comme CVE-2020-10713 et surnommée BootHole, a un score CVSS de 8,2 et Eclypsium dit qu’il affecte tous les systèmes d’exploitation qui utilisent GRUB2 avec Secure Boot, un mécanisme conçu pour protéger le processus de démarrage contre les attaques. En fait, la société affirme que la faille affecte les machines qui utilisent Secure Boot même si elles n’utilisent pas GRUB2.

«Presque toutes les versions signées de GRUB2 sont vulnérables, ce qui signifie que pratiquement toutes les distributions Linux sont affectées», a expliqué Eclypsium dans son rapport. «De plus, GRUB2 prend en charge d’autres systèmes d’exploitation, noyaux et hyperviseurs tels que Xen. Le problème s’étend également à tout appareil Windows qui utilise Secure Boot avec l’autorité de certification Microsoft Third Party UEFI standard. »

La société affirme que la vulnérabilité affecte la majorité des ordinateurs portables, des ordinateurs de bureau, des postes de travail et des serveurs, ainsi que les appareils et équipements réseau utilisés dans les secteurs de la santé, de l’industrie et de la finance.

Les acteurs de la menace pourraient exploiter cette vulnérabilité pour installer des bootkits ou des bootloaders malveillants qui leur donneraient le contrôle du périphérique ciblé. Les chercheurs d’Eclypsium ont noté que l’exploitation de la vulnérabilité nécessite des privilèges d’administrateur sur le périphérique ciblé, mais une exploitation réussie permet à l’attaquant d’obtenir des privilèges encore plus élevés et d’atteindre la persistance.

BootHole a été décrit comme une faille de dépassement de mémoire tampon liée à la façon dont GRUB2 analyse son grub.cfg fichier de configuration. Un attaquant peut modifier ce fichier, qui est un fichier texte non signé typiquement présent dans la partition système EFI, pour s’assurer que son code malveillant est exécuté dans l’environnement d’exécution UEFI, avant le chargement du système d’exploitation. Cela permet au …

Voir la source de cette publication