Une vulnérabilité grave existe dans presque toutes les versions signées du chargeur de démarrage GRUB2 utilisé par la plupart des systèmes Linux. Lorsqu’elle est correctement exploitée, elle peut permettre aux acteurs de la menace de compromettre le processus de démarrage d’un système d’exploitation même si le mécanisme de vérification Secure Boot est actif.

Bien nommée BootHole, la faille permet d’exécuter du code arbitraire dans le chargeur de démarrage GRUB. Un attaquant pourrait l’utiliser pour planter un malware appelé bootkit qui se charge avant le système d’exploitation (OS).

La compromission d’un système de cette manière confère au malware les privilèges les plus élevés et le rend pratiquement indétectable car il est déjà en cours d’exécution lorsque les solutions de sécurité sur le système d’exploitation deviennent actives.

Malwares persistants et invisibles

Les chercheurs en sécurité de la société de sécurité des microprogrammes et du matériel Eclypsium ont trouvé un débordement de tampon (CVE-2020-10713) qui, dans la manière dont GRUB2 analyse le contenu de son fichier de configuration, «grub.cfg», situé en externe, dans la partition système EFI.

Les acteurs de la menace pourraient modifier «grub.cfg» car il s’agit simplement d’un fichier texte qui ne dispose généralement d’aucune protection d’intégrité telle qu’une signature numérique, comme c’est le cas pour d’autres composants du chargeur de démarrage.

La modification du fichier de configuration de GRUB permet de contrôler le processus de démarrage. Les logiciels malveillants ajoutés de cette manière sont très persistants car ils survivent à une réinstallation du système d’exploitation.

Malgré les dommages qu’il peut causer, BootHole a un score de gravité de 8,2 (élevé) car la modification du fichier de configuration nécessite des privilèges administratifs. Cependant, l’effort en vaut la peine pour certains acteurs.

La récompense serait «une puissante augmentation supplémentaire des privilèges et de la persistance sur l’appareil, même avec le démarrage sécurisé activé et une vérification de signature correcte sur tous les exécutables chargés».