Un premier malware se logeant dans l'UEFI découvert |
————— 01 Octobre 2018 à 17h11 —— 19440 vues
Un premier malware se logeant dans l'UEFI découvert |
————— 01 Octobre 2018 à 17h11 —— 19440 vues
Si le passage des BIOS classiques aux UEFI, plus flexibles et permettant davantage d’interactions entre l'OS et le microprogramme de démarrage a augmenté significativement la vitesse de démarrage de nos bouzins - et la difficulté de changer de système avec le secure boot - cette mise à jour a également introduit de nouvelles vulnérabilités. En effet, grâce à ces nouvelles communications UEFI <-> système hôte, il se pourrait qu'un programme malveillant puisse se loger dans le gestionnaire d'amorçage. Petite parenthèse d'ailleurs, dans la même veine "UEFI pas pratique" : si jamais vous tournez sous un OS manchot, ne vous amusez pas à supprimer le dossier /sys/firmware/efi/efivars/ sous peine de complètement briquer votre machine.... On vous aura prévenu !
Cette vulnérabilité est resté longtemps dans le domaine de la théorie pure, mais ce temps est révolu : les trouveurs d'un virus utilisant cette technique sont les employés de chez ESET, une boite spécialisée dans les antivirus, existant depuis 1992 et commercialisant leur solution NOD32. Le programme malveillant a été nommé LoJax ; et il n'est pas si différent de ce à quoi l'on s'attend, si ce n'est qu'il vous sera inutile de formater ou changer votre disque pour s'en débarrasser, puisque le programme viendra s'introduire dans votre UEFI et modifier au démarrage de votre OS certains fichiers système afin de se ré-implanter si besoin est.
Une fois infecté, tout est fichu, il ne reste qu'à réinitialiser et flasher l'UEFI avec une image saine
Pour ce faire, le chemin emprunté par le virus est complexe : il lui faut d'abord infecter un driver de communication avec l'UEFI, puis effectuer une sauvegarde complète de ce dernier, l'infecter et le re-flasher, tout cela en passant outre les barrières prévues pour ces trois opérations ! Pour l'instant, seuls les systèmes Windows sont vulnérables de par le format des exécutables, mais une telle menace est tout à fait transposable sur Linux ; les Macs étant pour le coup plutôt épargnés de par leur procédure de boot propriétaire. (Source : Techspot)
Un poil avant ?Test de scaling des APU Raven Ridge | Un peu plus tard ...Unreal Engine 4 : plus vers les mobiles, mais pas que... |