Deux chercheurs américains viennent de montrer que la manipulation n’était pas si complexe qu’on aurait pu le croire et surtout qu’elle présentait de nombreux « avantages » du point de vue des attaquants.

Deux ans après les premières révélations d’Edward Snowden sur les différents programmes de la NSA, certains avaient été surpris par le nombre et la diversité des outils de l’agence américaine visant à infecter les BIOS des principaux ordinateurs. On ne fera pas l’injure à nos lecteurs d’expliquer les fonctions du BIOS mais nous rappellerons que cette infection peut être qualifiée d’ultime au sens où elle passe bien en-dessous des différents logiciels et autres technologies qui peuvent être installés pour la sécurité de l’ordinateur et que les malwares installés à ce niveau continuent à être présents en cas de réinstallation du système d’exploitation. La seule solution (autre que de mettre le PC à la poubelle) est de flasher ledit BIOS pour se débarrasser du ou des programmes malveillants ou s’assurer qu’il n’en contient pas (à la condition que le BIOS original fourni par le constructeur n’était pas également compromis).

Quelques heures suffisent

D’aucuns pensaient que ces techniques plutôt sophistiquées demeuraient l’apanage des agences à 3 ou 4 lettres : NSA, CIA, FBI, GCHQ, DCRI... Il semble qu’il n’en soit rien. En effet, les chercheurs Xeno Kovah et Corey Kallenberg ont présenté une « proof of concept » lors de la conférence CanSecWest qui s’est tenue la semaine dernière à Vancouver. Durant cet événement, ils ont montré comment ils pouvaient infecter à distance le BIOS de multiples systèmes, à l’aide de vulnérabilités nouvelles qu’ils avaient découvertes en quelques heures. Ils ont également trouvé le moyen de trouver un accès privilégié pour leur malware BIOS afin de compromettre la sécurité de systèmes d’exploitation spécialisés comme Tails, un OS utilisé par des journalistes ou des activistes pour gérer des données sensibles.

Les deux chercheurs ont indiqué que, malgré la présence de systèmes de protections dans les BIOS afin d’empêcher les accès non-autorisés, ils avaient été capables de la bypasser pour reflasher les BIOS et implémenter leurs codes malicieux. Les deux chercheurs travaillaient précédemment pour le Département américain de la Défense et d’autres agences fédérales avant de monter leur société de consulting en sécurité. Lors de leur présentation, ils ont indiqué être capables de découvrir des vulnérabilités dans 80% des PCs qu’ils ont examiné, y compris ceux de marques comme Dell, HP ou Lenovo. De manière ironique, ils ont indiqué que c’était tellement facile qu’ils ont écrit un script pour automatiser le processus et finalement ont arrêté de compter le nombre de vulnérabilités tellement il était important.

Des correctifs peu appliqués

La plupart de ces failles ont été communiquées aux fabricants et ceux-ci préparent actuellement des correctifs. Toutefois, la difficulté est d’appliquer ces modifications sur les PCs en circulation, la manipulation de flasher un BIOS n’étant pas à la portée de tout le monde et pouvant conduire à la perte totale des infos de l’ordinateur si celle-ci n’est pas réalisée correctement.

Pour corrompre les PCs, deux techniques peuvent être employées : par phishing ou directement si l’on a un accès direct à la machine. Dès lors que leur malware est implémenté, ils ont accès à l’ensemble des données de la machine infectée, y compris si celles-ci sont chiffrées puisqu’ils ont la possibilité de récupérer les clés de chiffrement. Ils relèvent enfin que leur malware est quasiment indétectable puisque stocké dans le SMM, un mode utilisé par les processeurs Intel pour gérer certaines fonctions.




Autres News Malwares

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143224
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI