Plus tôt cette semaine, Microsoft a publié un correctif pour corriger un bogue de contournement de démarrage sécurisé utilisé par le bootkit BlackLotus dont nous avons parlé en mars. La vulnérabilité d’origine, CVE-2022-21894, a été corrigée en janvier, mais le nouveau correctif pour CVE-2023-24932 corrige une autre solution de contournement activement exploitée pour les systèmes exécutant Windows 10 et 11 et les versions Windows Server remontant à Windows Server 2008.
Le bootkit BlackLotus est le premier malware du monde réel connu qui peut contourner les protections Secure Boot, permettant l’exécution de code malveillant avant que votre PC ne commence à charger Windows et ses nombreuses protections de sécurité. Secure Boot est activé par défaut depuis plus d’une décennie sur la plupart des PC Windows vendus par des sociétés telles que Dell, Lenovo, HP, Acer et autres. Les PC exécutant Windows 11 doivent l’avoir activé pour répondre à la configuration système requise du logiciel.
Microsoft affirme que la vulnérabilité peut être exploitée par un attaquant disposant soit d’un accès physique à un système, soit de droits d’administrateur sur un système. Cela peut affecter les PC physiques et les machines virtuelles avec Secure Boot activé.
Nous soulignons le nouveau correctif en partie parce que, contrairement à de nombreux correctifs Windows hautement prioritaires, la mise à jour sera désactivée par défaut pendant au moins quelques mois après son installation et en partie parce qu’elle finira par rendre le support de démarrage Windows actuel non démarrable. Le correctif nécessite des modifications du gestionnaire de démarrage Windows qui ne peuvent pas être annulées une fois qu’elles ont été activées.
« La fonction Secure Boot contrôle avec précision le support de démarrage qui est autorisé à se charger lorsqu’un système d’exploitation est lancé, et si ce correctif n’est pas correctement activé, il est possible de provoquer une interruption et d’empêcher un système de démarrer », lit l’un de plusieurs Articles de support Microsoft sur la mise à jour.
De plus, une fois les correctifs activés, votre PC ne pourra plus démarrer à partir d’un ancien support de démarrage qui n’inclut pas les correctifs. Sur la longue liste des supports concernés : les supports d’installation Windows tels que les DVD et les clés USB créés à partir des fichiers ISO de Microsoft ; images d’installation Windows personnalisées gérées par les services informatiques ; sauvegardes complètes du système ; les lecteurs de démarrage réseau, y compris ceux utilisés par les services informatiques pour dépanner les machines et déployer de nouvelles images Windows ; lecteurs de démarrage simplifiés qui utilisent Windows PE ; et les supports de récupération vendus avec les PC OEM.
Ne voulant pas rendre soudainement les systèmes des utilisateurs non démarrables, Microsoft déploiera la mise à jour par phases au cours des prochains mois. La version initiale du correctif nécessite une intervention importante de l’utilisateur pour l’activer – vous devez d’abord installer les mises à jour de sécurité de mai, puis utiliser un processus en cinq étapes pour appliquer et vérifier manuellement une paire de « fichiers de révocation » qui mettent à jour la partition de démarrage EFI cachée de votre système et votre registre. Cela fera en sorte que les versions plus anciennes et vulnérables du chargeur de démarrage ne seront plus approuvées par les PC.
Une deuxième mise à jour suivra en juillet qui n’activera pas le correctif par défaut mais le rendra Plus facile autoriser. Une troisième mise à jour au « premier trimestre 2024 » activera le correctif par défaut et rendra les anciens supports de démarrage non démarrables sur tous les PC Windows corrigés. Microsoft dit qu’il « recherche des opportunités pour accélérer ce calendrier », bien qu’il ne soit pas clair ce que cela impliquerait.
Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET, a décrit la gravité de BlackLotus et d’autres bootkits à Ars lorsque nous l’avons initialement signalé :
La conclusion ultime est que le kit de démarrage UEFI BlackLotus est capable de s’installer sur des systèmes à jour en utilisant la dernière version de Windows avec le démarrage sécurisé activé. Même si la vulnérabilité est ancienne, il est toujours possible de l’exploiter pour contourner toutes les mesures de sécurité et compromettre le processus de démarrage d’un système, donnant à l’attaquant le contrôle de la première phase du démarrage du système. Cela illustre également une tendance où les attaquants se concentrent sur la partition système EFI (ESP) par opposition au micrologiciel pour leurs implants, sacrifiant la furtivité pour un déploiement plus facile, mais permettant un niveau similaire de capacités.
Ce correctif n’est pas le seul incident de sécurité récent à mettre en évidence les difficultés de correction des vulnérabilités de démarrage sécurisé et UEFI de bas niveau ; Le fabricant d’ordinateurs et de cartes mères MSI a récemment vu ses clés de signature divulguées lors d’une attaque de ransomware, et il n’y a pas de moyen simple pour l’entreprise de dire à ses produits de ne pas faire confiance aux mises à jour du micrologiciel signées avec la clé compromise.