Intention
L'objectif de cette alerte est d’attirer l’attention sur la vulnérabilité appelée "BootHole".
Il s'agit d'une vulnérabilité qui touche par sa nature un large éventail de systèmes. L'objectif de cette alerte est de sensibiliser les administrateurs système à cette vulnérabilité et de leur permettre d'agir en conséquence.
Résumé
Cette vulnérabilité appelée "BootHole" est suivie sous le nom de CVE-2020-10713. Elle affecte les systèmes fonctionnant sous Windows et Linux et plus particulièrement le logiciel GRUB2. Ce dernier est utilisé dans l'aspect le plus important de la sécurité de tout périphérique : le processus de démarrage. La vulnérabilité "BootHole" peut être considérée comme un "Bootkit".
Un "Bootkit" est un programme malveillant conçu pour se charger le plus tôt possible dans le processus de démarrage. Cela permet de contrôler toutes les étapes de boot du système d'exploitation en modifiant le code système et les pilotes avant que l'antivirus et les autres composants de sécurité ne soient chargés.
Détails techniques
Même avec une activation du « secure boot », un acteur malveillant pourrait utiliser cette vulnérabilité pour exécuter du code arbitraire pendant le processus d'amorçage. La vulnérabilité en elle-même est un débordement de mémoire tampon qui se produit lors de l'analyse du fichier grub.cfg. Elle se produit de telle manière qu'elle contourne également la vérification de la signature logicielle.
Risques
Une fois qu'un acteur malveillant a un accès physique ou administrateur à un dispositif vulnérable, il peut charger un noyau alternatif (non fiable et modifié) dans le système, créer un « payload » malveillant et provoquer une attaque par débordement de mémoire tampon.
Le plus grand risque est qu'en modifiant le processus de démarrage, un acteur malveillant puisse obtenir une persistance solide et difficile à détecter sur une machine cible. La restauration de la machine ciblée impliquera bien souvent de réinstaller complètement le système.
Quant aux solutions préventives, il existe des solutions de mitigation par marque, nous publierons un lien vers leurs avis respectifs dans la section ci-dessous.
Fournisseurs concernés et mitigations
Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV20...
Oracle (pas de mitigation disponible)
Red Hat https://access.redhat.com/security/vulnerabilities/grub2bootloader
Canonical https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-10713.html
SuSE https://www.suse.com/c/suse-addresses-grub2-secure-boot-issue/
Debian https://www.debian.org/security/2020/dsa-4735
Citrix (pas de mitigation disponible)
VMware https://kb.vmware.com/s/article/80181
UEFI Forum https://uefi.org/revocationlistfile (updated revocation list)
HP https://support.hp.com/us-en/document/c06707446
HPE https://techhub.hpe.com/eginfolib/securityalerts/Boot_Hole/boot_hole.html
NSA https://media.defense.gov/2020/Jul/30/2002467902/-1/-1/0/CSA_MITIGATE_TH...