Découverte d'une vilaine faille dans les pilotes d'une 20aine de constructeurs... Ouch ?

Pour changer un peu des RX 5700 customs, revoici un trou dans la sécurité de nos machines à rajouter à une liste qui n'a de cesse de s'allonger. C'est une seule vulnérabilité que l'entreprise de recherche en cybersécurité Eclypsium annonce avoir découvert, mais qui concernerait beaucoup d'entreprises, approximativement une 20aine de constructeurs (plusieurs noms sont encore sous embargo) de matériel informatique en tout genre, parmi lesquels des marques bien connues telles que : AMD, Intel, NVIDIA, ASUS, Toshiba, GIGABYTE, MSI, Huawei, SuperMicro, Phoenix et EVGA.

Le rapport intitulé "Screwed Drivers" - "Conducteurs Vissés" si vous avez le malheur de laisser Google faire la traduction pour vous, quelque chose de plus juste sera "Pilotes Foutus" - met en évidence une faille dans la conception de plus de 40 pilotes logiciels WHQL (certifiés par Microsoft) distribués par les constructeurs mentionnés et qui permettrait à un programme malveillant de passer d'un privilège Ring 3 au Ring 0, pouvant ainsi gagner un accès matériel illimité !

All these vulnerabilities allow the driver to act as a proxy to perform highly privileged access to the hardware resources, such as read and write access to processor and chipset I/O space, Model Specific Registers (MSR), Control Registers (CR), Debug Registers (DR), physical memory and kernel virtual memory. This is a privilege escalation as it can move an attacker from user mode (Ring 3) to OS kernel mode (Ring 0).
It is important to note that even Administrators operate at Ring 3 (and no deeper), alongside other users. Access to the kernel can not only give an attacker the most privileged access available to the operating system, it can also grant access to the hardware and firmware interfaces with even higher privileges such as the system BIOS firmware."

Sans déjà trop aller dans les détails, Eclypsium distingue pour l'instant trois types d'attaques connues à ce jour dans ce cadre d'escalade de privilèges via pilote logiciel : RWEverything, Lojax (le 1er malware UEFI) et Slingshot. En pratique, ces attaques exploitent la manière dont Windows - toutes les versions modernes - continue à travailler avec des pilotes défectueux, obsolètes ou dont le certificat de signature est périmé. Comme de coutume, la publication du whitepaper de travail de recherche est encore sous embargo (comme l'identité de certaines entreprises affectées)  pendant qu'Eclypsium travaille avec les constructeurs à l'élaboration des mesures de sécurité nécessaires.

It is of particular concern that the drivers in question were not rogue or unsanctioned – in fact, just the opposite. All the drivers come from trusted third-party vendors, signed by valid Certificate Authorities, and certified by Microsoft. Both Microsoft and the third-party vendors will need to be more vigilant with these types of vulnerabilities going forward. These issues apply to all modern versions of Microsoft Windows and there is currently no universal mechanism to keep a Windows machine from loading one of these known bad drivers. Implementing group policies and other features specific to Windows Pro, Windows Enterprise and Windows Server may offer some protection to a subset of users.

Néanmoins, une présentation DEF CON, ainsi qu'un résumé PDF de "Screwed Drivers" ont été publié par la compagnie de recherche en attendant. Le PDF explique brièvement en quoi consiste le travail, tandis que la présentation PowerPoint détaille notamment les menaces et leurs dangers, et en profite aussi pour pointer du doigt les "bons" et "mauvais" élèves (par exemple, ASRock aurait ainsi gagné le titre de "Pilote le plus mauvais des USA"), le tout avec une p'tite pointe d'humour 2.0 mème à l'appui (tous les liens sont ci-dessous).

To make matters worse, in this case, the very drivers and tools that would be used to update the firmware are themselves vulnerable and provide a potential avenue for attack. As a result, organizations should not only continuously scan for outdated firmware, but also update to the latest version of device drivers when fixes become available from device manufacturers.

Bref, ça fait une sacrée cerise en plus sur le gâteau de la sécurité en informatique ! Certes, il vaut mieux tard que jamais. Mais surtout, vu le panel d'entreprises impliquées, il faudra évidemment penser à garder un œil sur les mises à jour - des pilotes, mais aussi des logiciels de mise à jour eux-mêmes -  qui ne manqueront (normalement) pas d'être distribuées progressivement par les constructeurs dans les semaines à venir ! Linux n'est a priori pas concerné et ce serait normal vu son fonctionnement différent du noyau.