Si le passage des BIOS classiques aux UEFI, plus flexibles et permettant davantage d’interactions entre l'OS et le microprogramme de démarrage a augmenté significativement la vitesse de démarrage de nos bouzins - et la difficulté de changer de système avec le secure boot - cette mise à jour a également introduit de nouvelles vulnérabilités. En effet, grâce à ces nouvelles communications UEFI <-> système hôte, il se pourrait qu'un programme malveillant puisse se loger dans le gestionnaire d'amorçage. Petite parenthèse d'ailleurs, dans la même veine "UEFI pas pratique" : si jamais vous tournez sous un OS manchot, ne vous amusez pas à supprimer le dossier /sys/firmware/efi/efivars/ sous peine de complètement briquer votre machine.... On vous aura prévenu !

 

Cette vulnérabilité est resté longtemps dans le domaine de la théorie pure, mais ce temps est révolu : les trouveurs d'un virus utilisant cette technique sont les employés de chez ESET, une boite spécialisée dans les antivirus, existant depuis 1992 et commercialisant leur solution NOD32. Le programme malveillant a été nommé LoJax ; et il n'est pas si différent de ce à quoi l'on s'attend, si ce n'est qu'il vous sera inutile de formater ou changer votre disque pour s'en débarrasser, puisque le programme viendra s'introduire dans votre UEFI et modifier au démarrage de votre OS certains fichiers système afin de se ré-implanter si besoin est.

 

lojac infection method

Une fois infecté, tout est fichu, il ne reste qu'à réinitialiser et flasher l'UEFI avec une image saine

 

Pour ce faire, le chemin emprunté par le virus est complexe : il lui faut d'abord infecter un driver de communication avec l'UEFI, puis effectuer une sauvegarde complète de ce dernier, l'infecter et le re-flasher, tout cela en passant outre les barrières prévues pour ces trois opérations ! Pour l'instant, seuls les systèmes Windows sont vulnérables de par le format des exécutables, mais une telle menace est tout à fait transposable sur Linux ; les Macs étant pour le coup plutôt épargnés de par leur procédure de boot propriétaire. (Source : Techspot)

 Si la théorie de cette menace n'est pas nouvelle, il s'agit de la première découverte de sa mise en application. 

Sur le comptoir, au même sujet

 
 
 
 
 

afficher plus de prixAffichez donc moi tout, nom de nom

Plus d'infos avec le comptoir de l'info

Voir plus de news
Les 25 Ragots
   
Les ragots sont actuellement
ouverts à tous, c'est open bar !