www.belgium.be Logo of the federal government

Alerte – Vulnerabilité BootHole

Alert

Intention

L'objectif de cette alerte est d’attirer l’attention sur la vulnérabilité appelée "BootHole".
Il s'agit d'une vulnérabilité qui touche par sa nature un large éventail de systèmes. L'objectif de cette alerte est de sensibiliser les administrateurs système à cette vulnérabilité et de leur permettre d'agir en conséquence.

Résumé

Cette vulnérabilité appelée "BootHole" est suivie sous le nom de CVE-2020-10713. Elle affecte les systèmes fonctionnant sous Windows et Linux et plus particulièrement le logiciel GRUB2. Ce dernier est utilisé dans l'aspect le plus important de la sécurité de tout périphérique : le processus de démarrage. La vulnérabilité "BootHole" peut être considérée comme un "Bootkit".

Un "Bootkit" est un programme malveillant conçu pour se charger le plus tôt possible dans le processus de démarrage. Cela permet de contrôler toutes les étapes de boot du système d'exploitation en modifiant le code système et les pilotes avant que l'antivirus et les autres composants de sécurité ne soient chargés.

Détails techniques

Même avec une activation du « secure boot », un acteur malveillant pourrait utiliser cette vulnérabilité pour exécuter du code arbitraire pendant le processus d'amorçage. La vulnérabilité en elle-même est un débordement de mémoire tampon qui se produit lors de l'analyse du fichier grub.cfg. Elle se produit de telle manière qu'elle contourne également la vérification de la signature logicielle.

Risques

Une fois qu'un acteur malveillant a un accès physique ou administrateur à un dispositif vulnérable, il peut charger un noyau alternatif (non fiable et modifié) dans le système, créer un « payload » malveillant et provoquer une attaque par débordement de mémoire tampon.

Le plus grand risque est qu'en modifiant le processus de démarrage, un acteur malveillant puisse obtenir une persistance solide et difficile à détecter sur une machine cible. La restauration de la machine ciblée impliquera bien souvent de réinstaller complètement le système.
Quant aux solutions préventives, il existe des solutions de mitigation par marque, nous publierons un lien vers leurs avis respectifs dans la section ci-dessous.