Connexion
Abonnez-vous

Quand les hackers s’attaquent aux BIOS/UEFI pour lire tout ce qui transite dans l’ordinateur

La solution ne sera pas simple

Quand les hackers s'attaquent aux BIOS/UEFI pour lire tout ce qui transite dans l'ordinateur

Le 01 avril 2015 à 06h15

L’écrasante majorité des malwares intervient au cœur du système d’exploitation. Le monde de la sécurité sait qu’un tel angle d’attaque n’est pourtant pas idéal et que viser le matériel peut s’avérer bien plus profitable. Or, deux chercheurs ont démontré récemment lors de la conférence CanSecWest qu’il était possible de contaminer des BIOS/UEFI de manière aisée, sans que les utilisateurs ne puissent y faire quoi que ce soit.

Attaquer le matériel, une solution beaucoup plus efficace

Si attaquer un système d’exploitation devient graduellement plus compliqué, c’est parce que le niveau de sécurité augmente sans cesse. Par exemple via l'ASLR, une technique qui consiste à déplacer dans la mémoire certains composants clés afin que leurs adresses ne soient pas prévisibles. Mais rien n'est impossible et les malwares puisant dans les failles sont encore nombreux. Il existe d’ailleurs toute une activité commerciale souterraine autour des failles 0-day, d’autant plus utilisables et recherchées que les éditeurs concernés n’en sont même pas informés. Conséquence : aucun correctif n’est disponible.

Mais même si ces failles sont efficaces et qu’on les retrouve systématiquement dans les attaques de haute volée que l’on peut constater depuis des années (ou dans l’arsenal de la NSA), elles ne représentent pas forcément le moyen le plus efficace d'atteindre une ou plusieurs cibles. Idéalement, les pirates, hackers ou agents du renseignement visent le matériel. La raison principale en est simple : la plupart du temps, il est très difficile de déloger un code malveillant implanté par exemple dans une puce.

La contrepartie est bien entendu que l’opération est plus délicate à réaliser, comme on a pu le voir récemment avec GrayFish, un malware que l’on retrouvait dans le firmware de certains disques durs émanant de Western Digital, Seagate, Samsung et d’autres constructeurs. Cette découverte rappelait que l’inclusion d’un code dans un firmware était possible, mais qu’elle demandait un vaste travail préparatoire. Mais que se passerait-il si l’opération était simple à réaliser ?

Une solution simple permettant d'infecter des millions de machines

C’était justement le thème d’une présentation à la conférence CanSecWest en fin de semaine dernière. Les chercheurs Xeno Kovah et Corey Kallenberg, des anciens de chez MITRE, ont ainsi fait la démonstration d’une méthode capable d’ouvrir les portes d'un BIOS ou d'un UEFI, un concept qui n'est pas nouveau, mais dont la mise en place n'était pas des plus simples.

lighteater bios malwarelighteater bios malware

Ils sont partis d'une faille découverte en 2008 dans le SMM (System Management Mode), une fonctionnalité créée initialement par Intel et permettant aux BIOS (puis par extension aux UEFI) de garder la main pour certaines actions, avec un haut niveau de privilège. Cette faille permettait à un hacker de reprogrammer manuellement le BIOS/UEFI, soit via un accès physique, soit à distance via un outil permettant de flasher le composant. Il ne s'agissait pourtant pas du premier signal d'alarme au sujet du SMM, puisque Loïc Duflot, de la Direction Centrale de la Sécurité des Systèmes d’Information (devenue depuis l'ANSSI), avertissait déjà de problèmes potentiels lors de la conférence BlackHat de 2006. Il est même revenu sur le sujet trois ans plus tard

S'en prendre au BIOS/UEFI via le SMM est un concept qui a depuis été abordé plusieurs fois, comme en 2009 par les chercheurs Rafal Wojtczuk et Alexander Tereshkin, lors d'une autre conférence BlackHat. L'année dernière, Xeno Kovah et Corey Kallenberg, au sein d'une autre équipe, ont montré que le SMM pouvait être utilisé pour briser la chaine du Secure Boot, l'une des capacités de l'UEFI.

Mais cette nouvelle démonstration de Xeno Kovah et de Corey Kallenberg prouve que la communauté de la sécurité doit se pencher de près sur le piratage des composants matériels et de leurs firmwares. Ils indiquent ainsi que, pendant longtemps, cette capacité était réservée à des hackers et pirates de haut rang, mais que leur nouvelle méthode est justement si simple à mettre en place qu’elle permettrait à un simple passionné d’informatique, avec quelques connaissances, de provoquer la contamination de millions de machines.

bios uefi smm malware

Or, un BIOS/UEFI contaminé représente un vrai problème car il n’existe pas de moyen simple de le nettoyer. La plupart des antivirus n’ont pas ce genre de fonctionnalité et la publication de nouvelles versions par les constructeurs de cartes mères se heurtera fatalement à la méconnaissance des utilisateurs, au manque d’informations et de savoir pratique.

Une vraie différence face à la motivation des pirates selon les chercheurs, qui indiquent n’avoir eu besoin que de quelques heures pour trouver des très nombreuses failles leur permettant cette infiltration dans l'UEFI. Dans une interview accordée à nos confrères de Threatpost, Corey Kallenberg indique que « la plupart des BIOS [NDLR : et des UEFI] ont des protections contre les modifications », mais ajoute avoir trouvé un moyen « d'automatiser la découverte de failles dans cet espace et de casser les protections ».

Et si leur solution est si efficace potentiellement, c’est que la plupart des BIOS/UEFI reprennent en série le même code de base que celui qui est fourni par leurs éditeurs. De fait, l'opération peut être répétée sur de nombreuses machines, y compris de marques différentes, ce qui en fait justement sa force si l'on en croit ses concepteurs.

Le malware peut rester caché et lire tout ce qui transite par la mémoire vive

Pour exploiter les failles, les chercheurs ont donc créé un malware, nommé LightEater, dont la mission est de prendre le contrôle du SMM. Pour l'installer, il faudra par contre disposer d'un accès physique à la machine, ou bien un accès à distance afin de mettre à jour l'UEFI. Les hackers parlent également de BIOS au sens large du terme dans leur démonstration, mais il n'est pas clairement précisé si LightEater s'attaque également aux BIOS d'anciennes générations en plus des UEFI  qui sont par contre bien concernés.

La suite est prévisible : LightEater se sert de ces privilèges pour ses propres actions, ce qui le rend très complexe à supprimer. Les chercheurs indiquent l'avoir proposé aux fabricants de cartes mères depuis la fin de l'année dernière afin qu'ils puissent tester par eux-mêmes leur sécurité, mais LightEater n'est pas disponible en téléchargement accessible à tout le monde.

Selon les chercheurs, le niveau de privilège est tel que des distributions Linux spécialement dans la sécurité, à l’instar de Tails, ne peuvent rien faire non plus pour s’en débarrasser. En fait, le malware reste invisible. Caché au sein de l'UEFI, il peut provoquer le téléchargement d’un keylogger (enregistreur de frappes au clavier), installer un rootkit et ainsi de suite.

lighteater bios malwarelighteater bios malware

Mais le vrai problème de LightEater est ce qu’il sous-entend. Hors d’atteinte de la plupart des solutions de sécurité, le malware peut ainsi lire toutes les données qui transitent dans la mémoire de l’ordinateur. À titre de comparaison, la faille Heartbleed permettait d'accéder facilement à 64 ko de données maximum dans la mémoire vive, ce qui pouvait déjà avoir des conséquences dramatiques, mais il est ici question de l'intégralité de la RAM par exemple.

Une distribution comme Tails par exemple peut s’exécuter depuis une clé USB et n’est donc pas concernée par les menaces qui seraient présentes sur le disque dur. Elle ne pourra par contre rien faire si la mémoire est analysée constamment pour y repérer des données « croustillantes », les exfiltrer puis les stocker ailleurs, voire les envoyer directement vers un serveur distant, sans passer par le système d'exploitation, ce dont est capable LightEater. C'est justement toute la nouveauté de ce dernier : il ressemble à une vaste trousse à outils capable de mettre en pratique toutes les méthodes d'exploitation vues précédemment, en plus d'en apporter de nouvelles et de simplifier l'ensemble.

Une efficacité qui fait dire à Kovah et Kallenberg : « Notre implant SMM réside dans un lieu que personne ne vérifie aujourd’hui pour vérifier justement qu’il existe un implant. Le SMM peut lire la mémoire vive de n’importe qui, mais personne ne peut lire la mémoire du SMM ». Ce qui sous-entend, pour les chercheurs, que même si Edward Snowden s’est servi de Tails pour échanger des documents avec les journalistes, il ne peut avoir aucune garantie que ces communications n’ont pas été espionnées. Les chercheurs posent en effet la question : si eux n’ont mis que quelques heures pour trouver des failles puis pour créer une solution redoutable d’efficacité, qu’est-ce qui empêche la NSA et les autres agences de renseignement de faire de même ?

Durant la conférence, des démonstrations de prises de contrôles via le malware LightEater ont été faites sur des machines MSI, HP et Asus, illustrant à tour de rôle les trois branches de l'arbre de décision ci-dessous :

BIOS UEFI attaques LightEater

De gros travaux en perspective, mais certains constructeurs ont déjà répondu présent

La solution ne sera pas simple, comme nous l’avons plus tôt dans l’article. La correction des failles se heurte à une véritable barrière de praticité : comment amener les systèmes vulnérables à être colmatés ? Il faut encore que les constructeurs aient des patchs à disposition, ce qui, selon les chercheurs, n’est pas forcément le cas. Et la situation est loin d’être réglée puisqu’ils indiquent qu’ils continuent à trouver des failles depuis la présentation initiale de leurs découvertes à la CanSecWest.

Il y a quand même quelques « bonnes nouvelles ». Ainsi, Dell et Lenovo ont pris conscience du danger et proposent (ou vont le faire) de nouveaux UEFI, qu’il faut évidemment installer sur le parc de machines déjà en place. En outre, les chercheurs indiquent travailler avec Intel pour mettre au point une véritable isolation du SMM. Il faudra cependant du temps et un support de la part des constructeurs de cartes mères.

Notez quand même que dans une réponse récente donnée au CERT, Intel a indiqué que ses processeurs, à partir de la génération Haswell, disposaient d'une fonctionnalité optionnelle permettant de verrouiller le SMM. Le cas des plateformes AMD n'est par contre pas du tout évoqué. De notre côté, nous avons contacté Intel, l'équipe de chercheurs ainsi que certains fabricants de carte mères afin d'avoir de plus amples informations, sans aucun retour pour le moment.

Commentaires (39)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il y a aussi des sessions au defcon qui en ont parlé… c’est pas un poisson l’attaque du bios/uefi malheureusement

votre avatar

C’est bon, n’insistez pas, on tombera pas dans le panneau.

votre avatar

L’article me paraissait bien sérieux pour que ce soit un poisson d’avril ….

votre avatar

<img data-src=" />

votre avatar

Les détecteurs de poisson pris à leur propre piège <img data-src=" />



“Aujourd’hui je ne croirai rien de ce qu’on me dira” <img data-src=" />

votre avatar







beberone a écrit :



heu… on est bien le 1er avril là ?









Shwaiz a écrit :



On est le 1er avril. Plus c’est gros, plus c’est crédible.









killer63 a écrit :



poisson, blague, farce, toussa toussa &nbsp;









the_pinkfloyd a écrit :



Heu ce n’est pas un poisson on en trouve deja cette news en Mars… croiser les infos, toujours croiser les infos..



http://it.slashdot.org/story/15/03/22/0910241/lighteater-malware-attack-places-m…





Ce n’est effectivement pas un poisson d’avril.

La news est déjà passée la semaine dernière sur d’autres sites plus spécialisés science/techno.

http://www.futura-sciences.com/magazines/high-tech/infos/actu/d/pc-securite-informatique-millions-bios-ouverts-piratage-57597/



Par contre, le support des constructeurs changera-t-il vraiment quoique ce soit?



Quand on voit comme les entreprises ms, google &cie ont collaboré avec la NSA et consorts pour véroler leurs solutions, rien n’empêche les constructeurs de faire de même.

D’ailleurs, je me souviens qu’à une époque, les journalistes parlaient de “backdoors” dans les processeurs et puces de communication conçus spécifiquement pour permettre un accès sans restriction aux agences de renseignement.

&nbsp;


votre avatar

“retrouvait dans le firmware de certains disques&nbsp;durs émanant”



J’ai manqué cette actu, merci pour le lien.

votre avatar

Trop gros passera pas !

&nbsp; <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

Je pense que l’information est vraie, mais seule l’image avec le poisson est une farce… Une farce dans une vraie news quoi<img data-src=" />

votre avatar

bah dans le schéma on retrouve des poissons… Donc bon <img data-src=" />

votre avatar

Pas impossible, mais un peu vicieux <img data-src=" />

votre avatar
votre avatar

Cette histoire me fait penser à l’histoire Badbios,&nbsp; qui a émergé il y a quelques temps déjà : le concept était un malware implanté à un niveau très proche du matériel, et capable de se répliquer via transmission sonore.

Il y a avait des gros doutes quant à la véracité de cette histoire, je ne sais pas où ça en est depuis.



&nbsp;

&nbsp;

la publication de nouvelles versions par les constructeurs de cartes

mères se heurtera fatalement à la méconnaissance des utilisateurs, au

manque d’informations et de savoir pratique.



Il n’y a qu’à voir le nom de toolbars pour les fureteurs installées chez les michu pour s’en convaincre <img data-src=" />



&nbsp;

votre avatar

Mais ce SONT des vicieux <img data-src=" />



ViceInpact, c’est pour bientôt.

votre avatar

En dehors du fait que d’autres ont déjà fourni des sources complémentaires, rien que la richesse informative de l’article suffisait à comprendre que ce n’est pas un poisson d’avril. Vous pensez vraiment que l’équipe a le temps de passer 2 heures (p’tetre même plus) juste pour monter un poisson crédible sur la sécurité ?



Perso j’en doute fort… <img data-src=" />

votre avatar

les gars ils ont bossé sur celui là <img data-src=" />

votre avatar

Soit c’est un poisson d’avril, dans ce cas là chapeau. Poisson très détaillé.

Soit ça ne l’est pas, dans ce cas là: Qu’attendent-ils pour rendre ce composant logiciel sous licence libre et permettre à tout à chacun (avec les bonne connaissances) de faire le sien?

votre avatar

Bon poisson d’avril oblige …



Ceci dit, j’ai un truc que j’aimerais bien faire avec mon uefi depuis quelques temps et je trouve pas vraiment beaucoup de reponse et je ne suis pas specialsite bios/uefi …



J’ai un desktop, comme beaucoup, config gaming, ssd etc… qui est plutot rapide. Sauf que le truc qui me fout les boules a cote de ma tablette/ultrabook c’est que autant l’os prend simplement quelques secondes a charge mais que passe le bios etc (donc tout ce qui ce passe avant le logo windows) ca prend un bon bout de temps.



Y’en a qui connaitraient des astuces pour ameliorer ca ?

votre avatar







Lafisk a écrit :



Bon poisson d’avril oblige …



Ceci dit, j’ai un truc que j’aimerais bien faire avec mon uefi depuis quelques temps et je trouve pas vraiment beaucoup de reponse et je ne suis pas specialsite bios/uefi …



J’ai un desktop, comme beaucoup, config gaming, ssd etc… qui est plutot rapide. Sauf que le truc qui me fout les boules a cote de ma tablette/ultrabook c’est que autant l’os prend simplement quelques secondes a charge mais que passe le bios etc (donc tout ce qui ce passe avant le logo windows) ca prend un bon bout de temps.



Y’en a qui connaitraient des astuces pour ameliorer ca ?







Ne plus éteindre ton ordinateur <img data-src=" /><img data-src=" /><img data-src=" />


votre avatar

Bravo

votre avatar

Je ne sais pas trop quel BIOS/UEFI tu as, mais tu dois avoir quelque chose qui ressemble à ça quelque part:



http://1drv.ms/1DsQ8nf



Tu peux réduire le délai du POST, voire le zapper et passer par un logo.

votre avatar







Vincent_H a écrit :



<img data-src=" />





Tu vas cracher le morceau oui ? <img data-src=" />


votre avatar

Pour les non-convaincus que ça existe pour de vrai <img data-src=" />youtube.com YouTubeyoutube.com YouTube

votre avatar







beberone a écrit :



heu… on est bien le 1er avril là ?





Lis les liens derrière, même si c’est le jour des blagues, ça parait réel (et par consséquent dangereux).


votre avatar

Merci j’ai regarde, j’ai pas tout a fait pareil mais j’ai pu degager le post par le logo au moins (il me semble que j’avais fait l’operation inverse quand je cherchais deja a ameliorer ce temps a la base). La difference de temps est pas encore flagrante mais je pense que ca passe legerement plus vite en effet. C’est dommage de ne pas pouvoir faire comme avec des configs non extensible type tablette/portable quand meme…

votre avatar

De rien.

Mais c’est quand même étrange que ce soit long sur un desktop. Chez moi, le logo Asus remplace le POST à l’affichage, et je l’ai réglé sur 3 secondes, c’est déjà rapide, mais si je mets moins, j’aurais à peine pas le temps d’appuyer sur F8 (ou supp), et comme je fais des multiboots matériel, c’est comme ça que je change d’OS et de disque. Mais même 3 secondes, c’est très peu, pour ne pas dire juste.

votre avatar

Je regarde mon bios différemment ce matin.

C’est surtout la dernière partie de l’article qui montre que si quelques chercheurs “courant” après leur budget pour travailler, arrivent à créer cet exploit… imaginez vous qu’un lab d’état avec plusieurs centaines de millions d’euros pour “jouer” n’y arrivera pas?

votre avatar

heu… on est bien le 1er avril là ?

votre avatar







beberone a écrit :



heu… on est bien le 1er avril là ?





Merci de me l’avoir rappelé!


votre avatar

On est le 1er avril. Plus c’est gros, plus c’est crédible.

votre avatar

Lol, le malware food chain. <img data-src=" />

votre avatar

Heu ce n’est pas un poisson on en trouve deja cette news en Mars… croiser les infos, toujours croiser les infos..



http://it.slashdot.org/story/15/03/22/0910241/lighteater-malware-attack-places-m…

votre avatar

Hum pas évident ce poisson d’avril. Heureusement que Vincent a rajouté trois beaux poissons au milieu de l’article ;)

votre avatar

C’est quoi le rapport avec le 1er Avril là ?

votre avatar







Athropos a écrit :



C’est quoi le rapport avec le 1er Avril là ?







poisson, blague, farce, toussa toussa &nbsp;


votre avatar







the_pinkfloyd a écrit :



Heu ce n’est pas un poisson on en trouve deja cette news en Mars… croiser les infos, toujours croiser les infos..



http://it.slashdot.org/story/15/03/22/0910241/lighteater-malware-attack-places-m…





Merci de le preciser. En effet on trouve d’autres journaux qui en parlent fin Mars.



Donc ceci n’est pas un poisson d’Avril.


votre avatar

Et les poissons sur l’illustration “Malware Food Chain”, ils sont là par hasard ? :-)

votre avatar







ogodei a écrit :



Et les poissons sur l’illustration “Malware Food Chain”, ils sont là par hasard ? :-)





Reste à voir si ils sont d’avril. <img data-src=" />


votre avatar

Si c’en est un, beau travail (et félicitation à Vincent) ! Car “fabriquer” des alertes CERT, des docs sur des sites de labs… (et oui je suis idiot, j’ai lu les docs sur les liens)

La faille SMM existe bien depuis pas mal de temps, mais exploiter un code “riche” par celle-ci serait un bel “exploit” (taille du code / taille mémoire UEFI / accès avec privilège sur la couche réseau…)

Quand les hackers s’attaquent aux BIOS/UEFI pour lire tout ce qui transite dans l’ordinateur

  • Attaquer le matériel, une solution beaucoup plus efficace

  • Une solution simple permettant d'infecter des millions de machines

  • Le malware peut rester caché et lire tout ce qui transite par la mémoire vive

  • De gros travaux en perspective, mais certains constructeurs ont déjà répondu présent

Fermer