Présentation à CanSecWest d’un nouvel implant BIOS et d’un outil de détection de vulnérabilités

Lorsque les révélations de Snowden ont dévoilé le catalogue d’outils de surveillance de la division ANT de l’Agence de sécurité nationale (NSA) des Etats-Unis, il ne pouvait plus y avoir de doutes sur les plans de la NSA d’introduire des malwares dans le BIOS d’ordinateurs cibles.

Bien que les preuves de l’existence dans la nature de bootkits BIOS soient maigres, le catalogue ANT et la plateforme de cyberespionnage du groupe Equation découverte récemment, en particulier le module NSL_933W.DLL, qui réécrit le micrologiciel des disques durs de grands fabricants, confirment que les attaques contre le matériel passent du domaine académique au monde réel.

Dans le cadre de la conférence CanSecWest, tenue à Vancouver, les chercheurs Corey Kallenberg et Xeno Kovah, anciens collaborateurs de MITRE et fondateurs de la start-up LegbaCore ont évoqué l’analyse de nouvelles vulnérabilités BIOS et un présente un implant opérationnel pour le BIOS.

Corey Kallenberg a expliqué à Threatpost que "la majorité des BIOS est protégée contre les modifications. Nous avons trouvé une méthode d’automatisation de la détection des vulnérabilités dans ce domaine et de contournement de cette protection".

Corey Kallenberg a déclaré que l’individu malintentionné a besoin d’un accès à distance à l’ordinateur compromis afin d’exécuter l’implant et d’élever ses privilèges sur l’ordinateur via le matériel. Leur code d’exploitation désactive les moyens de protection en place contre la reprogrammation du micrologiciel, ce qui permet d’installer et d’exécuter l’implant.

Là où ce code d’exploitation démontre son potentiel malveillant, c’est lorsqu’il est placé en en mode d’administration système (System Management Mode, SMM) utilisé par le micrologiciel et qui fonctionne séparément du système d’exploitation dans la gestion de différentes interfaces matérielles. Le mode d’administration système a également accès à la mémoire, ce qui expose des systèmes d’exploitation prétendument protégés comme Tails aux menaces de l’implant.

Tails est un système d’exploitation basé sur la confidentialité et l’anonymat qui est chargé depuis des supports amovibles comme des clés USB.

"L’idée est que si le système d’exploitation a été infecté par l’implant, il est tout à fait possible d’utiliser Tails pour les communications (toutes les connexions Internet sont établies via le navigateur Tor) car il est protégé contre le malware qui a infecté le système d’exploitation principal. L’implant attend que Tails se charge, extrait les données importantes de la mémoire et les envoie à l’extérieur. Notre agent travaille en arrière plan, Tails ne le voit pas" a déclaré Corey Kallenberg.

D’après les chercheurs qui ont créé cet implant, il est capable d’extraire la clé PGP privée utilisée par Tail pour chiffrer la communication Il est également capable de voler les mots de passe et d’intercepter les communications chiffrées. L’implant n’est pas éliminé par la réinstallation du système d’exploitation, ni par la protection de Tails, malgré sa fonction de purge de la mémoire vive.

Corey Kallenberg a déclaré que les "données étaient stockées dans une mémoire non-volatile et elles ne sont pas éliminées. L’idée est de démontrer clairement que les astuces de chargement sécurisé depuis le disque sont vulnérables au niveau de l’architecture face à des attaques qui se déroulent au niveau du BIOS.

Xeno Kovah a expliqué que les modifications au niveau de l’architecture de l’UEFI, successeur du BIOS, ont introduit le concept de modularité pour simplifier le développement. Mais cette modularité , présentée dans la mise en œuvre de référence open source de l’UEFI, laisse de la place aux codes d’exploitation. De plus, de nombreux éditeurs basent leur code sur cette version de référence.

Xeno Kovah a déclaré que le code général se trouve dans les versions BIOS De plusieurs éditeurs et ce code permet d’installer des implants dans plusieurs modèles de périphériques de marques différentes.

"La version de référence open source explique le transit des données et on y trouve des points précis pour le transfert des données au BIOS. Vous pouvez rechercher des modèles dans la version de référence open source et voir où ces mêmes données figurent dans les versions closed source. Ces points communs définissent l’emplacement des hooks" a expliqué Xeno Kovah.

Un individu malintentionné peut introduire du code à ces endroits, comme l’a dit Xeno Kovah, et il existe jusqu’à 100 modèles de cinq fabricants différents qui contiennent le même code ou une de ses versions.

Il poursuit en expliquant que "ceci permet d’automatiser la recherche de ligne pour le hooking, d’introduire les hooks et d’introduire le code".

D’après Xeno Kovah, un pirate, un criminel ou un gouvernement peut également infecter le BIOS après avoir obtenu un accès physique à l’ordinateur, par exemple à la douane. Dans la vidéo de démonstration visionnée par Threatpost, Xeno Kovah a réussi, à l’aide du programmeur Flash DediProg, à brancher physiquement un câble de connexion au BIOS et à charger ainsi l’implant.

"Cette méthode peut être utilisée à la douane, dans le cadre d’une attaque Evil Maid, ou dans toute autre attaque avec une intervention physique" a-t-il expliqué. "Si vous disposez d’un accès, il vous faudra environ deux minutes après avoir trouvé le BIOS. L’idée est de transmettre tout ceci à une personne sans connaissance, de lui donner un objectif, d’ouvrir l’ordinateur, de s’y connecter et d’appuyer sur Start. La reprogrammation de la puce dure environ 50 secondes" poursuit Xeno Kovah.

"Le fait est que même si vous estimez que vous possédez une bonne protection grâce à l’utilisation de Tails ou à l’absence d’un disque dur, cela ne veut rien dire. Deux minutes d’accès physique suffisent pour compromettre n’importe quel système d’exploitation" affirme Xeno Kovah.

La situation n’est toutefois pas totalement désespérée. Les experts signalent que les fabricants et les éditeurs fournissent de gros efforts pour éliminer les vulnérabilités signalées, mais ils doivent améliorer leurs pratiques de programmation et de sécurité et consacrer plus d’énergie à la lutte contre les codes d’exploitation.

"Au fil du temps et alors que le coût des codes d’exploitation va augmenter suite à l’élimination continue des bugs et au développement de nouvelles technologies qui compliquent l’exploitation, les attaques contre le BIOS vont devenir de plus en plus intéressantes en raison de la persistance dans le système" a déclaré Corey Kallenberg.

Source :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *