La détection récente d’une faille UEFI critique permettrait l’injection de malwares au démarrage. Cette vulnérabilité compromet les mécanismes de sécurité des systèmes touchés.
Cette faille UEFI, connue sous le code CVE-2024-7344, repose sur l’exploitation de logiciels de récupération système signés par Microsoft. Ces programmes, bien qu’utiles en apparence, permettent à des malwares de contourner les protections essentielles du firmware.
Une faille UEFI qui contourne les protections
Le processus UEFI a normalement pour fonction de vérifier et de valider les programmes avant leur exécution. Cependant, la faille exploite un fichier nommé reloader.efi, signé par Microsoft. Cet élément utilise un chargeur personnalisé qui autorise l’exécution de fichiers non signés. Ce mécanisme compromet ainsi les vérifications de Secure Boot.
L’entreprise ESET, à l’origine de cette découverte, affirme une injection de malwares via cloak.dat. Un fichier chiffré qui est utilisé par sept logiciels de récupération système. Ces derniers sont Howyar SysReturn, Greenware GreenGuard, Radix SmartRecovery, Sanfong EZ-back System, WASAY eRecoveryRX, CES NeoImpact, et SignalComputer HDD King. Avec des droits d’administrateur, un attaquant pourrait le remplacer par un programme nuisible. Le système serait alors compromis dès son redémarrage.
Des impacts graves pour les systèmes vulnérables
La faille cible un espace critique entre le firmware et le système d’exploitation. À ce niveau, les malwares bénéficient d’une persistance accrue, échappant aux outils de sécurité traditionnels et résistant aux redémarrages.
Cette vulnérabilité affecte les sept logiciels de récupération et empêche ainsi le redémarrage ou la restauration rapide des systèmes. Une fois exploitée, la faille permet de charger des malwares avant même l’activation des protections de l’OS.
Une gestion opaque des binaires signés
Bien que Microsoft impose des règles strictes pour signer les fichiers UEFI, le processus de validation reste obscur. Les binaires passent par des analyses automatisées ainsi que des revues manuelles. Cependant, des comportements potentiellement risqués peuvent encore échapper à ces contrôles. Martin Smolár, chercheur chez ESET, note “Je ne sais pas si cela se limite à une vérification des critères ou si d’autres activités, comme des examens manuels des binaires, sont incluses.”
Smolár pointe du doigt les pratiques de certains développeurs qui contournent ces processus. Effectivement, cette stratégie semble efficace pour simplifier leurs mises à jour. Mais à long terme, cette pratique expose les systèmes à des risques importants. Les vulnérabilités corrigées dans la mise à jour de janvier 2025 en sont un exemple frappant.
Les logiciels vulnérables ont été corrigés, mais la prudence reste de mise. Les administrateurs doivent s’assurer que les versions concernées sont supprimées et appliquer rapidement les mises à jour critiques.
