Windows 8 n'est pas encore officiellement sorti qu'il est attaqué de toutes parts. Son UEFI qui doit remplacer le BIOS et le MBR actuels et être incontournable est une cible de choix.
Déjà,en novembre dernier, nous vous avions informé des travaux de Peter Kleissner et de son bootkit Stoned Lite.
Dans le sujet → BMW Virus, nous avons déjà évoqué l'usine à gaz nommée → UEFI (Unified Extensible Firmware Interface) qui sévira dans Windows 8.
La solution UEFI est symbolique de l'ensemble des couches d'utilisation des TPM (Trusted Platform Module) d'origine sur lequel travaillent Microsoft, Intel et quelques autres depuis 2005.
A défaut d'être ''craqué'' ce logiciel intermédiaire entre le micrologiciel (firmware) et le système d'exploitation a déjà été contourné par → Peter Kleissner, un ''hacker à chapeau blanc'' autrichien déjà auteur en 2009 de → Stoned Bootkit & Antivirus Tracker un exploit ''POC'', ''open-source'' maintenant dépassé en performances par → TDL4.
Stoned Lite, un premier bootkit pour Windows 8, n'est pas encore public mais pourrait l'être avant la fin de l'année 2011. Peter Kleissner y reprend une idée de ''fhrdina'' qui, en 2007, s'en prenait à la routine ''msv1_0!MsvpPasswordValidate'' pour faire accepter n'importe quel mot de passe à Windows XP (→ Bypassing Windows XP Logon Password using bootkit, présenté à la conférence Black Hat de 2008).
Les italiens d'ITSEC ont analysé la technique et la sécurité de cet ''Unified Extensible Firmware Interface''. Andrea Allievi, de cette société, a conçu un nouveau bootkit capable de percer le Kernel Patch Protection de Windows 8 et la procédure Driver Signature Enforcement. Il faut dire que cette dernière mesure de protection est surtout connue grâce aux manières de la désactiver afin d'installer des pilotes non signés de périphériques divers.
Ce bootkit est donc une adaptation/modernisation des nombreux rootkits qui s'en prennent au MBR."Our bootloader hooked the UEFI disk I/O routines and it intercepted the loading of the Windows 8 kernel, thus our bootkit tampered the kernel by disabling the security features used by Windows to prevent the loading of unsigned drivers''
Que les macareux se rassurent. Ils ne seront pas vraiment distancés par Windows 8. Loukas K. de la société australienne de sécurité Assurance.com a présenté cet été à la conférence BlackHat de las Vegas un bootkit pour MAC OSX (pdf) qui, en gros, a le même effet.
Plusieurs chercheurs ont donc déjà réussi à percer cet UEFI qui était promis comme la panacée universelle pour sécuriser le démarrage d'un système d'exploitation. Combien de temps faudra-t-il aux voyous de l'informatique pour trouver à leur tour ?
Côté Linux, les craintes de voir l'UEFI de Microsoft ''tuer'' de nombreuses distributions à cause des signatures payantes s'apaisent un peu depuis la publication des sources d'Intel Trianocore.
Ces fichiers sont la version open-source de l'UEFI d'Intel et intègrent le système de signature utilisé par Microsoft.
@+