Aller au contenu


UEFI bootkit Windows 8 et Mac OSX

UEFI BIOS MBR bootkit Windows 8 Mac OS X

  • Vous ne pouvez pas répondre à ce sujet
14 replies to this topic

#1 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 22 septembre 2012 - 08:16

Salut !

Windows 8 n'est pas encore officiellement sorti qu'il est attaqué de toutes parts. Son UEFI qui doit remplacer le BIOS et le MBR actuels et être incontournable est une cible de choix.
Déjà,en novembre dernier, nous vous avions informé des travaux de Peter Kleissner et de son bootkit Stoned Lite.

Dans le sujet → BMW Virus, nous avons déjà évoqué l'usine à gaz nommée → UEFI (Unified Extensible Firmware Interface) qui sévira dans Windows 8.
La solution UEFI est symbolique de l'ensemble des couches d'utilisation des TPM (Trusted Platform Module) d'origine sur lequel travaillent Microsoft, Intel et quelques autres depuis 2005.
A défaut d'être ''craqué'' ce logiciel intermédiaire entre le micrologiciel (firmware) et le système d'exploitation a déjà été contourné par → Peter Kleissner, un ''hacker à chapeau blanc'' autrichien déjà auteur en 2009 de → Stoned Bootkit & Antivirus Tracker un exploit ''POC'', ''open-source'' maintenant dépassé en performances par → TDL4.
Stoned Lite, un premier bootkit pour Windows 8, n'est pas encore public mais pourrait l'être avant la fin de l'année 2011. Peter Kleissner y reprend une idée de ''fhrdina'' qui, en 2007, s'en prenait à la routine ''msv1_0!MsvpPasswordValidate'' pour faire accepter n'importe quel mot de passe à Windows XP (→ Bypassing Windows XP Logon Password using bootkit, présenté à la conférence Black Hat de 2008).


Les italiens d'ITSEC ont analysé la technique et la sécurité de cet ''Unified Extensible Firmware Interface''. Andrea Allievi, de cette société, a conçu un nouveau bootkit capable de percer le Kernel Patch Protection de Windows 8 et la procédure Driver Signature Enforcement. Il faut dire que cette dernière mesure de protection est surtout connue grâce aux manières de la désactiver afin d'installer des pilotes non signés de périphériques divers.

"Our bootloader hooked the UEFI disk I/O routines and it intercepted the loading of the Windows 8 kernel, thus our bootkit tampered the kernel by disabling the security features used by Windows to prevent the loading of unsigned drivers''

Ce bootkit est donc une adaptation/modernisation des nombreux rootkits qui s'en prennent au MBR.

Que les macareux se rassurent. Ils ne seront pas vraiment distancés par Windows 8. Loukas K. de la société australienne de sécurité Assurance.com a présenté cet été à la conférence BlackHat de las Vegas un bootkit pour MAC OSX (pdf) qui, en gros, a le même effet.

Plusieurs chercheurs ont donc déjà réussi à percer cet UEFI qui était promis comme la panacée universelle pour sécuriser le démarrage d'un système d'exploitation. Combien de temps faudra-t-il aux voyous de l'informatique pour trouver à leur tour ?

Côté Linux, les craintes de voir l'UEFI de Microsoft ''tuer'' de nombreuses distributions à cause des signatures payantes s'apaisent un peu depuis la publication des sources d'Intel Trianocore.

Ces fichiers sont la version open-source de l'UEFI d'Intel et intègrent le système de signature utilisé par Microsoft.


@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#2 Plop

Plop

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 196 Messages :
  • Gender:Not Telling

Posté 22 septembre 2012 - 09:43

Dans le temps, il y'avait un cavalier sur une carte mère pour empêcher l'écriture du bios; il peuvent pas faire pareil avec leurs UEFI?

#3 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 23 septembre 2012 - 09:34

Dans le temps, il y'avait un cavalier sur une carte mère pour empêcher l'écriture du bios; il peuvent pas faire pareil avec leurs UEFI?

Trop simple et pas assez lucratif !
Il ne faut pas oublier que l'objectif réel de Microsoft (et d'Apple) est de faire un maximum de fric en faisant payer les agréments de logiciels (les "signatures") le plus cher possible.

@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#4 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 23 septembre 2012 - 10:27

Ouch.

La complexification comme leurre, au moins là-dessus, ils n'auront rien inventé.

#5 Plop

Plop

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 196 Messages :
  • Gender:Not Telling

Posté 23 septembre 2012 - 10:38

N’empêche qu'il invente des trucs qui servent à rien. A l'époque de Tchernobyl, le virus. (L'un des 1er virus à modifier le bios à ma connaissance), s'était retrouvé le bec dans l'eau grâce à un simple cavalier sur une carte mère.

Donc si c'est pour l'argent qu'ils mettent volontairement en danger nos machines, c'est grave.

#6 Thelwin Argon

Thelwin Argon

    Thelwinneur

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 268 Messages :
  • Gender:Male
  • Location:Suisse

Posté 23 septembre 2012 - 15:52

Remarquez que le passage à l'UEFI va permettre des machines qui démarre beaucoup plus rapidement.
À ce niveau le BIOS est depuis plusieurs années un facteur limitant.
Donc je ne pense pas qu'il faille blâmer le principe, mais plutôt la manière de le faire qui n'est visiblement pas assez sécuritaire et trop DRM-like...

Bref, l'idée n'est pas mauvaise, c'est juste l'incapacité de Microsoft à faire un produit efficace et bien conçu le problème, AMA :siffle:
Sauf pathologie mentale profonde, tout le monde est bon en maths. | Albert Jacquard
——————————————————
Deux excès : exclure la raison, n'admettre que la raison. | Blaise Pascal

#7 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 24 septembre 2012 - 11:26

Remarquez que le passage à l'UEFI va permettre des machines qui démarre beaucoup plus rapidement.
À ce niveau le BIOS est depuis plusieurs années un facteur limitant.

Faire des BIOS plus rapides serait mieux. Pour les protéger il y a toujours la solution d'en sauvegarder le contenu initial ainsi que celui du MBR et de faciliter la restauration en cas de modification "intempestive". Il y a des outils pour restaurer le MBR sans se fouler sous Linux (Ubuntu et autres).
L'UEFI a pour objet principal de faire payer les "signatures".

@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#8 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 319 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 01 novembre 2012 - 21:11

Le sujet est bien dans le titre. Avez-vous des infos dessus ? Il est sensé être plus sécure, mais aussi empêcher le boot sur tout autre support que l' OS. Mais quel OS ? Il semble que seuls, les OS signés soient acceptés. Qu'en est-il alors de Linux, des duals boots. Est-il possible de le désactiver ? Les petites recherches (petites, car je n'ai guère eu de temps à lui accorder) donnent des résultats flous.

Merci d'avance pour vos réponses.

#9 le barbier fou

le barbier fou

    Serrurier fou !

  • Modérateur
  • PipPipPipPipPipPip
  • 470 Messages :
  • Gender:Male
  • Location:Nulle-Part-sur Mer

Posté 01 novembre 2012 - 22:44

Salut !

Je pense être dans le même flou que toi. Les informations qui circulent à ce sujet sur Internet sont parfois trop techniques, souvent inexactes, et fréquemment subjectives (alarmistes à l'excès ou idéalistes). Dur de trouver un résumé clair, simple et sérieux.

D'après ce que j'ai cru comprendre, l'UEFI est un logiciel stocké sur la carte mère reprenant à la fois les rôles du BIOS actuel et du MBR (zone amorce du disque dur). Il serait ainsi incorrect - corrigez-moi si je me trompe - de parler de "Bios UEFI" comme beaucoup le font . Ce petit abus de langage, s'il est confirmé, montre bien la confusion générale autour de cette technologie.

Concernant tes questions (que je me pose aussi), je peux apporter un début de réponse avec quelques constatations que j'ai pu faire récemment (sur un Asus Zenbook UX32VD) :
  • Le Secure Boot n'est pas désactivable dans les options de l'UEFI. (mais il semble que cela varie selon le constructeur ?)
  • Possibilité de booter sur un média externe (clé USB, CD...)
  • Le démarrage sur un live CD (ou live USB) Ubuntu se déroule bien jusqu'à l'affichage du premier menu, où l'on choisit le type de démarrage (Essayer Ubuntu / Installer Ubuntu... etc). Quelque soit l'option sélectionnée, cela aboutit à un écran noir. Rien de plus. Ubuntu ne démarre pas.
  • Même chose avec des versions plus anciennes d'Ubuntu et avec BackTrack. Ecran noir au moment où l'OS commence à se charger.
  • Lors de l'utilisation de Hiren's BootCD, tous les outils démarrent correctement, y compris Mini-XP. Seul pépin : Parted Magic (Linux) dont l'exécution se solde par un écran noir. Même chose bien sûr avec Parted Magic sur son propre live CD.
  • Possibilité de démarrer sur un DVD d'installation de Windows 7 et d'installer ce dernier (en effaçant Windows 8).

Le hic dans tout ça : on peut voir sur le net que des personnes avec le même PC (Asus Zenbook UX32VD, version avec processeur i5, et iSSD de 32 GB) ont réussi à se faire un dual boot Windows 7 / Ubuntu. Qu'en conclure ?

Je vous pose la question. :D
250635.jpg

#10 Neuromancien

Neuromancien

    Octozimien

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 6 551 Messages :
  • Gender:Male
  • Location:Moselle

Posté 02 novembre 2012 - 04:33

Bonjour,

aviez-vous vu le "papier" de TXON? http://infomars.fr/f...513

Édit: Voir aussi http://www.numerama....pour-linux.html

"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)


#11 Tchim

Tchim

    A vos souhaits !

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 4 279 Messages :
  • Gender:Male
  • Location:Valles Marineris.

Posté 02 novembre 2012 - 07:00

Salut,

J'ai parcouru un le net ce matin à la recherche d'info sur l'UEFI et l'option "Secure Boot" voici ce que j'ai pu trouver et compris (...) première constatation, c'est qu'on dit tout et son contraire sur ce sujet (pas toujours vraiment évident de s'y retrouver) c'est souvent très technique et en Anglais.
Je post uniquement pour essayer de vous mettre sur la voie et ne prétend pas maîtriser ce sujet, soyez indulgent, mais n’hésitez pas à me reprendre si j'ai écrit des énormités ;)

1) L'UEFI (Unified Extensible Firmware Interface) :
C'est un logiciel intermédiaire entre le micrologiciel (firmware) et le système d'exploitation (OS) d'un ordinateur.
http://www.icaunux.o...?id=uefi_et_gpt
https://help.ubuntu....ity/UEFIBooting
https://wiki.archlin.../index.php/UEFI

Selon Vandewege, l'introduction de telles fonctions représente une menace pour la vie privée et les droits des consommateurs, car quiconque contrôle le BIOS contrôle l'ordinateur. Si vous contrôlez le BIOS, vous pouvez rejeter tout programme qui se charge après le BIOS

http://archive09.lin.../articles/58781

2) Le Secure Boot :
Le mode de lancement sécurisé (secure boot) est une option qui permet d'interdire le chargement d'une application non signée (ou signature incorrecte) ayant pour but d'empêcher l'installation de bootkit (virus de boot)
Le problème, c'est qu'il faudra savoir si cette option est désactivable ou pas et c'est auprès des constructeurs de carte mère et de PC pré-construits qu'il faudra se renseigner, Microsoft laissant ce choix aux constructeurs...
Chez certains constructeurs (Dell, HP, ...) la réponse sera sans doute "non" (trop de fric est en jeu) l'option sera probablement absente, en passant par les sites de vente des constructeurs (grand public et PME/PMI)


Quelques liens qui pourront peut-être vous aider :

http://monge.univ-ml..._Boot/UEFI.html
http://www.numerama....pour-linux.html
https://fr.wikipedia...mware_Interface
http://doc.ubuntu-fr.org/efi
https://forum.korben...u-en-mode-uefi/
http://askubuntu.com/search?q=EFI
http://ubuntuforums....archid=88224621


@+

Que la paix vous accompagne !


#12 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 02 novembre 2012 - 15:58

Il y avait aussi un petit sujet -> ICI.

@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#13 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 02 novembre 2012 - 17:17

Salut,


j'ai fusionné les deux sujets, du coup. ;)

#14 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 02 novembre 2012 - 21:33

L'UEFI, peux servir aussi, pour contrer (temporairement??) les "petits malins" ce servant d'un émulateur de bios pour activé Windows 8, d'ailleurs le système de clé OEM a changer.

http://translate.goo...oM5xj5O794_KsgA

#15 Neuromancien

Neuromancien

    Octozimien

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 6 551 Messages :
  • Gender:Male
  • Location:Moselle

Posté 03 novembre 2012 - 05:43

Bonjour,

Il y avait aussi un petit sujet -> ICI.

@+


Oui, je l'avais signalé car c'était la première chose qui me soit venue à l'esprit. :chinois:

Bonjour,

aviez-vous vu le "papier" de TXON? http://infomars.fr/f...513

Édit: Voir aussi http://www.numerama....pour-linux.html



j'ai fusionné les deux sujets, du coup. ;)

Bonne idée, merci

"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)




1 utilisateur(s) en train de lire ce sujet

0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)