Encore un super-virus immortel

Actualités - Malware - Posté on 16 Juin 2015 at 11:00 par Solange Belkhayat-Fuchs

Yuri Samoilov« Allez, dite un nombre, entre un et dix millions, et on infecte tout, tout de suite »
écrivent ironiquement Xeno Kovah et Corey Kallenberg dans leur communications CanSecWest. Quelques jours après la publication du bootkit caché dans le firmware des disques durs, voici le retour du virus-bios.

Ce genre d’exploit n’est pas franchement nouveau, puisque les études signées Wojtczuk/Rutkowska (pour ne mentionner que les plus connus) avaient déjà soulevé la possibilité de ce genre de risque. Mais cette fois, insistent les deux chercheurs, il ne s’agit plus d’une attaque ne visant qu’un seul Bios, une seule marque d’ordinateur, mais pratiquement tout ce qui se fait à la surface de la planète numérique.

Un virus-Bios peut tout pour plusieurs raisons, expliquent les deux chercheurs. Tout d’abord parce qu’il est situé dans un espace qui n’est pas vérifié par les principaux logiciels de sécurité. Ensuite parce que personne, y compris dans les secteurs des industries de pointe ou des organisations étatiques, ne songe à mettre à jour les microcodes des ordinateurs, laissant ainsi béantes des failles pourtant corrigées. Parce que la plupart des concepteurs de Bios utilisent à la fois des mécanismes communs et des espaces mémoire communs, offrant ainsi une surface d’attaque commune simplifiant des compromissions de masse. En raison, enfin, des mantras abrutissants des industriels du monde du « hardware » qui ne cessent de jurer la quasi invulnérabilité de leurs systèmes.

Les moyens d’exploitation reposent notamment sur le comportement du SMM (System Management Mode), un mode d’exécution propre à l’architecture X86, des SMI (System Management Interrupts) qui en dépendent, et de l’espace mémoire protégé dans lequel évolue le SMM (SMRAM). Protégé… jusqu’à un certain point, car parfois ces échanges s’étendent au-delà de cet espace privilégié et peuvent donc être compromis. Un exécutable appelé de l’extérieur par la SMRAM peut alors infecter le saint des saints. Une fois installé dans la mémoire eprom réservée au Bios (une simple SPI en général), le virus fonctionne alors en tâche de fond derrière le SMM et peut se permettre absolument tout ce qu’il est possible d’imaginer.

Les conséquences sont incalculables. « Même les systèmes réputés amnésiques et ne fonctionnant pas en mode « persistant » (les Tails, The amnesiac incognito live system) ou les systèmes « live » qui bootent sur des clefs USB) sont vulnérables, alors que, des années durant, leurs promoteurs affirment leur totale invincibilité préviennent les deux chercheurs. Font d’ailleurs partie du clan des promoteurs des systèmes Tails les principales centrales de renseignement, qui pourtant s’y connaissent un peu en matière de paranoïa et de manipulation de bootkits.

Afin de prouver leurs dires,Kovah et Kallenberg ont développé un PoC baptisé « light eater », dont la spécialité est de capturer en mémoire et au vol signatures des clefs GPG, les phrases de passe ou les emails déchiffrés (et pour cause, ils le sont nécessairement en RAM). Charge ensuite au malware soit d’expédier ce contenu dans un espace de stockage interne ou externe qui préservera ces données dès que le « système amnésique » est placé hors tension, soit de conserver ces données (les clefs de chiffrement notamment) dans la mémoire du SPI. De quoi donner des cauchemars à tous les RSSI qui travaillent pour Angela Merkel.

Le travail de Kovah et Kallenberg a ceci de remarquable qu’il contient à la fois les gènes d’un « mass virus » à diffusion mondiale et les caractéristiques de furtivité et de « customisation » d’une attaque ciblée.

A l’heure où est effectuée cette communication, plusieurs éditeurs ont réagi favorablement et pris la menace très au sérieux. Notamment HP, Dell, Lenovo, AMI, Insyde, Phoenix et Intel. N’auraient pas encore considéré la menace digne d’intérêt Apple, Microsoft, Samsung, LG, Acer, Asus, Fujitsu, Panasonic, NEC, Vaio, MSI et Gigabyte.

1 commentaire

Laisser une réponse