- Les chercheurs d’ESET ont découvert une nouvelle vulnérabilité, CVE-2024-7344, permettant le contournement du démarrage sécurisé UEFI sur la plupart des systèmes UEFI.
- Cette faille autorise l’exécution de code non signé au démarrage, facilitant l’installation de bootkits UEFI malveillants
- Des correctifs ont été déployés par les fournisseurs concernés. Microsoft a révoqué les binaires vulnérables dans sa mise à jour du Patch Tuesday du 14 janvier.
iT-News (ESET Research) – Les chercheurs d’ESET ont découvert une faille de sécurité majeure touchant les systèmes UEFI, permettant de contourner UEFI Secure Boot. Cette vulnérabilité (CVE-2024-7344) a été trouvée dans une application signée par le certificat UEFI tiers « Microsoft Corporation UEFI CA 2011 » de Microsoft. Son exploitation permet d’exécuter du code malveillant au démarrage et d’installer des bootkits (tels que Bootkitty ou BlackLotus), même sur des systèmes protégés.
ESET a alerté le CERT/CC en juin 2024, qui a contacté les éditeurs concernés. Le problème est maintenant résolu et Microsoft a révoqué les fichiers compromis lors du Patch Tuesday de janvier 2025.
La faille touche plusieurs logiciels de récupération système développés par sept entreprises : Howyar Technologies, Greenware Technologies, Radix Technologies, SANFONG, Wasay Software Technology, Computer Education System et Signal Computer.
Martin Smolár, chercheur chez ESET qui a découvert de la vulnérabilité affirme : « Le nombre de vulnérabilités UEFI découvertes ces dernières années et les échecs dans leur correction ou la révocation des binaires vulnérables dans un délai raisonnable montrent que même une fonctionnalité aussi essentielle que UEFI Secure Boot ne doit pas être considérée comme une barrière impénétrable. Cependant, ce qui nous préoccupe le plus n’est pas le temps de correction, qui fut relativement bon, mais le fait que ce n’est pas la première fois qu’un binaire UEFI signé et aussi manifestement dangereux est découvert. Cela soulève des questions sur la fréquence de ces techniques dangereuses chez les fournisseurs de logiciels UEFI tiers et sur l’existence potentielle d’autres chargeurs de démarrage similaires. »
Cette vulnérabilité ne se limite pas aux systèmes où le logiciel de récupération est installé : les attaquants peuvent utiliser leur propre copie du binaire vulnérable sur tout système UEFI où le certificat tiers Microsoft est présent. Des droits administrateurs sont nécessaires pour déployer les fichiers malveillants sur la partition système EFI. La faille provient de l’utilisation d’un chargeur PE personnalisé plutôt que des fonctions UEFI sécurisées standard. Tous les systèmes UEFI avec signature tierce Microsoft activée sont concernés, sauf les PC Windows 11 Secured-core où cette option est désactivée par défaut.
Pour corriger cette vulnérabilité, il est nécessaire d’appliquer les dernières révocations UEFI de Microsoft. Les systèmes Windows se mettent à jour automatiquement. L’avis officiel sur la vulnérabilité CVE-2024-7344 est disponible auprès de Microsoft. Les utilisateurs Linux doivent se référer au service de micrologiciel de leur distribution.
Pour une analyse détaillée et technique de la vulnérabilité UEFI, consultez l’article de blog d’ESET Research « Under the cloak of UEFI Secure Boot : Introducing CVE-2024-7344 » sur WeLiveSecurity.com.
À propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre des menaces digitales de plus en plus sophistiquées. Protection des terminaux et des mobiles, détection et traitement des incidents, chiffrement et authentification multifacteur… les solutions performantes et faciles à utiliser d’ESET protègent et supervisent discrètement 24 heures sur 24, 7 jours sur 7, en mettant à jour les défenses en temps réel pour assurer sans aucune interruption la sécurité des utilisateurs et le bon fonctionnement des entreprises. L’évolution des menaces exige d’une entreprise de sécurité informatique qu’elle évolue également. C’est le cas d’ESET grâce à ses centres de R&D dans le monde entier travaillant à la protection de notre avenir commun.
Pour plus d’informations, consultez www.eset.com/fr/ ou suivez-nous sur LinkedIn, Facebook et X
