Les chercheurs en cybersécurité d’ESET ont récemment découvert une vulnérabilité critique affectant le démarrage sécurisé UEFI, identifiée sous le code CVE-2024-7344. Cette faille majeure permet aux attaquants de contourner les mécanismes de sécurité et d’exécuter du code non signé au moment du démarrage du système. Une telle exploitation ouvre la voie à l’installation de bootkits UEFI malveillants, compromettant ainsi la sécurité des machines affectées.
Une faille exploitant une application signée par un certificat UEFI tiers
La vulnérabilité a été découverte dans une application signée par le certificat UEFI tiers « Microsoft Corporation UEFI CA 2011 ». Cette application défaillante permet l’exécution de code malveillant au démarrage et facilite l’installation de bootkits tels que Bootkitty ou BlackLotus, même sur des systèmes censés être protégés par UEFI Secure Boot.
Un signalement et des correctifs déployés
ESET a signalé cette faille au CERT/CC en juin 2024, qui a ensuite contacté les éditeurs concernés. Depuis, des correctifs ont été déployés, et Microsoft a révoqué les fichiers compromis lors de la mise à jour du Patch Tuesday du 14 janvier 2025. Toutefois, la vulnérabilité concernait un large éventail de logiciels de récupération système développés par sept entreprises : Howyar Technologies, Greenware Technologies, Radix Technologies, SANFONG, Wasay Software Technology, Computer Education System et Signal Computer.
Une vulnérabilité qui souligne les faiblesses d’UEFI Secure Boot
Martin Smolár, le chercheur d’ESET à l’origine de cette découverte, met en garde contre les failles récurrentes dans le domaine UEFI. Selon lui, « le nombre croissant de vulnérabilités UEFI et les difficultés rencontrées pour les corriger ou révoquer les binaires compromis montrent que même une fonctionnalité aussi essentielle qu’UEFI Secure Boot ne doit pas être considérée comme une barrière impénétrable ». Il souligne également que la découverte régulière de binaires UEFI signés mais vulnérables pose la question de la fréquence de ces erreurs chez les fournisseurs tiers et de l’existence possible d’autres menaces similaires.
Une faille qui peut être exploitée sur tous les systèmes UEFI
Cette faille ne se limite pas aux systèmes où le logiciel de récupération est installé. Les attaquants peuvent utiliser leur propre copie du binaire vulnérable sur n’importe quel système UEFI où le certificat tiers de Microsoft est présent. Toutefois, ils doivent disposer de droits administrateurs pour pouvoir déployer les fichiers malveillants sur la partition système EFI. L’origine de la faille réside dans l’utilisation d’un chargeur PE personnalisé plutôt que dans le recours aux fonctions UEFI sécurisées standard.
Une protection essentielle : appliquer les mises à jour de révocation UEFI
Tous les systèmes UEFI où la signature tierce Microsoft est activée sont concernés, à l’exception des PC Windows 11 Secured-core, où cette option est désactivée par défaut. Pour protéger les systèmes contre cette vulnérabilité, il est essentiel d’appliquer les dernières mises à jour de révocation UEFI de Microsoft. Les systèmes Windows se mettent à jour automatiquement, mais les utilisateurs de Linux doivent consulter le service de micrologiciel de leur distribution pour vérifier la disponibilité des correctifs.
