L’écrasante majorité des malwares intervient au cœur du système d’exploitation. Le monde de la sécurité sait qu’un tel angle d’attaque n’est pourtant pas idéal et que viser le matériel peut s’avérer bien plus profitable. Or, deux chercheurs ont démontré récemment lors de la conférence CanSecWest qu’il était possible de contaminer des BIOS/UEFI de manière aisée, sans que les utilisateurs ne puissent y faire quoi que ce soit.
Attaquer le matériel, une solution beaucoup plus efficace
Si attaquer un système d’exploitation devient graduellement plus compliqué, c’est parce que le niveau de sécurité augmente sans cesse. Par exemple via l'ASLR, une technique qui consiste à déplacer dans la mémoire certains composants clés afin que leurs adresses ne soient pas prévisibles. Mais rien n'est impossible et les malwares puisant dans les failles sont encore nombreux. Il existe d’ailleurs toute une activité commerciale souterraine autour des failles 0-day, d’autant plus utilisables et recherchées que les éditeurs concernés n’en sont même pas informés. Conséquence : aucun correctif n’est disponible.
Mais même si ces failles sont efficaces et qu’on les retrouve systématiquement dans les attaques de haute volée que l’on peut constater depuis des années (ou dans l’arsenal de la NSA), elles ne représentent pas forcément le moyen le plus efficace d'atteindre une ou plusieurs cibles. Idéalement, les pirates, hackers ou agents du renseignement visent le matériel. La raison principale en est simple : la plupart du temps, il est très difficile de déloger un code malveillant implanté par exemple dans une puce.
La contrepartie est bien entendu que l’opération est plus délicate à réaliser, comme on a pu le voir récemment avec GrayFish, un malware que l’on retrouvait dans le firmware de certains disques durs émanant de Western Digital, Seagate, Samsung et d’autres constructeurs. Cette découverte rappelait que l’inclusion d’un code dans un firmware était possible, mais qu’elle demandait un vaste travail préparatoire. Mais que se passerait-il si l’opération était simple à réaliser ?
Une solution simple permettant d'infecter des millions de machines
C’était justement le thème d’une présentation à la conférence CanSecWest en fin de semaine dernière. Les chercheurs Xeno Kovah et Corey Kallenberg, des anciens de chez MITRE, ont ainsi fait la démonstration d’une méthode capable d’ouvrir les portes d'un BIOS ou d'un UEFI, un concept qui n'est pas nouveau, mais dont la mise en place n'était pas des plus simples.
Ils sont partis d'une faille découverte en 2008 dans le SMM (System Management Mode), une fonctionnalité créée initialement par Intel et permettant aux BIOS (puis par extension aux UEFI) de garder la main pour certaines actions, avec un haut niveau de privilège. Cette faille permettait à un hacker de reprogrammer manuellement le BIOS/UEFI, soit via un accès physique, soit à distance via un outil permettant de flasher le composant. Il ne s'agissait pourtant pas du premier signal d'alarme au sujet du SMM, puisque Loïc Duflot, de la Direction Centrale de la Sécurité des Systèmes d’Information (devenue depuis l'ANSSI), avertissait déjà de problèmes potentiels lors de la conférence BlackHat de 2006. Il est même revenu sur le sujet trois ans plus tard.
S'en prendre au BIOS/UEFI via le SMM est un concept qui a depuis été abordé plusieurs fois, comme en 2009 par les chercheurs Rafal Wojtczuk et Alexander Tereshkin, lors d'une autre conférence BlackHat. L'année dernière, Xeno Kovah et Corey Kallenberg, au sein d'une autre équipe, ont montré que le SMM pouvait être utilisé pour briser la chaine du Secure Boot, l'une des capacités de l'UEFI.
Mais cette nouvelle démonstration de Xeno Kovah et de Corey Kallenberg prouve que la communauté de la sécurité doit se pencher de près sur le piratage des composants matériels et de leurs firmwares. Ils indiquent ainsi que, pendant longtemps, cette capacité était réservée à des hackers et pirates de haut rang, mais que leur nouvelle méthode est justement si simple à mettre en place qu’elle permettrait à un simple passionné d’informatique, avec quelques connaissances, de provoquer la contamination de millions de machines.
Or, un BIOS/UEFI contaminé représente un vrai problème car il n’existe pas de moyen simple de le nettoyer. La plupart des antivirus n’ont pas ce genre de fonctionnalité et la publication de nouvelles versions par les constructeurs de cartes mères se heurtera fatalement à la méconnaissance des utilisateurs, au manque d’informations et de savoir pratique.
Une vraie différence face à la motivation des pirates selon les chercheurs, qui indiquent n’avoir eu besoin que de quelques heures pour trouver des très nombreuses failles leur permettant cette infiltration dans l'UEFI. Dans une interview accordée à nos confrères de Threatpost, Corey Kallenberg indique que « la plupart des BIOS [NDLR : et des UEFI] ont des protections contre les modifications », mais ajoute avoir trouvé un moyen « d'automatiser la découverte de failles dans cet espace et de casser les protections ».
Et si leur solution est si efficace potentiellement, c’est que la plupart des BIOS/UEFI reprennent en série le même code de base que celui qui est fourni par leurs éditeurs. De fait, l'opération peut être répétée sur de nombreuses machines, y compris de marques différentes, ce qui en fait justement sa force si l'on en croit ses concepteurs.
Le malware peut rester caché et lire tout ce qui transite par la mémoire vive
Pour exploiter les failles, les chercheurs ont donc créé un malware, nommé LightEater, dont la mission est de prendre le contrôle du SMM. Pour l'installer, il faudra par contre disposer d'un accès physique à la machine, ou bien un accès à distance afin de mettre à jour l'UEFI. Les hackers parlent également de BIOS au sens large du terme dans leur démonstration, mais il n'est pas clairement précisé si LightEater s'attaque également aux BIOS d'anciennes générations en plus des UEFI qui sont par contre bien concernés.
La suite est prévisible : LightEater se sert de ces privilèges pour ses propres actions, ce qui le rend très complexe à supprimer. Les chercheurs indiquent l'avoir proposé aux fabricants de cartes mères depuis la fin de l'année dernière afin qu'ils puissent tester par eux-mêmes leur sécurité, mais LightEater n'est pas disponible en téléchargement accessible à tout le monde.
Selon les chercheurs, le niveau de privilège est tel que des distributions Linux spécialement dans la sécurité, à l’instar de Tails, ne peuvent rien faire non plus pour s’en débarrasser. En fait, le malware reste invisible. Caché au sein de l'UEFI, il peut provoquer le téléchargement d’un keylogger (enregistreur de frappes au clavier), installer un rootkit et ainsi de suite.
Mais le vrai problème de LightEater est ce qu’il sous-entend. Hors d’atteinte de la plupart des solutions de sécurité, le malware peut ainsi lire toutes les données qui transitent dans la mémoire de l’ordinateur. À titre de comparaison, la faille Heartbleed permettait d'accéder facilement à 64 ko de données maximum dans la mémoire vive, ce qui pouvait déjà avoir des conséquences dramatiques, mais il est ici question de l'intégralité de la RAM par exemple.
Une distribution comme Tails par exemple peut s’exécuter depuis une clé USB et n’est donc pas concernée par les menaces qui seraient présentes sur le disque dur. Elle ne pourra par contre rien faire si la mémoire est analysée constamment pour y repérer des données « croustillantes », les exfiltrer puis les stocker ailleurs, voire les envoyer directement vers un serveur distant, sans passer par le système d'exploitation, ce dont est capable LightEater. C'est justement toute la nouveauté de ce dernier : il ressemble à une vaste trousse à outils capable de mettre en pratique toutes les méthodes d'exploitation vues précédemment, en plus d'en apporter de nouvelles et de simplifier l'ensemble.
Une efficacité qui fait dire à Kovah et Kallenberg : « Notre implant SMM réside dans un lieu que personne ne vérifie aujourd’hui pour vérifier justement qu’il existe un implant. Le SMM peut lire la mémoire vive de n’importe qui, mais personne ne peut lire la mémoire du SMM ». Ce qui sous-entend, pour les chercheurs, que même si Edward Snowden s’est servi de Tails pour échanger des documents avec les journalistes, il ne peut avoir aucune garantie que ces communications n’ont pas été espionnées. Les chercheurs posent en effet la question : si eux n’ont mis que quelques heures pour trouver des failles puis pour créer une solution redoutable d’efficacité, qu’est-ce qui empêche la NSA et les autres agences de renseignement de faire de même ?
Durant la conférence, des démonstrations de prises de contrôles via le malware LightEater ont été faites sur des machines MSI, HP et Asus, illustrant à tour de rôle les trois branches de l'arbre de décision ci-dessous :
De gros travaux en perspective, mais certains constructeurs ont déjà répondu présent
La solution ne sera pas simple, comme nous l’avons plus tôt dans l’article. La correction des failles se heurte à une véritable barrière de praticité : comment amener les systèmes vulnérables à être colmatés ? Il faut encore que les constructeurs aient des patchs à disposition, ce qui, selon les chercheurs, n’est pas forcément le cas. Et la situation est loin d’être réglée puisqu’ils indiquent qu’ils continuent à trouver des failles depuis la présentation initiale de leurs découvertes à la CanSecWest.
Il y a quand même quelques « bonnes nouvelles ». Ainsi, Dell et Lenovo ont pris conscience du danger et proposent (ou vont le faire) de nouveaux UEFI, qu’il faut évidemment installer sur le parc de machines déjà en place. En outre, les chercheurs indiquent travailler avec Intel pour mettre au point une véritable isolation du SMM. Il faudra cependant du temps et un support de la part des constructeurs de cartes mères.
Notez quand même que dans une réponse récente donnée au CERT, Intel a indiqué que ses processeurs, à partir de la génération Haswell, disposaient d'une fonctionnalité optionnelle permettant de verrouiller le SMM. Le cas des plateformes AMD n'est par contre pas du tout évoqué. De notre côté, nous avons contacté Intel, l'équipe de chercheurs ainsi que certains fabricants de carte mères afin d'avoir de plus amples informations, sans aucun retour pour le moment.
