En janvier dernier, deux chercheurs en sécurité montraient comment un périphérique Thunderbolt pouvait être utilisé sur Mac pour infecter ensuite les autres périphériques du même acabit. L'une des brèches a été depuis colmatée, mais l’exploitation, baptisée Thunderstrike, revient désormais dans une version 2 qui peut être déclenchée à distance.
Thunderstrike avait pour objectif de placer dans un périphérique Thunderbolt un bootkit qui pouvait ensuite infecter le Mac lors de la connexion. Le malware était en fait stocké dans l’Option ROM du périphérique (dans les grandes lignes, son firmware), qui peut être un accessoire aussi simple que l’adaptateur d’Apple Thunderbolt vers Ethernet Gigabit. Une fois connecté sur le Mac, le bootkit s’installait dans le firmware de la machine et devenait capable alors d’infecter tous les autres accessoires, à condition qu’ils disposent eux aussi d’une Option ROM.
La seule réelle barrière à l’exploitation de cette faille (qui a été en partie corrigée avec la mise à jour 10.10.2 pour Yosemite) est qu’il fallait un accès physique à la machine. Une fois qu’elle était infectée, elle pouvait se transformer en relais automatique pour le bootkit. Mais les chercheurs Xeno Kovah et Trammell Hudson ont travaillé sur une version 2 de l’exploit qui a désormais la capacité de pouvoir être déclenché à distance.
Thunderstrike revient et peut être déclenchée à distance
Le principe reste globalement le même, mais quand l’accès physique à la machine est impossible, les pirates ont la possibilité d’envoyer un email ou de préparer un site web malveillant pour exécuter du code, l’objectif étant bien sûr de provoquer l’infection initiale de l’accessoire Thunderbolt branché sur le Mac. Une fois cette étape passée, la machine peut redevenir le relais d’infection qu’elle aurait été avec un accès direct à la machine.
Pour Xeno Kovah, il est extrêmement difficile de combattre un tel problème : « Il est très difficile de détecter [cette attaque], très difficile de s’en débarrasser, très difficile de se protéger contre quelque chose qui fonctionne à l’intérieur d’un firmware. Pour la plupart des utilisateurs, c’est réellement le genre de situation où ne peut que jeter sa machine. La plupart des gens et des entreprises n’ont pas les ressources pour ouvrir physiquement leur machine et reprogrammer électriquement la puce ». Car là est bien le problème.
Une technique efficace et particulièrement discrète
Difficile en effet en déloger le bootkit transmis par l’Option ROM d’un périphérique Thunderbolt. D’une part, la grande majorité des produits de sécurité ne scannent pas ce type d’emplacement, se concentrant surtout sur les fichiers stockés dans le disque et sur la mémoire vive. Mais, d'autre part, même s’ils pouvaient détecter le malware, ce dernier ne pourrait pas pour autant être supprimé facilement car Thunderstrike referme derrière lui la porte qu’il a empruntée : il corrige la faille pour ne pas être dérangé ensuite.
Ce type de technique est selon les chercheurs assez proches des méthodes que l’on prête à la NSA : très efficaces une fois en place, particulièrement délicate à détecter, et encore davantage à supprimer, sans parler de la quasi-absence de traces sur la machine. On se rappelle également de la technique utilisée par Duqu 2.0 sur les machines du propre réseau de Kaspersky, et qui était si subtile et discrète que même l’éditeur a mis du temps à en comprendre le mécanisme.
C’est globalement le souci quand on parle d’infection des firmwares. Comme nous l’avions déjà indiqué, stocker un code malveillant directement dans le matériel représente la destination idéale pour les pirates, quels qu’ils soient. En fonction du type de stockage visé, ils seront ainsi certains que le matériel aura préséance, son initialisation se faisant dans tous les cas avant le logiciel, et donc avant le système d’exploitation et les antivirus.
Des implémentations de référence qui rendent les exploitations reproductibles
« Les gens ne sont pas conscients du fait que ces petites puces peuvent réellement infecter leur firmware ». Et si le grand public est effectivement peu à même de comprendre les risques, les chercheurs n’hésitent pas à donner d’autres exemples : « Disons que vous faites tourner une centrifugeuse de raffinement de l’uranium et qu’elle n’est connectée à aucune réseau. Mais des gens viennent avec leurs portables et ils partagent peut-être leur adaptateurs Ethernet ou SSD externes pour expédier ou recevoir des données. Ces SSD ont des firmwares qui pourraient potentiellement transporter ce type d’infection ». On notera que l’exemple des centrifugeuses a été choisi en référence à Stuxnet, qui avait laissé des traces de son infection et avait donc permis l’enquête. Dans le cas de Thunderstrike, la piste serait beaucoup plus complexe à dénicher.
Xeno Kovah et Trammell Hudson indiquent par ailleurs que les problèmes de sécurité résident surtout dans le modèle global des firmwares EFI, utilisés par de nombreux constructeurs pour leurs machines et périphériques. « La plupart de ces firmwares sont bâtis à partir des mêmes implémentations de référence, donc quand quelqu’un trouve un bug qui affecte les ordinateurs portables Lenovo, il y a de bonnes chances qu’il affecte également ceux de Dell et HP » explique ainsi Kovah. Certaines vulnérabilités sont actuellement corrigées, mais les chercheurs n’ont pas dit lesquelles. Dans le cas d’Apple, seule une faille a été pleinement colmatée, une autre partiellement et trois autres restent ouvertes.
Pas de solution idéale, mais la rapidité prime
Comment régler le problème dans ce cas ? Les constructeurs pourraient signer leurs firmwares et mises à jour, tout en intégrant un mécanisme de vérification de ces signatures. Il s’agirait alors de contrôler l’intégrité de ce qui est présenté à un appareil. Comme le fait cependant remarquer Wired, cette méthode comporte un important bémol : si un groupe de pirates a les ressources suffisantes (notamment s’ils sont aidés par un gouvernement), ils pourraient être en mesure de voler la clé maître d’un constructeur, lui ouvrant de nombreuses portes.
D’autres informations seront probablement dévoilées durant la présentation de leurs derniers travaux le 6 août, lors de la conférence Black Hat. En attendant, la thématique des infections de firmwares est essentiellement secrète pour le grand public, ce qui ne signifie pas que l’industrie reste les bras croisés : « Certaines sociétés comme Dell et Lenovo ont été très actives en essayant de supprimer rapidement les vulnérabilités de leur firmware. La plupart des autres, dont Apple, ne l’ont pas fait ».
