Après l’application d’un correctif, le Secure Boot-fonction de Windows ne peut plus être contourné

Microsoft comble une faille dans Windows qui permettait de contourner la fonction Secure Boot. Cette vulnérabilité était connue depuis l’été dernier.

Microsoft a déployé un correctif contre la vulnérabilité CVE-2024-7344 le 14 janvier. Cette vulnérabilité permettait à des pirates disposant de privilèges suffisants d’installer des logiciels malveillants pendant le démarrage et de désactiver la fonction Secure Boot. La mise à jour est en cours de déploiement pour toutes les versions prises en charge de Windows 11, Windows 10 et Windows Server.

La vulnérabilité a été découverte l’été dernier par Martin Smolár, un chercheur en sécurité employé par Eset. Secure Boot est censé empêcher l’exécution de logiciels non autorisés pendant le démarrage. Pour ce faire, il utilise un système de certification développé par Microsoft. Cela réduit le risque que des logiciels malveillants ou d’autres virus nuisibles entrent en action avant le démarrage de Windows.

Au-delà du contrôle

Smolár a détecté la vulnérabilité dans l’application logicielle SysReturn, un logiciel de récupération du système. Lors du démarrage, le logiciel n’utilisait pas les contrôles standard de SecureBoot, mais un chargeur externe appelé reloader.efi. Cependant, ce chargeur personnalisé n’effectuait pas de vérifications approfondies et, en fait, désactivait complètement SecureBoot.

Cependant, l’application était une application UEFI externe approuvée par Microsoft. Les attaquants ont donc la possibilité d’installer le chargeur sur un appareil afin d’exécuter des logiciels malveillants pendant le démarrage, sans pouvoir l’arrêter par le biais de Secure Boot. Pour ce faire, cependant, l’attaquant doit d’abord obtenir le contrôle administratif de l’appareil. Lorsqu’un logiciel malveillant parvient à s’intégrer dans le microprogramme à un stade précoce, il est difficile de s’en débarrasser, même en reformatant le disque dur.

Patch pour Windows

Le chargeur malveillant a ensuite été découvert dans six autres applications logicielles. Smolár a informé Microsoft et le CERT en juin de l’année dernière. Il a fallu attendre jusqu’à aujourd’hui pour qu’un correctif soit mis au point afin de remédier à la vulnérabilité.

Cela peut sembler long, mais une mise à jour de Secure Boot nécessite une préparation plus minutieuse qu’une mise à jour mensuelle de Windows. Des erreurs dans le système Secure Boot peuvent empêcher votre ordinateur de démarrer. Microsoft ne peut donc pas se permettre de diffuser une mise à jour instable.

La vulnérabilité affecte tous les systèmes qui reposent sur l’UEFI et pourrait en principe affecter également Linux. Le correctif de Microsoft ne colmate la fuite que pour les systèmes Windows : aucun correctif ne semble encore prévu pour Linux.