Jusqu’à présent le firmware sous Linux, basé sur l’architecture UEFI, n’avait pas subi de grosses vulnérabilités. C’est avec plaisir que Linux accueille Bootkitty. Il s’agit d’un bootkit UEFI.
Les équipes ESET l’ont mis en avant il y a quelques jours. Le bootkit est une attaque complexe connue sur d’autres systèmes. “Bootkitty utilise un certificat auto-signé, ce qui l’empêche de fonctionner sur les systèmes où l’UEFI Secure Boot est activé. Néanmoins, il est conçu pour démarrer dans le noyau Linux de manière transparente dans tous les cas, en modifiant en mémoire les fonctions chargées des vérifications d’intégrité.
Ce bootkit est un rootkit sophistiqué qui peut remplacer le chargeur de démarrage et modifier le noyau avant son lancement. En prenant le contrôle du processus de démarrage et en exécutant du code malveillant avant même le démarrage du système d’exploitation, Bootkitty permet à l’attaquant de prendre le contrôle complet de la machine ciblée.” explique ESET.
Bootkitty exploite la faille LogoFAIL, déjà vue avec la CVE-2023-40238. Ce bootkit est potentiellement exécutable sur toutes les machines qui ne sont pas patchées contre LogoFAIL… L’attaque est complexe mais le bootkit permet de prendre le contrôle des couches basses de la machine et donc du système.
Schéma de LogoFAIL par Binarly
