Vulnérabilité CVE
CVE-2023-24932 - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
Description du problème
Microsoft a connaissance d'un exploit accessible au public pour le contournement de Secure Boot permettant aux attaquants d'exécuter du code auto-signé au niveau de l'interface micrologicielle extensible unifiée (UEFI) lorsque Secure Boot est activé. Pour se protéger contre cette attaque, le gestionnaire d'amorçage Windows sera mis à jour pour corriger les failles de sécurité, et des politiques de révocation des gestionnaires d'amorçage (révocations) sont fournies pour empêcher les anciens gestionnaires d'amorçage vulnérables de fonctionner après la mise à jour du système.
Microsoft a annoncé un article KB public qui décrit la protection contre la divulgation publique d'un contournement de la fonction de sécurité Secure Boot en utilisant le bootkit BlackLotus UEFI suivi par CVE-2023-24932, l'article a fourni les protections et les conseils pour mettre à jour les supports d'amorçage. Un bootkit est un programme malveillant conçu pour se charger le plus tôt possible dans la séquence d'un appareil, afin de contrôler le démarrage du système d'exploitation.
Pour que l'exploit BlackLotus UEFI bootkit décrit ci-dessus soit possible, un attaquant doit obtenir des privilèges administratifs sur un appareil ou obtenir un accès physique à l'appareil. Il peut le faire en accédant à l'appareil physiquement ou à distance, par exemple en utilisant un hyperviseur pour accéder à des machines virtuelles ou au nuage. Un attaquant utilisera généralement cette vulnérabilité pour continuer à contrôler un appareil auquel il a déjà accès et qu'il peut éventuellement manipuler.
Microsoft fournit la mise à jour de sécurité et les options de configuration pour activer manuellement les protections pour le contournement de Secure Boot le 9 mai 2023 (appelé en interne patch 5B) mais ces protections ne sont pas activées automatiquement. Avant d'activer ces protections, assurez-vous que les périphériques et tous les supports de démarrage sont mis à jour et prêts pour ce changement de renforcement de la sécurité.
Pour plus d'informations, veuillez vous référer à la KB : 5025885 de Microsoft : (Note : Les mesures d'atténuation figurant dans l'article de la KB sont préventives et non correctives.
Cause première
Secure Boot établit un chemin sûr et fiable entre l'UEFI et la séquence Trusted Boot du noyau Windows, ce qui permet d'éviter les logiciels malveillants de type "bootkit" dans la séquence de démarrage. La désactivation de Secure Boot expose un appareil au risque d'être infecté par un logiciel malveillant de type bootkit. La correction du contournement de Secure Boot décrit dans CVE-2023-24932 nécessite de révoquer les gestionnaires de démarrage. Cela pourrait causer des problèmes pour les configurations de démarrage de certains appareils.
Problème Fourchette d'impact
Se référer à l'annonce publique de Microsoft KB : 5025885
Tous les appareils Windows dont les protections Secure Boot sont activées sont concernés par ce problème, qu'il s'agisse d'appareils physiques sur site ou de certaines machines virtuelles (VM) ou d'appareils basés sur le cloud. Les protections sont disponibles pour les versions prises en charge de Windows. Pour la liste complète, veuillez consulter CVE-2023-24932.
Linux est également concerné par ce problème. Microsoft a travaillé en coordination avec les représentants des principales distributions Linux afin de rendre le correctif disponible pour leurs systèmes d'exploitation. Vous devez contacter le service d'assistance de votre distribution Linux pour obtenir des conseils sur la manière d'atténuer ce problème pour vos appareils Linux.
Résolution
Acer travaille en étroite collaboration avec Microsoft pour atténuer l'impact sur les utilisateurs et les appareils et fournira des informations supplémentaires et des mises à jour dès qu'elles seront disponibles.
