Des chercheurs en sécurité annoncent avoir découvert Bootkitty, fin novembre. Ce premier bootkit UEFI conçu pour cibler des systèmes Linux. Cette application malveillante, téléchargée sur VirusTotal sous le nom de « bootkit.efi », cible spécifiquement certaines versions d’Ubuntu. Vigilance ?
Bien qu’elle semble être une preuve de concept et non une menace active, cette découverte marque une évolution significative dans les attaques contre Linux, historiquement moins ciblé que Windows par les bootkits UEFI. Explications.
La découverte du bootkit
Bootkitty est une application UEFI signée avec un certificat auto-signé, ce qui la rend inopérante sur les systèmes avec UEFI Secure Boot activé par défaut. Cependant, elle est capable de contourner certaines sécurités en mémoire, désactivant la vérification de signature du noyau et préchargeant deux binaires ELF inconnus lors du processus de démarrage Linux. ESET a également identifié un module lié, nommé BCDropper, qui déploie un programme ELF pour charger un module de noyau non signé. Ces artefacts indiquent que Bootkitty est une preuve de concept, mais soulignent une potentielle escalade des menaces UEFI contre Linux.
Menaces UEFI : quelles conséquences ?
Les bootkits UEFI sont particulièrement dangereux car ils opèrent avant le démarrage du système d’exploitation, permettant un contrôle total de la machine affectée. Bien que Bootkitty semble limité à quelques versions d’Ubuntu et n’ait pas été déployé « in the wild », il met en lumière une vulnérabilité qui pourrait être exploitée à plus grande échelle à l’avenir. Historiquement, les bootkits UEFI ciblaient exclusivement les systèmes Windows, mais cette découverte pourrait inciter les attaquants à développer des versions plus sophistiquées pour Linux.
Les solutions
Pour se prémunir contre ce type de menace, ESET recommande de maintenir UEFI Secure Boot activé, de s’assurer que le firmware, les logiciels de sécurité et les systèmes d’exploitation sont à jour, et de vérifier la liste de révocations UEFI. En cas d’infection, la restauration d’un chargeur de démarrage légitime peut suffire à éliminer Bootkitty. Par exemple, déplacer le fichier légitime grubx64-real.efi à son emplacement original permet de remplacer l’application malveillante.
Conclusion
La découverte de Bootkitty s’inscrit dans une évolution plus large des menaces UEFI, qui ont commencé avec des preuves de concept en 2012 et se sont intensifiées avec des bootkits comme BlackLotus en 2023. Bootkitty est une alerte pour la communauté Linux, qui devra renforcer ses mécanismes de sécurité pour prévenir de futures attaques ciblées.
Pour une analyse détaillée, vous pouvez consulter l’étude complète d’ESET (en anglais) sur leur site WeLiveSecurity.
