Debian, Ubuntu, Red Hat, etc. : une faille de sécurité critique a été corrigée dans le bootloader Shim
Une faille de sécurité critique a été découverte dans le bootloader Shim utilisé par des distributions Linux populaires telles que Debian, Ubuntu et Red Hat. En l'exploitant, un attaquant peut exécuter du code sur la machine avant même que les fonctions de sécurité du système soient chargées. Faisons le point.
Qu'est-ce que Shim ?
Shim est un bootloader open source, ou un chargeur d'amorçage en français. Il a pour objectif d'être initialisé par le firmware pour servir d'intermédiaire entre le matériel et le système d'exploitation. Autrement dit, il est chargé avant le système d'exploitation lui-même. Dans le cas d'une machine sous Linux, Shim intervient avant le chargement de GRUB2.
Maintenu par Red Hat et signé avec une clé Microsoft, Shim sert à ajouter la prise en charge du Secure Boot sur les machines avec de l'UEFI. En principe, le Secure Boot est là pour renforcer la sécurité de la machine en évitant que du code malveillant puisse être exécuté pendant le processus de démarrage.
La vulnérabilité CVE-2023-40547 dans Shim
Bill Demirkapi, un chercheur en sécurité de chez Microsoft, a fait la découverte d'une faille de sécurité critique dans Shim. Associée à la référence CVE-2023-40547, elle a été divulguée pour la première fois le 24 janvier 2024.
La faille de sécurité de type "out-of-bounds write" se situe dans le composant "httpboot.c" qui est utilisé par Shim pour charger une image réseau via le protocole HTTP. A partir d'une requête HTTP spécialement conçue pour exploiter cette vulnérabilité, un attaquant peut compromettre une machine via l'exécution de code privilégié avant même que le système d'exploitation soit chargé. Ainsi, le code malveillant peut agir avant que les fonctions de sécurité du système soient activées.
Dans un rapport publié au sujet de cette vulnérabilité, la société Eclypsium évoque trois scénarios d'exploitation possibles :
- Une attaque à distance basée sur un scénario man-in-the-middle, où l'attaquant va se positionner entre la machine qui effectue un boot réseau et le serveur HTTP où la machine doit récupérer l'image.
- Une attaque en local basée sur l'utilisation d'un live CD Linux (ou d'une clé USB bootable) pour modifier les variables EFI ou la partition EFI de la machine.
- Une attaque via le réseau local où le pirate s'appuie sur un serveur PXE malveillant
Comment se protéger ?
Le 5 décembre 2023, Red Hat a mis à jour Shim pour corriger la faille de sécurité découverte par Bill Demirkapi. La version 15.8 de Shim permet de se protéger.
Désormais, il faut que cette modification soit prise en charge dans les différentes distributions où Shim est utilisée. Il y a déjà plusieurs bulletins de sécurité disponibles du côté de Red Hat, SUSE, Debian et Ubuntu.
Enfin, Eclypsium explique qu'en plus de la mise à jour Shim, les utilisateurs doivent mettre à jour la liste de récovation DBX du Secure Boot UEFI. Cette opération peut être effectuée via l'interface graphique de Linux, ou en ligne de commande via "fwupdmgr update" qui s'appuie sur le paquet fwupd.
bonjours, savez vous si c’est possible de configurer debian12 pour que quand on démarre l’ordinateur internet soi désactivé jusqu’au chargement du bureau ? (cela serait parfait de crée une petite fenêtre qui permet de cocher l’activation wifi ).