Archives quotidiennes :

Cybersécurité, Securite informatique

Une faille critique dans Secure Boot menace des millions de PC

Une nouvelle vulnérabilité critique dans le démarrage sécurisé UEFI remet en cause la confiance accordée à l’infrastructure de démarrage sur des millions d’appareils dans le monde.

Rejoignez-nous sur vos réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

Le 10 juin 2025, la société de cybersécurité BINARLY a révélé la vulnérabilité CVE-2025-3052 affectant le composant UEFI « Dtbios-efi64-71.22.efi », signé par le certificat Microsoft UEFI CA 2011. Ce fichier, chargé avant le système d’exploitation, est exécuté comme un composant de firmware sur les systèmes compatibles Secure Boot, indépendamment de l’OS installé. Le probléme, noté 8,2 sur 10 a été notifié CVE 2025-3052.

Un rapport détaillé démontrant que cette application effectue des écritures non sécurisées en mémoire à partir de la variable NVRAM nommée « IhisiParamBuffer ». Le module vulnérable, utilisé notamment dans certains firmwares basés sur InsydeH2O, exécute plusieurs opérations de copie mémoire sans valider les adresses cibles. Cela ouvre la voie à une attaque de type « arbitrary write », permettant à un utilisateur disposant de privilèges administrateur de manipuler des pointeurs sensibles, y compris ceux gérant la sécurité de démarrage.

Le Secure Boot peut être désactivé à distance

Lors d’une démonstration technique, les chercheurs de BINARLY ont montré qu’un attaquant peut neutraliser le démarrage sécurisé UEFI en réinitialisant à zéro un pointeur vers la structure « gSecurity2 », responsable de la vérification des modules signés. Une fois cette structure désactivée, le système accepte n’importe quel module, même non signé, autorisant ainsi l’installation de bootkits ou de malwares avant que l’OS ne démarre.

Cette attaque affecte tous les systèmes où la condition de boucle initiale est remplie et où le certificat Microsoft UEFI CA 2011 est approuvé.

L’un des éléments les plus préoccupants est que le fichier vulnérable, signé par Microsoft, a été retrouvé sur la plateforme VirusTotal, ce qui confirme sa présence dans la nature. Cette signature garantit que l’exécutable est accepté par la majorité des plateformes utilisant le Secure Boot activé par défaut, y compris sous Windows et certaines distributions Linux compatibles UEFI.

La présence de cette signature légitime empêche son blocage automatique, ce qui rend l’exploitation d’autant plus simple pour des attaquants capables d’obtenir un accès local avec privilèges élevés.

️ VEILLE ZATAZ, VOTRE RADAR CYBER

Adoptée et approuvée par 96 % de nos abonnés !

Découvrir la veille maintenant

Aucune publicité. Alerte directe. Veille éthique.

Une menace à large échelle, dépendante du firmware

La gravité de la faille, classée 8,2 sur l’échelle CVSSv3.1, découle de sa présence dans un composant certifié et dans des conditions d’exécution fréquentes. Toutefois, tous les systèmes ne sont pas également vulnérables. BINARLY note que l’attaque dépend de l’implémentation du BIOS et de la gestion des variables NVRAM.

Par exemple, les firmwares d’Insyde peuvent restreindre l’accès aux variables NVRAM en dehors de certaines phases du cycle d’amorçage. Cependant, cette protection n’est pas infaillible. Si une autre faille permet d’accéder à la NVRAM ou d’injecter des valeurs, la vulnérabilité redevient exploitable.

La centralité du certificat Microsoft UEFI CA 2011 dans cette attaque augmente sa surface d’impact. Ce certificat est intégré à la base de données de confiance (« db ») de la plupart des plateformes, ce qui signifie que des millions d’appareils sont potentiellement exposés. Aucun changement dans les réglages utilisateur ne suffit à corriger ce problème sans mise à jour du firmware ou révocation explicite du binaire vulnérable.

BINARLY appelle les éditeurs de BIOS/UEFI à supprimer les appels non sécurisés au tampon NVRAM « IhisiParamBuffer » et à renforcer les protections des variables NVRAM. Surtout, il est recommandé d’ajouter l’empreinte du binaire vulnérable à la liste noire UEFI dbx (UEFI Forbidden Signature Database), permettant son rejet explicite lors du démarrage.

Cybersécurité, Mise à jour

Microsoft sous pression, 65 failles corrigées en juin

Microsoft a publié ce mois-ci des correctifs pour 65 vulnérabilités de sécurité, dont 9 critiques, dans le cadre de son traditionnel Patch Tuesday.

Depuis le début de l’année, le rythme des correctifs s’intensifie pour Microsoft. Avec déjà près de la moitié du total de vulnérabilités corrigées en 2024, l’éditeur est confronté à une pression croissante pour contenir les failles, dont certaines sont activement exploitées. En juin, 65 vulnérabilités (CVE) ont été corrigées, selon les informations officielles publiées par le Microsoft Security Response Center (MSRC), dont 9 critiques. Deux vulnérabilités zero day sont recensées, dont une fait déjà l’objet d’une exploitation active à grande échelle. Plusieurs failles restent cependant non corrigées, comme BadSuccessor, soulevant des inquiétudes sur le rythme et la portée de la réponse sécuritaire de l’éditeur.

Une CVE activement exploitée dès sa divulgation

Parmi les vulnérabilités les plus notables de ce Patch Tuesday figure la CVE-2025-33053. Il s’agit d’une faille d’exécution de code à distance dans le composant WebDAV (Web Distributed Authoring and Versioning), un protocole étendant les capacités de HTTP. Cette CVE est classée comme critique par Microsoft, et son exploitation a été confirmée. Wilfried Bécard, chercheur en cybersécurité chez Synacktiv, a mis au jour cette vulnérabilité majeure dans Active Directory. Elle permet l’exécution de code à distance et l’élévation de privilèges sur les systèmes Windows sans signature SMB (config par défaut). Check Point Research indique que le groupe Stealth Falcon exploiterait ce 0day.

Les attaquants utilisent des fichiers .url piégés pour inciter les cibles à exécuter du code malveillant. Cette méthode a permis une prise de contrôle distante sans interaction supplémentaire. La faille touche les systèmes Windows exposant le service WebDAV non protégé. L’exploitation a été observée dans plusieurs campagnes ciblées.

La CVE-2025-33053 est une des rares vulnérabilités zero day signalées et exploitées activement dès le jour du Patch Tuesday. (une découverte de la société Sinaktiv)

Microsoft a publié un correctif dans son Patch Tuesday de juin. La base de connaissance KB5039705, consultée le 11 juin 2025, fournit les détails de la vulnérabilité ainsi que les systèmes affectés. Les systèmes Windows Server 2016, 2019, 2022 et Windows 10/11 sont concernés, notamment lorsque les services WebDAV sont activés.

BadSuccessor reste non corrigée malgré une divulgation publique

À l’inverse, Microsoft n’a pas encore corrigé la vulnérabilité CVE non référencée mais surnommée « BadSuccessor« , découverte par les chercheurs d’Akamai. Cette faille permet une élévation de privilèges dans les environnements Active Directory. Elle a été divulguée publiquement le 21 mai 2025 par Akamai, preuve de concept à l’appui.

L’exploitation repose sur l’existence d’au moins un contrôleur de domaine sous Windows Server 2025. Selon Tenable, cette configuration ne concerne qu’environ 0,7 % des domaines Active Directory étudiés. Malgré sa portée limitée, la disponibilité publique d’un exploit, notamment via l’outil SharpSuccessor intégré dans les frameworks d’attaque NetExec et BloodyAD, renforce les risques.

Microsoft a confirmé qu’un correctif est prévu, mais aucune date précise n’a été fournie au moment de la publication de cet article. Le MSRC n’a pas encore attribué de CVE officielle à cette faille. Les administrateurs sont invités à limiter les permissions dans Active Directory et à surveiller tout comportement anormal des identités disposant de privilèges élevés.

Une autre zero day divulguée mais non exploitée

La deuxième faille zero day identifiée en juin, selon Microsoft, fait l’objet d’une divulgation publique, mais aucun cas d’exploitation n’a été confirmé à ce jour. Il s’agit de la CVE-2025-33632, une vulnérabilité de type « information disclosure » affectant Windows Kernel. Cette CVE a été notifiée par un chercheur indépendant, mais Microsoft classe le risque comme modéré, la faille ne permettant pas d’exécution de code ou d’élévation directe de privilèges.

Selon le rapport du MSRC, consulté le 11 juin 2025, cette vulnérabilité est cependant considérée comme suffisamment sensible pour avoir justifié un correctif immédiat.

Un patch controversé pour la CVE-2025-21204

En avril dernier, Microsoft corrigeait la CVE-2025-21204, une faille d’élévation de privilèges. Dans le cadre de la mise à jour cumulative publiée ce mois-ci, l’éditeur a modifié sa méthode de sécurisation. Un dossier nommé %systemdrive%\inetpub est désormais généré pour renforcer certaines permissions du système. Cependant, plusieurs utilisateurs l’ont supprimé manuellement, craignant une modification non documentée.

Face aux inquiétudes, Microsoft a publié un script de remédiation, consulté le 11 juin 2025, permettant de restaurer ce répertoire avec les bonnes permissions et de rétablir les listes de contrôle d’accès (ACL) appropriées. Il est explicitement recommandé à toute organisation ayant supprimé manuellement le dossier de lancer ce script, sous peine de dysfonctionnements des services dépendants.

Microsoft publie un script officiel pour corriger manuellement la suppression du dossier système créé lors du correctif de la CVE-2025-21204.

Un volume de correctifs toujours soutenu

Avec les 65 vulnérabilités corrigées ce mois-ci, le total des CVE publiées par Microsoft en 2025 atteint désormais 486, selon le suivi de Tenable Research. À mi-parcours de l’année, ce chiffre représente déjà près de 48 % du total de 2024, qui s’élevait à 1 009 vulnérabilités selon les archives du MSRC.

La majorité des failles de juin sont classées « importantes » par Microsoft, car elles permettent généralement une élévation de privilèges, un contournement de fonctionnalités de sécurité ou une divulgation d’informations. Elles concernent un éventail large de produits, notamment Microsoft Office, Windows Kernel, les navigateurs Edge basés sur Chromium, ainsi que des composants tels que Microsoft Dynamics 365.

Le détail complet de ces vulnérabilités est accessible sur la page officielle MSRC – June 2025 Security Updates, consultée le 11 juin 2025. Chaque CVE y est documentée avec son score CVSS, sa description, les produits concernés et les références aux correctifs correspondants.

Satnam Narang, ingénieur principal chez Tenable, souligne la pression croissante qui s’exerce sur les équipes de sécurité informatique : « Le nombre de CVE corrigées en 2025 nous rapproche déjà de la moitié du total de l’année dernière. À mesure que ce chiffre augmente chaque année, la pression sur les défenseurs du cyberespace pour atténuer efficacement ces vulnérabilités s’intensifie également.« 

Cette dynamique reflète une tendance plus large : l’augmentation continue des surfaces d’attaque, l’évolution rapide des techniques d’exploitation, et la démocratisation d’outils de type « exploit framework » qui facilitent l’industrialisation des campagnes malveillantes.

Certaines failles, comme celles utilisées par le groupe Cl0p en 2023 contre les logiciels de transfert de fichiers (MOVEit, GoAnywhere), ont démontré la vitesse avec laquelle une vulnérabilité zero day peut être exploitée à grande échelle, motivée par des gains financiers immédiats. L’exploitation rapide de la CVE-2025-33053 semble suivre une trajectoire similaire.