Moonbounce : un nouveau rootkit repéré dans la mémoire flash des cartes mères

Le par Mathieu M.  |  6 commentaire(s) | Source : Kaspersky
hacker

L'année 2022 commence à peine et la découverte de malwares de plus en plus perfectionnés inquiète.

Les experts de Kaspersky Lab ont annoncé la découverte d'un nouveau malware assez étonnant par sa capacité à se camoufler et donc, sa dangerosité.

Il s'agit d'un rootkit UEFI qui s'installe dans la puce SPI Flash des cartes mères PC. Une fois en place, il permet ainsi à un malware installé sur le PC de se réinstaller de lui-même s'il venait à être supprimé, et cela, même en cas de formatage ou de changement de disque dur.

Moonbounce

Baptisé MoonBounce, il s'installe dans le module CORE_DXE du firmware et se révèle ainsi particulièrement délicat à détecter. Il crée un driver malveillant dans le noyau de Windows qui permet ensuite d'injecter d'autres malwares dans svhost.exe. Les divers malwares se connectent à des serveurs de commande et téléchargent d'autres malwares sur la machine ciblée, l'objectif final étant de collecter des données personnelles et sensibles pour les renvoyer aux pirates.

Selon Kaspersky, MoonBounce serait exploité par APT41 connu aussi sous le nom de Winnti, un groupe de pirates chinois.

Kaspersky recommande ainsi de procéder aux mises à jour régulières du firmware UEFI et de vérifier l'activation de Bootguard sur sa machine si disponible.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
dan4 offline Hors ligne VIP icone 5402 points
Le #2155464
Pas de chicanes les Linuxiens et les Windowsiens: C'est égale pour tout le monde maintenant.
max6a offline Hors ligne Héroïque avatar 628 points
Le #2155469
D'un autre coté il fallait s'y attendre on a voulu un UEFI facilement accessible à tel point qu'on peut le mettre à jour à partir de l'OS directement. Alors oui c'est pratique, le BIOS il fallait démarrer le PC sur une disquette ou une clé USB formaté avec le bon fichier dessus, pour changer quelque chose redémarrer la machine avec une interface graphique n'acceptant que le clavier. pas possible de modifier les paramètres autrement. Si je me souvient bien on pouvait même paramétrer pour qu'il soit chargé en mémoire au démarrage afin que l'OS n'y accède jamais directement.
L'UEFI c'est pratique et bien plus facilement accessible donc les virus y accède aussi logique qu'on en arrive là.
onezero offline Hors ligne Vétéran icone 1774 points
Le #2155475
Encore une avancée majeure !

Le bon vieux BIOS été basique certe, mais fiable et sécurisé lui ... Et c'est pas en rajoutant des certificats et du cryptage à la c... qu'on sécurise un système, combien de temps faudra t'il pour que le monde comprenne ?

La réponse au problème est toujours la même: Faîtes des MAJ ... Bref on fait plus que ça des MAJ et sinon on travaille quand du coup ?

Bref Affligent !

mokocchi online Connecté Vétéran icone 1041 points
Le #2155485
max6a a écrit :

D'un autre coté il fallait s'y attendre on a voulu un UEFI facilement accessible à tel point qu'on peut le mettre à jour à partir de l'OS directement. Alors oui c'est pratique, le BIOS il fallait démarrer le PC sur une disquette ou une clé USB formaté avec le bon fichier dessus, pour changer quelque chose redémarrer la machine avec une interface graphique n'acceptant que le clavier. pas possible de modifier les paramètres autrement. Si je me souvient bien on pouvait même paramétrer pour qu'il soit chargé en mémoire au démarrage afin que l'OS n'y accède jamais directement.
L'UEFI c'est pratique et bien plus facilement accessible donc les virus y accède aussi logique qu'on en arrive là.


En effet, et le Secure Boot est censé protéger contre des modifications de firmware/altération de bootloader via des canaux non autorisés (notamment hors Win Update ou constructeur).
Le problème est que même niveau constructeur il peut y avoir des détournements/usurpation de serveurs et que tout n'est pas sécurisé de bout en bout. Une vulnérabilité a touché une centaine de références DELL :
https://eclypsium.com/2021/06/24/biosdisconnect/?utm_content=170654635&utm_medium=social&utm_source=twitter&hss_channel=tw-865342977442430978
Les mesures prises pour Windows 11 telles que l'exigence du TPM 2.0 et l'implémentation de Pluton permettraient d'atténuer fortement ces risques.
max6a offline Hors ligne Héroïque avatar 628 points
Le #2155497
mokocchi a écrit :

max6a a écrit :

D'un autre coté il fallait s'y attendre on a voulu un UEFI facilement accessible à tel point qu'on peut le mettre à jour à partir de l'OS directement. Alors oui c'est pratique, le BIOS il fallait démarrer le PC sur une disquette ou une clé USB formaté avec le bon fichier dessus, pour changer quelque chose redémarrer la machine avec une interface graphique n'acceptant que le clavier. pas possible de modifier les paramètres autrement. Si je me souvient bien on pouvait même paramétrer pour qu'il soit chargé en mémoire au démarrage afin que l'OS n'y accède jamais directement.
L'UEFI c'est pratique et bien plus facilement accessible donc les virus y accède aussi logique qu'on en arrive là.


En effet, et le Secure Boot est censé protéger contre des modifications de firmware/altération de bootloader via des canaux non autorisés (notamment hors Win Update ou constructeur).
Le problème est que même niveau constructeur il peut y avoir des détournements/usurpation de serveurs et que tout n'est pas sécurisé de bout en bout. Une vulnérabilité a touché une centaine de références DELL :
https://eclypsium.com/2021/06/24/biosdisconnect/?utm_content=170654635&utm_medium=social&utm_source=twitter&hss_channel=tw-865342977442430978
Les mesures prises pour Windows 11 telles que l'exigence du TPM 2.0 et l'implémentation de Pluton permettraient d'atténuer fortement ces risques.


Certes mais le meilleurs moyen de réduire encore ne serait-il pas de faire en sorte que l'UEFI ne puisse être modifié à partir de l'OS. Cela ne réduirait pas le risque de compromission du fichier sur le serveur mais surveiller un serveur est sans doute plus facile que des milliards d'ordinateurs de tant de marques différentes.
La sécurité informatique suppose des contraintes et on se rend compte qu'à vouloir tout simplifier à l’extrême on ouvre sans cesse plus de failles.
Un peu d’éducation au numérique ne serait sans doute pas de trop mais cela fait longtemps que je n'y crois plus. La recherche de la facilité fait que la plupart des gens ne veulent même pas savoir comment cela fonctionne.
onezero offline Hors ligne Vétéran icone 1774 points
Le #2155506
max6a a écrit :

mokocchi a écrit :

max6a a écrit :

D'un autre coté il fallait s'y attendre on a voulu un UEFI facilement accessible à tel point qu'on peut le mettre à jour à partir de l'OS directement. Alors oui c'est pratique, le BIOS il fallait démarrer le PC sur une disquette ou une clé USB formaté avec le bon fichier dessus, pour changer quelque chose redémarrer la machine avec une interface graphique n'acceptant que le clavier. pas possible de modifier les paramètres autrement. Si je me souvient bien on pouvait même paramétrer pour qu'il soit chargé en mémoire au démarrage afin que l'OS n'y accède jamais directement.
L'UEFI c'est pratique et bien plus facilement accessible donc les virus y accède aussi logique qu'on en arrive là.


En effet, et le Secure Boot est censé protéger contre des modifications de firmware/altération de bootloader via des canaux non autorisés (notamment hors Win Update ou constructeur).
Le problème est que même niveau constructeur il peut y avoir des détournements/usurpation de serveurs et que tout n'est pas sécurisé de bout en bout. Une vulnérabilité a touché une centaine de références DELL :
https://eclypsium.com/2021/06/24/biosdisconnect/?utm_content=170654635&utm_medium=social&utm_source=twitter&hss_channel=tw-865342977442430978
Les mesures prises pour Windows 11 telles que l'exigence du TPM 2.0 et l'implémentation de Pluton permettraient d'atténuer fortement ces risques.


Certes mais le meilleurs moyen de réduire encore ne serait-il pas de faire en sorte que l'UEFI ne puisse être modifié à partir de l'OS. Cela ne réduirait pas le risque de compromission du fichier sur le serveur mais surveiller un serveur est sans doute plus facile que des milliards d'ordinateurs de tant de marques différentes.
La sécurité informatique suppose des contraintes et on se rend compte qu'à vouloir tout simplifier à l’extrême on ouvre sans cesse plus de failles.
Un peu d’éducation au numérique ne serait sans doute pas de trop mais cela fait longtemps que je n'y crois plus. La recherche de la facilité fait que la plupart des gens ne veulent même pas savoir comment cela fonctionne.


Je suis d'accord avec toi, mais manifestement il y a des gens qui aiment avoir des systèmes faillible et perdre leurs temps à faire sans cesse des MAJ ...

Après tout ça leurs donne peut être l'impression d'être utile
icone Suivre les commentaires
Poster un commentaire