Nouveau module d'amorçage UEFI découvert contournant le Secure Boot
Rohde & Schwarz a identifié le premier module d'amorçage UEFI publiquement connu opérant en conditions réelles et contournant la fonctionnalité de sécurité Secure Boot. La menace, suspectée d'être BlackLotus, peut infecter des systèmes même avec Secure Boot activé.
Rohde & Schwarz a signalé la découverte du premier module d'amorçage UEFI publiquement connu, actif ("in-the-wild"), qui contourne une fonctionnalité de sécurité essentielle : UEFI Secure Boot. La menace est suspectée d'être un module d'amorçage nommé BlackLotus, qui aurait été vendu sur des forums de pirates informatiques pour environ 5 000 dollars depuis l'automne dernier.
UEFI (Unified Extensible Firmware Interface) est l'interface entre le firmware d'un ordinateur et son système d'exploitation. Secure Boot est conçu pour empêcher le chargement de logiciels malveillants pendant le processus de démarrage du système. La capacité du module d'amorçage BlackLotus à contourner cette protection signifie qu'il peut potentiellement infecter même les systèmes Windows 11 actuels avec Secure Boot activé.
Les modules d'amorçage UEFI représentent une menace importante car ils obtiennent un contrôle total sur le processus de démarrage du système. Cela leur permet de désactiver les mécanismes de sécurité du système d'exploitation et de s'intégrer au noyau du système très tôt dans la phase de démarrage. Ces logiciels malveillants restent invisibles pour les programmes antivirus conventionnels et peuvent survivre à une réinstallation du système d'exploitation, voire à un remplacement du disque dur. De plus, ils peuvent endommager le firmware, verrouiller des ordinateurs ou prendre le contrôle de systèmes entiers.
Rohde & Schwarz propose une protection contre ces menaces avancées avec ses solutions de poste de travail sécurisé, y compris la suite R&S®Trusted Endpoint Suite. Cette suite comprend le client VPN R&S®Trusted VPN Client, une solution indépendante du système d'exploitation qui agit comme un pare-feu UEFI, empêchant les logiciels malveillants d'infecter le firmware. Elle inclut également le chiffrement complet du disque R&S®Trusted Disk. Les deux composants sont approuvés par l'Office fédéral allemand pour la sécurité de l'information (BSI) pour la protection des données classifiées.