« La mer se fait menaçante | Page d'accueil | Les "rootkits" se préparent à attaquer les BIOS »
27 janvier 2006
Les "rootkits" se préparent à attaquer les BIOS
Arlington, Virginie - L'espionnage industriel pourrait devenir encore plus furtif en cachant des codes dans le BIOS, une puce située sur la carte mère, dotée d'une mémoire flash. C'est ce qu'ont déclaré des chercheurs ce mercredi à une conférence "Black Hat".
"Il ne faudra pas attendre bien longtemps avant que des logiciels malicieux commencent à prendre avantage de ceci. C'est tellement facile à faire; les outils sont déjà disponibles dont des compileurs pour le langage ACPI." a affirmé Greg Hoglund, le PDG de HBGary.
Un bon nombre de fonctions pour la gestion de l'alimentation électrique, aussi connus sous le nom de "ASvanced Configuration and Power Interface (ACPI) a son propre langage de programmation qui pourrait être utilisé pour coder un rootkit et stocker des fonctions spéciales dans le BIOS a avancé John Heasman, un des consultants de la compagnie Next-Generation Security Software.
Les chercheurs ont testé plusieurs fonctions de base, comme l'obtention de privilèges d'écriture, de lecture del a mémoire physique, le remplacement de fonctions légitimes stockées dans la mémoire flash de la carte-mère.
"Les rootkits devienennt une menace de plus en plus importante -- les attaques sur le BIOS ne sont que la prochaine étape" a déclaré Heasman durant sa conférence. "Même si ces attaques ne sont pas une menace pour l'instant, ceci est un avertissement aux experts de garder les yeux ouverts".
Ces préoccupations viennent alors que les professionnels de la sécurité devienent de plus en plus intéressés par les rootkits. Le mois dernier, un des chercheurs avait mentionné que le rootkit instllé par le géant de la musique Sony BMG restait actif sur les ordinateurs même si la procédure de désinstallation était suivie. Les utilisateurs d'ordinateurs Apple ne sont pas à l'abri pour autant, l'année dernière un rootkit pour MacOS X faisait son apparition.
Alors que dans le passé plusieurs attaques affectaient la mémoire flash, dont CIH et Chernobyl en 1998, la capacité d'utiliser la programmation de haut niveau disponible pour créer des fonctions ACPI a ouvert la porte beaucoup plus grand aux créateurs de logiciels malicieux.
Cependant, la capacité de "flasher" la mémoire dépend de la configuration de la carte-mère. En effet, si une configuration dans le BIOS désactive la modification du BIOS par défaut ou si un "jumper" doit être changé, l'ordinateur serait protégé.
"Les obstacles se dressant devant ces logiciels malicieux sont nombreux" a mentionné Heasman, "Pratiquement toutes les machines ont des protections physiques sur la carte-mère les protégeant contre l'écriture".
Un des problèmes avec le langage ACPI est que les fonctions sont valides peuvent être adaptées pour tous les systèmes d'opération dont windows, MacOS et linux.
Les chercheurs ont mis l'emphase sur le développement de nouvaux détecteurs de rootkit. En effet, les logiciels actuels ne se concentrent pas sur l'analyse de l'intégrité d'un système compromis mais se concentrent sur la détection de fichiers malicieux sur le disque dur.
Un autre moyen de contrer l'effet de logiciels malicieux dans la mémoire flash serait de détecter leur action dans la mémoire système lors qu'ils essaient d'intéragir avec le système d'opération.
Source: securityfocus.com - 26 jan. 2006
14:35 Publié dans Actualité, Science | Lien permanent | Commentaires (0) | Envoyer cette note