Breaking SecureBoot with SMM
Pendant la conférence Insomni'Hack 2022, nous avons pu assister à une présentation de Itai Liba & Assaf Carlsbad sur un hack d'une partie peu connue de notre processeur X86, le System Management Module (SMM).
SMM est un firmware, permettant de faire passer le processeur d’un mode à un autre. Il est la clé de voûte de tout démarrage d’OS, en exécutant des opérations avec un très haut niveau de permission (considéré comme ring -2 ). Il possède un accès complet à l'entièreté de la mémoire physique ainsi qu’au BIOS.
SMM possédant sa propre mémoire SMRAM (system management RAM ),et n’est accessible qu'à travers le SMI (système management interruption) qui peut être appelé par le kernel à travers un buffer de communication.
En regardant de plus près, Itai Liba & Assaf Carlsbad ont découvert sur une architecture x86 (Dell) que le firmware SMM contenait certaines vulnérabilités accessibles à travers la partie userland (utilisateur).
Ils ont dans un premier temps cherché les différentes surfaces d’attaques de ce firmware et on découvert que son fonctionnement à travers le SMI et le buffer de communication n'était pas sécurisé. Il permettait d’effectuer une attaque de type nested pointer (pointeur non sanatize) couplé à une attaque ROP (Return Oriented Programming) afin d’exécuter du code au niveau SMM.
Sans rentrer dans les détails, il ont alors pu à partir d’un utilisateur root, bypasser toute protection mise en place au niveau BIOS, et donc par la même occasion désactiver le Secure Boot de l'ordinateur.
Ransomware Encryption Internals: A Behavioral Characterization
Nous avons pu assister à une présentation de Antonio Cocomazzi sur la détection comportementale des ransomware.
Les ransomwares ont évolué sur plusieurs aspects pour échapper aux antivirus, mieux énumérer les ressources et données sensibles à chiffrer et devenir plus performant.
On voit par exemple l’abandon de l’utilisation de clé RSA, au profit de ECDH qui a l’avantage de ne pas laisser de trace de la clé privée sur la machine de la victime.
Dans ce contexte le chercheur Antonio Cocomazzi nous présente ses recherches sur des heuristiques de détection d’activités malveillantes permettant de détecter un ransomware et donc de mettre à mal certaines évolutions des ransomwares.
Practical bruteforce of military grade AES-1024
Nous avons pu assister à une présentation unique sur une conférence sécurité, car rassemblant les deux parties d'une vulnérabilité, avec d'un coté l'attaquant et chercheur en cryptographie Sylvain Pelissier, et de l'autre le responsable opérationnel du produit chez ENCSecurity Boi Sletterink .
Dans un premier temps la conférence s'est axée sur la vulnérabilité découverte dans les logiciels fournis par Sony, SanDisk, et Lexar permettant de chiffrer le contenu du disque de manière transparente.
Ce logiciel peu connu, développé par ENCSecurity est brandé comme un logiciel de chiffrement de niveau militaire utilisant de l’AES 1024.
Cependant suite à une étude de Sylvain Pelissier, il s’est avéré que le logiciel contenait certains problèmes diminuant drastiquement son niveau de sécurité.
Pour mieux comprendre ces différents problèmes il faut revenir au fait que l’AES 1024 n’est pas définie dans les standards de cryptographie (NIST). Les utilisations standards d’AES sont 124, 192, et 256 avec respectivement 10, 12 ou 14 tours. Ils ont donc dû développer eux mêmes un moyen de faire de l’AES 1024, et là est le problème.
Car sans rentrer dans les détails, mais en développant leur propre version d’AES 1024, il n’ont malheureusement pas atteint un niveau de sécurité militaire.
Dans un second temps la conférence s'est axée sur la partie remédiation, car la vulnérabilité a engendré plein de problèmes pour l'éditeur. Comme la montée en version sur tous les softwares.