Symposium sur la sécurité des technologies de l'information et des communications

L'UEFI (Unified Extensible Firmware Interface) est issu d'un effort commun de la part de plusieurs constructeurs et acteurs de l'industrie, à l'initiative d'Intel. Il s'agit d'un nouveau composant logiciel s'interposant entre le matériel et le système d'exploitation et qui vise à remplacer le bon vieux BIOS. Le principal objectif lié à son déploiement est la modernisation du processus de boot tout en facilitant le développement d'outils s'exécutant avant le système d'exploitation.

Du point de vue l'attaquant, disposant au minimum des privilèges de l'administrateur, il peut être intéressant d'analyser les différents services proposés par le firmware afin de mettre en avant les nouvelles possibilités de corrompre un système donné par un bootkit.

Cette présentation propose d'étudier l'architecture globale de UEFI d'un point de vue sécurité et de faire un focus sur une implémentation concrète d'un bootkit pour Windows 8 x64: Dreamboot. L'implémentation choisie comporte deux charges spécifiques: une élévation de privilèges et un contournement de l'authentification locale Windows.