UEFI et bootkits PCI : le danger vient d’en basPierre Chifflier

UEFI est une initiative qui vise à remplacer les BIOS traditionnels des architectures PC par un code logiciel disposant de nouvelles fonctionnalités, et pouvant être utilisé sur d'autres architectures.

Dans cet article, nous étudions dans quelle mesure les changements apportés par UEFI peuvent modifier les moyens disponibles pour un attaquant cherchant à élever ses privilèges. Nous montrons comment un attaquant peut adapter des mécanismes utilisés pour modifier une extension PCI avec un BIOS, et les adapter pour UEFI.

Ces fonctions seront illustrées par la création d'une extension PCI pour une carte vidéo permettant de contourner les protections d'un noyau Linux d'une distribution Debian et de permettre à un processus utilisateur d'élever ses privilèges.

Nous discutons ensuite les mécanismes existants pour se protéger contre ces attaques, et leurs limites.