Des chercheurs ont mis au jour deux exploits publics permettant de contourner les protections offertes par Secure Boot, un mécanisme clé pour garantir que les appareils ne chargent que des images de système d’exploitation sécurisées lors du démarrage. Microsoft a choisi de bloquer un seul de ces exploits, laissant l’autre constituer une menace persistante.
Une faille critique exposée
Dans le cadre de sa routine mensuelle de mise à jour de sécurité, Microsoft a corrigé CVE-2025-3052, une vulnérabilité de contournement de Secure Boot affectant plus de 50 fabricants d’appareils. Plus d’une douzaine de modules permettant à ces appareils de fonctionner sous Linux permettent à un attaquant ayant un accès physique de désactiver Secure Boot et d’installer un malware s’exécutant avant le chargement du système d’exploitation. Ces attaques, dites ‘evil maid’, sont précisément ce que Secure Boot est conçu pour prévenir. La vulnérabilité peut également être exploitée à distance pour rendre les infections plus discrètes et plus puissantes si un attaquant a déjà obtenu un contrôle administratif sur une machine.
Un point de défaillance unique
La cause sous-jacente de cette vulnérabilité réside dans un outil utilisé pour flasher des images de firmware sur les cartes mères des appareils vendus par DT Research, un fabricant d’appareils mobiles robustes. Disponible sur VirusTotal depuis l’année dernière et signé numériquement en 2022, cet outil était destiné à fonctionner uniquement sur les appareils DT Research. Cependant, la plupart des machines fonctionnant sous Windows ou Linux l’exécuteront lors du processus de démarrage, car il est authentifié par un certificat cryptographique signé par Microsoft. Le correctif publié par Microsoft ajoute des hachages cryptographiques pour 14 variantes de l’outil DT Research à une liste de blocage.
Mais ce n’est pas tout
Un deuxième exploit public de Secure Boot a été découvert par le chercheur Zack Didcott. CVE-2025-47827 provient d’un module du noyau Linux pour la gestion de leur volume logique propriétaire. Les attaquants ayant un accès physique bref à un appareil peuvent le démarrer dans IGEL et modifier le chargeur de démarrage pour installer un malware. Didcott a signalé cette vulnérabilité à Microsoft, mais n’a reçu aucune indication que la société prévoyait de révoquer la signature. Les chercheurs d’Eclypsium ont souligné que ce module offre un moyen quasi universel de contourner les protections de Secure Boot.
