Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



RDFU une plate-forme de détection des Rootkits UEFI

Par Rédaction, secuobs.com
Le 15/08/2013


Résumé : Des chercheurs de la société ReversingLabs, Mario Vuksans et Tomislav Pericin, ont présenté une nouvelle plate-forme open-source de détection des Rootkits UEFI lors de l'édition 2013 de la conférence Black Hat USA.



Lors de la dernière édition de la conférence Black Hat USA, des chercheurs en sécurité ont présenté un nouveau projet open-source dont le but est de faciliter la recherche de « Rootkits » sur une grande variété d'équipements différents, qu'ils soient de nature fixe ou mobile et ce peu importe donc le type de système d'exploitation privilégié pour faire fonctionner ces derniers.

Développée par des chercheurs de ReversingLabs, cette nouvelle plate-forme de détection est en fait conçue afin d'analyser les implémentations d'Unified Extensible Firmware Interface (UEFI), le successeur du BIOS, présent dans les équipements les plus récents et censé offrir une plus grande sécurité que ce dernier pour les équipements qui en sont équipés, notamment grâce à Secure Boot.

Bien qu'implémentée sur un large parc de ces équipements, comme déjà mentionné, Mario Vuksans, fondateur et CEO de ReverslinLabs, déplore néanmoins que la protection d'UEFI n'ait pas forcément reçu la plus grande attention. Arguant notamment que tous les efforts faits en matière de protection des systèmes d'exploitation soient rendus caduques par les largesses offertes par UEFI.

Vouée à devenir une tendance grandissante dans le monde de la sécurité offensive, l'exploitation de ces largesse ne bénéficie pas à l'heure actuelle d'un nombre suffisant d'outils permettant un audit efficace pour les professionnels s'en protéger, d'où la nécessité pour Mario Vuksans de développer une plate-forme comme RDFU (Rootkit Detection Framework for UEFI) via ReverslinLabs.

Ce dernier offrant notamment aux développeurs la possibilité de générer de façon modulaire des scanners UEFI pour n'importe quelle implémentation des versions actuelles, ou à venir, de la norme. A noter que bien RDFU ne soit pas encore publié, une preuve de concept a néanmoins été présentée afin de démontrer son efficacité face à un exploit développé pour fonctionner sous Mac OS X.

Source :

« A New Framework For Detecting Advanced Rootkits » sur « Dark Reading » ( lien )