Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



EFIPW récupère automatiquement le mot de passe BIOS EFI des Macbook Pro avec processeurs Intel

Par Rédaction, secuobs.com
Le 13/04/2009


Résumé : EFIPW est un outil permettant de récupérer automatiquement le mot de passe défini dans les BIOS EFI qui sont utilisés au sein des ordinateurs de type Apple Macbook Pro fonctionnant sur des processeurs Intel Core Duo et Intel Core 2 Duo.



Il existe actuellement une faiblesse au sein du mécanisme de protection des mots de passe définis par les micro-logiciels de type BIOS EFI ( lien ) installés dans les ordinateurs de marque Apple. Et cela à condition que ces ordinateurs soient basés sur l'utilisation des plateformes matérielles estampillées Intel. Partant de ce constat, un nouvel outil de compromission EFIPW vient d'être mis à disposition afin qu'un attaquant ait l'opportunité d'automatiser le récupération et la modification du mot de passe défini au niveau du BIOS de ces machines.

L'exploitation de cette faiblesse a été confirmée depuis un système d'exploitation Mac OS X 10.5.6 ( lien ) régissant des ordinateurs Apple de type Macbook Pro équipés de processeurs Intel Core Duo et Core 2 Duo. Dans ce contexte matériel, le problème étant que la méthode employée par le BIOS EFI ne se base pas à proprement parlé sur une technique efficace de chiffrement pour protéger le mot de passe BIOS, mais plutôt sur ce qui ressemble à une obfuscation basique ( lien ).

Ce qui ne s'avère pas idéal, vu la facilité démontrée par EFIPW pour révéler ces mots de passe BIOS. L'auteur précise néanmoins que l'utilisation de cet outil comporte un risque non-négligeable et qu'entre des mains peu habiles, il pourrait rendre instable l'ordinateur ciblé, incapable alors de redémarrer. La méthode employée ici nécessite de plus un accès préalable en tant que super-administrateur (root), où l'accès après le démarrage au mode Single User ( lien ) ; le contexte d'exploitation de cette attaque est donc plutôt restreint.

Cependant, si ce mot de passe est le même, ou plus ou moins le même, que ceux d'autres services utilisés par la victime, l'attaquant pourrait alors éventuellement accéder à ces services, ce qui implique des risques de fuites de données sensibles. Il pourrait alors compromettre d'autres machines pour élever ses privilèges au sein du réseau. Cette méthode pourrait également être utilisée par des administrateurs souhaitant automatiser la mise en place d'un mot de passe BIOS sur les machines Macbook Intel/Apple déployées au sein d'un parc informatique.

L'obfuscation fonctionne ici de la manière suivante, des chaînes ASCII sont acceptées par l'utilitaire en charge de gérer les mots de passe BIOS, seuls les caractères avec des valeurs décimales comprises entre trente deux et cent vingt sept incluse sont autorisés. Le mot de passe ne peut par ailleurs pas être plus long que deux cent cinquante caractères. Si le mot de passe est vide, l'utilitaire légitime stocke dans la NVRAM ( lien ) le mot de passe avec la valeur « none », les mots de passe vides ne sont bien sur pas recommandés.

Cette chaîne est traitée comme binaire, ce qui implique un décodage Hexadécimal/ASCII pour récupérer le mot de passe, le délimiteur % étant utilisé entre les éléments. Tous les autres bits sont eux marqués car commençant par NOT, cela facilitant ainsi l'identification des éléments lors du reversement. Le flux de bits en résultant est stocké comme mot de passe, toujours dans la NVRAM. Il est dès lors possible de reverser ces mécanismes d'obfuscation afin de récupérer le contenu de la NVRAM vers un format XML incluant le mot de passe BIOS en base64 ( lien ).

A noter que trois niveaux différents de sécurité peuvent être définis dans le BIOS EFI Apple. Le premier est le mode par défaut, à savoir aucun mot de passe, toutes les actions (single user, boot externe, ...) sont autorisées. Dans le second, le mot de passe est seulement demandé à un utilisateur souhaitant démarrer sur un périphérique externe (USB, CDROM, ...), les modes Single User et Target Disk Mode ( lien ) sont ici désactivés. Le dernier mode désactive quant à lui toutes les actions, dont le démarrage normal, tant qu'un mot de passe correct n'a pas été fourni par l'utilisateur.

Les utilisateurs, ayant défini un mot de passe au niveau de leur BIOS EFI sur un ordinateur Apple Macbook équipé de matériel Intel, ne doivent donc pas utiliser ce même mot de passe pour un autre mécanisme d'authentification, sous peine de risquer la compromission des comptes associés. Ce mot de passe étant facilement recouvrable, bien que son accès nécessite des privilèges root et que son recouvrement n'autorise pas la plupart du temps à faciliter à distance des accès ultérieurs ou des compromissions plus avancées.

Site EFIPW ( lien )

Source : Full Disclosure ( lien )