Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

New HybridPetya Ransomware Bypasses UEFI Secure Boot With CVE-2024-7344 Exploit

4 minute de lecture

Mis à jour :

HybridPetya : Ransomware Avancé Contournant la Sécurité UEFI

Une nouvelle souche de ransomware, nommée HybridPetya, a été découverte. Elle partage des similitudes avec les malwares NotPetya et Petya, mais se distingue par sa capacité à contourner le mécanisme Secure Boot des systèmes UEFI. Cette manœuvre est rendue possible grâce à l’exploitation d’une vulnérabilité récemment corrigée.

HybridPetya cible le Master File Table (MFT) des partitions formatées en NTFS, stockant ainsi les métadonnées essentielles aux fichiers. Contrairement à ses prédécesseurs, il peut infecter des systèmes UEFI modernes en installant une application EFI malveillante sur la partition système EFI. L’application UEFI est le composant central qui procède au chiffrement du MFT.

Le malware est composé de deux éléments principaux : un bootkit et un installateur. Le bootkit, déployé par l’installateur, est responsable du chargement de sa configuration et de la vérification de son état de chiffrement. Il peut indiquer trois états : “prêt pour le chiffrement” (0), “déjà chiffré” (1), ou “rançon payée, disque déchiffré” (2). Lorsqu’il est en état 0, il chiffre le fichier “\EFI\Microsoft\Boot erify” avec l’algorithme Salsa20, à l’aide d’une clé et d’un nonce spécifiés. Il crée ensuite le fichier “\EFI\Microsoft\Boot\counter” sur la partition système EFI pour suivre les clusters de disque déjà chiffrés avant de lancer le processus de chiffrement de toutes les partitions NTFS. Pendant ce temps, un faux message de CHKDSK est affiché, trompant l’utilisateur qui pense que le système effectue une réparation d’erreurs de disque.

Si le bootkit détecte que le disque est déjà chiffré (état 1), il présente une demande de rançon. Celle-ci s’élève à 1 000 $ en Bitcoin, avec une adresse de portefeuille spécifiée. Le note de rançon propose également une option pour saisir une clé de déchiffrement achetée après paiement. Si la clé est correcte, l’état passe à 2 et le processus de déchiffrement est initié en lisant le contenu du fichier “\EFI\Microsoft\Boot\counter”. Le déchiffrement s’arrête lorsque le nombre de clusters déchiffrés atteint la valeur enregistrée. Durant cette phase, le bootkit affiche l’état d’avancement et restaure les chargeurs de démarrage légitimes à partir de sauvegardes. Une fois terminé, l’utilisateur est invité à redémarrer sa machine Windows. L’installation du bootkit UEFI déclenche initialement un crash système (BSoD) pour assurer l’exécution du malware au redémarrage.

Certaines variantes d’HybridPetya exploitent la vulnérabilité CVE‑2024‑7344 (score CVSS : 6.7). Cette faille d’exécution de code à distance dans l’application UEFI Howyar Reloader (“reloader.efi”, renommée “bootmgfw.efi” dans l’artefact) permet un contournement de Secure Boot. Cette variante contient un fichier nommé “cloak.dat” qui, chargé par reloader.efi, embarque le binaire du bootkit XORé. Le processus de chargement, effectué de manière non sécurisée par reloader.efi sans vérification d’intégrité, permet de contourner UEFI Secure Boot. Microsoft a révoqué le binaire vulnérable lors de sa mise à jour Patch Tuesday de janvier 2025.

Contrairement à NotPetya, HybridPetya permet aux attaquants de reconstruire la clé de déchiffrement à partir des clés d’installation personnelles de la victime. Les données de télémétrie n’indiquent pas encore d’utilisation d’HybridPetya sur le terrain. La découverte récente d’un preuve de concept (PoC) UEFI Petya suggère une possible relation ou que HybridPetya pourrait lui-même être un PoC. Il rejoint ainsi d’autres exemples connus de bootkits UEFI avec capacité de contournement de Secure Boot, tels que BlackLotus, BootKitty et un PoC de backdoor Hyper-V. Cela souligne une tendance croissante des contournements de Secure Boot, devenant plus courants et attrayants pour les chercheurs comme pour les cybercriminels.

Points Clés :

  • Nouvelle souche de ransomware nommée HybridPetya.
  • Ressemble à Petya/NotPetya mais avec des capacités avancées.
  • Chiffre le Master File Table (MFT).
  • Installe un bootkit et un installateur sur les systèmes UEFI.
  • Affiche un faux message de CHKDSK pour masquer le chiffrement.
  • Demande une rançon en Bitcoin.
  • Capacité à reconstruire la clé de déchiffrement à partir des clés de l’utilisateur.

Vulnérabilités Exploités :

  • CVE‑2024‑7344 : Vulnérabilité d’exécution de code à distance dans Howyar Reloader UEFI application (“reloader.efi”). Permet le contournement d’UEFI Secure Boot.

Recommandations :

  • Maintenir les systèmes à jour, notamment avec les mises à jour de sécurité de janvier 2025 de Microsoft qui ont corrigé la vulnérabilité CVE‑2024‑7344.
  • Mettre en œuvre des mesures de sécurité robustes pour la détection et la prévention des ransomwares.
  • Être vigilant face aux messages de système qui ressemblent à des diagnostics ou réparations, en particulier lors du démarrage.

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces