Microsoft inverse deux valeurs et laisse une faille béante dans l'UEFI
Pendant plusieurs mois, deux failles critiques qui auraient dû être bloquées par Microsoft en août 2022 sont restées béantes et la raison de ce problème est inattendue : Microsoft a inversé deux valeurs dans le correctif qui devait empêcher l'exploitation des deux failles.
Le mauvais hash
Les deux failles en question ont été présentées à la conférence DEF CON 30 et passent par des failles dans des fichiers liés à l'UEFI, c'est-à-dire le programme qui gère le démarrage de certains ordinateurs. La majorité des PC et les Mac Intel, par exemple, contiennent un UEFI. Pour arrêter les malandrins qui exploitent des failles dans l'UEFI, Microsoft propose une liste noire de fichiers qui doivent être bloqués. Nous avons parlé de cette dernière dans le cas d'une autre faille, Black Lotus, parce que cette liste de révocation est inutile dans certains cas.
BlackLotus, la faille « magique » impossible à patcher qui attaque l'UEFI et Windows
La découverte d'Eset — une entreprise spécialisée dans la sécurité — est presque risible : au moment de placer les bootloaders dans la liste noire, Microsoft s'est trompé de hash. Un hash, pour résumer, est une suite de caractères obtenue à travers une fonction mathématique. Ce hash est normalement unique : deux fichiers ne peuvent pas avoir le même hash et cette solution est donc souvent employée pour vérifier l'authenticité d'un fichier, que ce soit pour confirmer sa provenance ou — dans le cas présent — le bloquer.
Dans la pratique, la personne qui a ajouté les hash dans la base — il y en a plusieurs — a inversé les valeurs du hash SHA 256 FLAT (l'identifiant du fichier, en résumant) et le PE256 Authenticode (une signature liée à l'exécution). Cette erreur rendait de facto la liste de révocation inutile.
Dans sa liste de tweets, Eset explique que le problème a été découvert chez eux le 24 février 2023 et que Microsoft a mis à jour sa liste pour corriger le souci le 14 mars 2023. Comme souvent avec ce genre de liste, les appareils dont l'UEFI a été mis à jour entre août 2022 et mars 2023 sont donc vulnérables et la seule solution pour régler le problème est de mettre à jour l'UEFI avec la nouvelle version de la liste. Notons enfin qu'Eset indique qu'ils n'ont pas trouvé d'indices de l'exploitation des deux failles, ce qui ne veut pas dire qu'il n'y en a pas eu.
Image d'ouverture : Sebastian Derungs, CC BY-SA 2.0,
Microsoft = MaxiDaube
Ils ont fait une erreur, ça arrive hein... comme toi, tu fais certainement aussi des erreurs. Comme tout le monde partout.
@Edenpulse,
Ben non lui il se croit parfait !
😁
@noooty,
« Microsoft = MaxiDaube »
Tous les OS sont dans le même panier ! Aucuns sont fiables au vu du nombre de lignes de code nécessaire tout simplement !
👌
Linux :
https://www.generation-nt.com/actualites/pwnkit-faille-vieille-12-ans-redecouverte-linux-1997255
Microsoft = Gaston Lagaffe est Américain !
😁
@noooty
T’as pas utilisé MacOS toi 😂
@ fabricepsb71
> T’as pas utilisé MacOS toi
Très intelligent comme réponse. 🤮
@marc_os,
« Très intelligent comme réponse. 🤮 »
Tiens, on vomit encore !
😁
Et à son affirmation :
« T’as pas utilisé MacOS toi 😂 »
Votre réponse confirme que vous n'utilisez pas MacOS Ventura ou alors une version secrète ultra confidentielle compilée uniquement pour vous et sans bug ni failles dont certaines viennent d'être colmatées au lance-roquettes il y a juste quelques jours de celà !
Et c'est lui qui dit n'importe quoi !
👌😁
https://www.macg.co/macos/2023/03/macos-1175-et-macos-1264-bouchent-des-failles-de-securite-135719
@marc_os
C’est vrai, il ne faut pas critiquer un OS qui a pourtant ses bogues et qui reste loin d’être parfait,ni meilleur ni pire qu’un Windows.
@ fabricepsb71
Ce sont les critiques arbitraires à l'emporte pièce sans aucune argumentation que je critique.
@marc_os
Vous êtes une personne très sensible en fait 😅
Ironie et seconde degré,il va falloir s’y faire.
Il existe des cachets oit ça : 🤮
@ fabricepsb71
> Ironie et seconde degré,il va falloir s’y faire.
> Il existe des cachets
Il existe des émoji pour ça.
Rien de plus dur sur Internet que de reconnaître de l'humour dans un "texte" d'une dizaine de mots seulement en l'absence d'emoji pour dire "attention, ironie, humour".
Avec une personne en vrai on a le ton de la voix, et quand on connait la personne, on peut deviner si ce qu'elle dit apparement de façon hyper sérieuse, en fait c'est de l'humour.
Sur internet, on ne connait pas les gens, et le ton ne peut être indiqué que via des emoji...
errare humanum est
@marc_os
« errare humanum est »
Les erreurs initiales étant les failles détectées, on peut dire de leur correctif inapproprié : perseverare diabolicum.
Donc on peut se moquer de MS.
@marc_os,
« errare humanum est »
Vos premières paroles sensées et sans vomir de surcroît ! Il faut absolument que je note la date et l'heure !
Est-ce le refrain que vous chantait votre maman le soir pour vous endormir ?
😁
@Scooby-Doo
Quelle condescendance...
@bonnepoire,
« Quelle condescendance... »
Vous pouvez développer ? Soyez plus précis !
Condescendance :
1. Complaisance qui fait qu’on se rend aux sentiments, aux volontés de quelqu’un.
Merci du compliment !
👍
2. Bienveillance mêlée d’un léger mépris ; comportement distant, presque hautain, arrogant, ou qui pourrait être ressenti comme tel.
Merci encore parce que c'est vous qui l'écrivez et que j'avais déjà noté ce penchant dans vos propos !
👌
Pour information : je ne suis pas hautain mais direct sans tomber dans le politiquement correct si puritain des anglo-saxons ! En gros et pour faire simple, j'appelle un chat un chat !
C'est vrai, je le reconnais cela devient difficile d'éviter cette tendance générale un peu comme la téléréalité ou les influenceurs sur YouTube !
😁
Et sinon sur la fiabilité des OS en général et de Windows en particulier, vous êtes d'accord avec qui ?
👌
@Scooby-Doo
Votre obsession envers certains utilisateurs de ce forum est inquiétante …
@Baptiste_nv18
"@Scooby-Doo
Votre obsession envers certains utilisateurs de ce forum est inquiétante …"
Ton obsession pour @Scooby-Doo est de surcroît inquiétante 🤔
@TDBI
Ton obsession pour Baptiste_nv18 qui a une obsession pour Scooby-Doo est de surcroît inquiétante 🤔
(Elle était facile 😇)
@Link1993
Ton commentaire est très inquiétant 😱
🤡
@TDBI
😗🎶
@Link1993,
Vous avez raté le 🤡 à la fin de son commentaire !
@TDBI,
« Ton obsession pour @Scooby-Doo est de surcroît inquiétante 🤔 »
Vous avez remarqué celà aussi ?
Comme quoi certains n'ont même pas conscience de ce qu'ils écrivent !
@Link1993,
« Ton obsession pour Baptiste_nv18 qui a une obsession pour Scooby-Doo est de surcroît inquiétante 🤔 (Elle était facile 😇) »
Facile mais très drôle !
👍
Conclusion :
C'est un forum pour obsessionnels qui s'ignorent et on y vient pour cela et accessoirement discuter de l'actualité de Apple et ses nombreux concurrents !
😁
@Scooby-Doo
Sale obsédé 😵💫
@TDBI,
« Sale obsédé 😵💫b»
😁👍
Merci du compliment ! Je suis donc sur le bon forum !
@Baptiste_nv18,
« Votre obsession envers certains utilisateurs de ce forum est inquiétante … »
Pouvez-vous développer ? Je réponds quasiment à tout le monde et sur le même ton. Mon vocabulaire étant très limité, j'en suis réduit à cette solution de facilité !
😁
« Ce matin, j’ai reçu un mail de Microsoft : Votre compte personnel a dépassé la limite de stockage de 5 GB. … vous ne pouvez pas sauvegarder, synchroniser les modifications ou ajouter des fichiers et des photos à OneDrive. Vous ne pouvez pas non plus envoyer ou recevoir des e-mails depuis votre compte de messagerie Outlook/Microsoft. »
Je ne savais pas que ma boîte mail créée il y a 20 ans n’avait qu’une capacité de 5 go et je dois maintenant effacer toutes les pièces jointes, et donc, une partie de ma vie.
Quelqu’un a eu ce message ?
@BingoBob,
« Quelqu’un a eu ce message ? »
Jamais eu ce message mais c'est possible effectivement !
Vous avez atteint la limite des capacités de votre boîte mail !
5 Go de mails c'est énorme. Je fais le ménage toutes les semaines, et vide la corbeille ! J'ai quelques Mo dans ma boîte.
Après si c'est pour une question professionnelle de conservation :
1. Augmenter votre espace de stockage (ça se modifie depuis OneDrive mais c'est payant) ;
2. Supprimer vos emails les plus anciens pour récupérer de l'espace libre !
3. Créez une adresse email chez un autre fournisseur comme Gmail par exemple mais c'est pas terrible si votre email principal est très connu !
👌
@Scooby-Doo
4. Télécharger dans un dossier local vos courriels pour ne laisser que le courant sur le serveur
@Aquilane,
👍
@Scooby-Doo
Exactement comme dit Aquilane ! Plus précisément dans Apple Mail sur Mac par exemple connectez votre boîte Outlook puis créez une boîte à lettres « Sur mon Mac » et déplacez-y tout vos messages inutiles de votre boîte Outlook. Ils seront consultables normalement sur votre Mac mais ne seront plus sur le serveur de Microsoft. Si vous en déplacez des milliers d’un coup il se peut que la mise à jour prenne un peu de temps.
@BingoBob
Et encore c’est pas la nouvelle limitation de Google Drive faite par Google.
https://www.phonandroid.com/google-a-discretement-plafonne-le-nombre-de-fichiers-que-vous-pouvez-stocker-dans-drive.html
@FrDakota,
« Et encore c’est pas la nouvelle limitation de Google Drive faite par Google. »
Merci pour l'article concernant Google Drive !
J'étais pas au courant de cette limite car j'utilise OneDrive qui n'a pas ce type de limitation complètement stupide !
Faudrait pas que cela donne de mauvaises idées à Microsoft et de faire comme Alphabet !
En tout cas, je peux comprendre que cela pose des problèmes aux entreprises et indépendants qui manipulent beaucoup de petits fichiers !
Ce serait étonnant que ça ne grogne pas ! Alphabet va être obligé de revoir cette règle complètement arbitraire surtout que c'est vendu au volume leur espace de stockage et donc au nombre dorénavant !
🙃
Aucun système d’exploitation n’est parfait Linux, macOS, Windows, ….
@frazyel,
« Aucun système d’exploitation n’est parfait Linux, macOS, Windows, …. »
👍
1. Le premier concept de virus auto répliquant et démontré, c'était sur UNIX et pas Windows !
2. Linux ou Windows sont installés sur une quantité incroyable d'équipements : mainframe, ordinateur, tablette, distributeur de billets, box Internet, Raspberry pi, téléphone, etc.
3. macOS est installé dans ses différentes déclinaisons sur : ordinateur, tablette, téléphone, montre, box TV !
4. Chaque OS est le fruit d'une accumulation incroyable de technologies, de services, de pilotes, de noyaux, de couches, de corrections, de sécurités, etc.
Dans ces conditions, comment voulez-vous que ce soit fiable à 100 % !
C'est juste humainement impossible !
😁
@Scooby-Doo
Tu as totalement raison :)