Deux nouvelles vulnérabilités découvertes dans SecureBoot prouvent une fois de plus que, même les meilleurs systèmes de sécurité peuvent avoir des failles signées par… Microsoft en personne. Moi, j’dis standing ovation !!!

CVE-2025-3052 et CVE-2025-47827 vont faire mal à la tête des admins système durant les prochains mois car ces failles exploitent des outils légitimement signés par Microsoft pour désactiver les protections que Microsoft a elle-même conçues. C’est comme si le serrurier qui pose votre serrure gardait un double de vos clés dans sa poche pour revenir taper dans vos Délichocs quand vous n’êtes pas là.

Le principe du Secure Boot, vous le connaissez, c’est une technologie de sécurité définie dans la spécification UEFI qui vérifie cryptographiquement que chaque composant de votre système au démarrage est digne de confiance. C’est donc une chaîne de vérification qui remonte jusqu’aux certificats racine, histoire de s’assurer qu’aucun malware ne vient s’installer avant même que votre OS ne se réveille. En théorie, c’est du solide mais en pratique, eh bien… on va voir.

CVE-2025-3052 exploite notamment un utilitaire de flashage firmware développé par DT Research et le truc super génial (ou pas) c’est que cet outil est signé avec le certificat “UEFI CA 2011” de Microsoft, celui-là même auquel Secure Boot fait confiance par défaut.

Résultat, l’utilitaire peut désactiver Secure Boot sans que personne ne bronche. L’outil affecte des matériels de plus de 50 fabricants différents, touchant aussi bien les systèmes Windows que Linux mais attendez, c’est pas fini.

CVE-2025-47827 s’attaque quand à lui à un module kernel Linux développé par IGEL pour la gestion des volumes logiques. Encore une fois, le module est signé par Microsoft via son certificat “3rd Party UEFI CA”, celui qui fait confiance aux composants Linux dans l’écosystème Secure Boot. Avec un accès physique de quelques minutes, un attaquant peut alors charger un bootloader malveillant qui contournerait complètement les protections.

L’aspect le plus vicieux de ces vulnérabilités, c’est qu’elles transforment Secure Boot en openbar, car une fois qu’un attaquant a les droits administrateur sur votre système, ces outils signés deviennent des passes VIP pour installer des bootkits persistants. Et contrairement aux malwares classiques, un bootkit au niveau firmware survit à tout : formatage du disque, réinstallation de l’OS, et même aux outils de nettoyage les plus agressifs. Il s’installe dans le firmware UEFI et rigole pendant que vous pensez avoir éradiqué l’infection.

Ce qui me sidère, c’est surtout la lenteur de Microsoft à révoquer ces certificats. La société dispose d’un mécanisme appelé DBX (Database of Revoked Keys) pour blacklister les certificats compromis, mais entre la découverte d’une faille et sa révocation, il peut s’écouler des mois et pendant ce temps, les outils malveillants continuent de fonctionner sur des millions de machines. D’après les chercheurs de Binarly, cette lenteur dans les process crée des fenêtres d’opportunité énormes pour les attaquants.

Pour les admins Linux, ces failles posent également des questions particulièrement épineuses car beaucoup d’environnements de production font confiance aux certificats Microsoft par nécessité, notamment pour pouvoir booter des distributions signées ou utiliser des composants propriétaires. Désactiver complètement cette chaîne de confiance n’est pas toujours possible, surtout dans des environnements mixtes Windows/Linux.

Mais heureusement, Microsoft a fini par réagir !!!

Le Patch Tuesday de juin 2025 a apporté des mises à jour de la DBX qui blacklistent les outils compromis. CVE-2025-3052 a reçu un correctif qui ajoute 14 nouveaux hashs à la liste de révocation, couvrant l’utilitaire DT Research et 13 autres modules affectés découverts pendant l’analyse. Mais attention, ces mises à jour ne s’appliquent pas automatiquement sur tous les systèmes. Il faut souvent intervenir manuellement au niveau BIOS/UEFI pour forcer la mise à jour de la DBX.

Pour CVE-2025-47827, c’est plus compliqué car selon les informations du NVD, IGEL a publié un avis de sécurité le 2 juin 2025, mais la révocation du certificat Microsoft n’est pas encore effective partout. Tant que ce certificat reste valide, tous les systèmes qui font confiance au “Microsoft 3rd Party UEFI CA” restent vulnérables.

Alors, que faire concrètement ?

Première étape : patcher immédiatement vos systèmes avec les mises à jour DBX de Microsoft. Pour les distributions Linux majeures comme Red Hat et Ubuntu, les paquets ont été mis à jour pour inclure les nouvelles entrées de révocation. Vérifiez aussi que vos systèmes récupèrent bien ces updates et n’hésitez pas à redémarrer pour que les changements prennent effet.

Deuxième mesure : durcir vos paramètres BIOS/UEFI. Configurez des mots de passe pour verrouiller l’accès aux réglages de boot, désactivez les périphériques de boot externes si vous n’en avez pas besoin, et assurez-vous que vos serveurs sont dans des environnements physiquement sécurisés. Ces vulnérabilités nécessitent souvent un accès physique initial, alors autant compliquer la vie des attaquants.

Troisième point, plus avancé : réévaluez votre confiance envers les certificats Microsoft. Si votre environnement peut s’en passer, envisagez de désactiver le certificat “3rd Party UEFI CA” dans votre configuration Secure Boot. C’est un peu radical, mais ça ferme une voie d’attaque importante. Pour les environnements critiques, vous pouvez même deployer vos propres clés Secure Boot personnalisées, histoire d’avoir un contrôle total sur la chaîne de confiance.

Enfin, investissez dans du monitoring firmware. Des outils comme ceux développés par Binarly ou Eclypsium permettent de scanner vos firmwares à la recherche de vulnérabilités et de détecter les modifications suspectes. C’est un investissement, mais quand on voit les dégâts qu’un bootkit peut causer, ça vaut le coup.

Vous l’aurez compris, Secure Boot n’est pas cassé en tant que tel, mais sa dépendance à des autorités centralisées comme Microsoft crée des points de défaillance critiques surtout quand ces “autorités” traînent les pieds pour révoquer des certificats compromis…

Bref, la seule chose pire qu’un système non sécurisé, c’est un système qui croit l’être.

Allez, au boulot ! Patchs, monitoring et café fort !

