Microsoft détecte des vulnérabilités critiques dans GRUB2, U-Boot et Barebox grâce à son IA Security Copilot

Microsoft détecte des vulnérabilités critiques dans GRUB2, U-Boot et Barebox grâce à son IA Security Copilot
Share on Pinterest Share on LinkedIn

La découverte de 20 vulnérabilités dans des bootloaders open source révèle des risques systémiques pour Secure Boot et les appareils IoT.

Microsoft a annoncé la détection de 20 vulnérabilités critiques dans trois des bootloaders les plus utilisés de l’écosystème du logiciel libre : GRUB2, U-Boot et Barebox. Cette découverte a été rendue possible grâce à l’utilisation de Security Copilot, sa plateforme d’intelligence artificielle conçue pour accélérer la détection de vulnérabilités complexes dans des bases de code étendues.

GRUB2 — le bootloader par défaut dans la plupart des distributions Linux modernes — est le plus touché, avec 11 vulnérabilités qui incluent des débordements de tampon, des erreurs d’entiers et des attaques par canaux auxiliaires dans des fonctions cryptographiques. U-Boot et Barebox, largement utilisés dans les systèmes embarqués et les appareils IoT, comptent 9 failles supplémentaires, également liées à des erreurs dans la gestion des systèmes de fichiers et des liens symboliques.

Parmi les vulnérabilités les plus notables, on trouve :

  • CVE-2025-0678 : Débordement de tampon dans SquashFS en raison d’un débordement d’entier.
  • CVE-2024-56738 : Vulnérabilité par canal auxiliaire due à une comparaison cryptographique non constante.
  • CVE-2025-1125 : Débordement de tampon lors de l’ouverture de fichiers compressés en HFS.
  • CVE-2025-0690 : Débordement d’entiers dans les commandes de lecture au clavier.
  • CVE-2025-26721 à CVE-2025-26729 : Divers problèmes dans U-Boot et Barebox liés à la gestion de EXT4, CramFS, JFFS2 et EroFS.

Bien que beaucoup de ces vulnérabilités nécessitent un accès physique à l’appareil, certaines — en particulier celles de GRUB2 — pourraient être exploitées pour contourner Secure Boot, facilitant l’installation de bootkits persistants et de logiciels malveillants de bas niveau avec des privilèges totaux, même après des réinstallations du système d’exploitation. Cela représente un risque systémique dans des environnements où la sécurité du démarrage est critique, tels que les serveurs, les centres de données, les infrastructures industrielles ou les appareils connectés.

Une IA pour les chasseurs de bugs

La détection de ces failles ne s’est pas faite par des méthodes traditionnelles. Microsoft a utilisé Security Copilot, son copilote IA entraîné spécifiquement pour des tâches de sécurité offensive et défensive, afin d’analyser automatiquement des parties sensibles du code source de GRUB2. L’IA a réussi à identifier des fonctions sujettes à erreurs (comme les parsers de systèmes de fichiers ou les fonctions cryptographiques), en suggérant des points d’entrée et des mesures d’atténuation dans chaque cas.

Ce processus automatisé a permis de réduire le temps habituel requis pour ce type d’audit de une semaine, selon les informations de la société.

Réaction coordonnée de la communauté open source

Après l’identification, Microsoft a collaboré directement avec les mainteneurs des projets concernés pour mener à bien une divulgation responsable. Les mises à jour de sécurité ont déjà été publiées par les équipes de GRUB2 (18 février 2025), ainsi que celles de U-Boot et Barebox (19 février 2025). Dans le cas de GRUB2, les entrées dans la base SBAT (Secure Boot Advanced Targeting) et DBX ont été mises à jour pour renforcer la gestion de la révocation des composants compromis.

De plus, des modules potentiellement dangereux ont été désactivés lorsque Secure Boot est activé, et les contrôles cryptographiques et de mémoire dans la logique du bootloader ont été renforcés.

Un tournant dans la sécurité du démarrage ?

Le rapport de Microsoft met en exergue un problème plus profond : le recyclage de code vulnérable entre différents bootloaders open source, une pratique qui pourrait amplifier le risque à l’échelle mondiale. L’absence de fonctionnalités de sécurité modernes dans ces composants — telles que ASLR, stack canaries ou protection NX — combinée à l’utilisation de langages sensibles aux erreurs de mémoire comme le C, aggrave l’impact potentiel de ces failles.

Ce cas met en lumière l’importance d’incorporer des outils d’intelligence artificielle dans les flux de travail de sécurité et de maintenance des projets critiques, en particulier ceux disposant de ressources limitées.

Source : Blog de sécurité Microsoft et Nouvelles de sécurité

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Microsoft détecte des vulnérabilités critiques dans GRUB2, U-Boot et Barebox grâce à son IA Security Copilot

Microchip lance son architecture PIC32A : le monde a-t-il besoin d’un autre microcontrôleur de 32 bits ?

Proxmox lance Datacenter Manager : gestion centralisée pour des environnements virtuels à grande échelle

Canalink commence les sondages pour installer un nouveau câble sous-marin entre Tenerife et El Hierro

VMware ESXi redevient gratuit avec la version 8.0 U3e, mais la communauté doute de sa pérennité

Entreprises et technologie rétro : le renaissance de Windows Update pour les anciens systèmes stimule la préservation numérique

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.