Vigil@nce : GRUB, LILO, TrueCrypt, obtention du mot de passe
août 2008 par Vigil@nce
Une vulnérabilité de GRUB, LILO et TrueCrypt permet à un attaquant
local d’obtenir le mot de passe saisi au démarrage du système.
– Gravité : 1/4
– Conséquences : lecture de données
– Provenance : shell utilisateur
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : sources multiples (3/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 27/08/2008
– Référence : VIGILANCE-VUL-8065
PRODUITS CONCERNÉS
– Microsoft Windows - plateforme
– TrueCrypt [versions confidentielles]
– Unix - plateforme
DESCRIPTION
Lorsque la machine démarre, les données saisies au clavier sont
stockées à l’adresse mémoire 0x40:0x1e (nommée "BIOS Keyboard
Buffer").
Les logiciels comme GRUB, LILO et TrueCrypt demandent à
l’utilisateur de saisir un mot de passe au démarrage. Ce mot de
passe est stocké à l’adresse 0x40:0x1e.
Cependant, ces logiciels n’effacent pas la zone mémoire après son
utilisation. Cette adresse mémoire est lisible par tous les
utilisateurs sous Windows et par root sous Unix.
Un attaquant local peut ainsi obtenir le mot de passe saisi par
l’utilisateur au démarrage de la machine.
CARACTÉRISTIQUES
– Références : IVIZ-08-001, IVIZ-08-002, IVIZ-08-003, IVIZ-08-004,
IVIZ-08-005, IVIZ-08-006, IVIZ-08-007, IVIZ-08-008, IVIZ-08-009,
VIGILANCE-VUL-8065
– Url : https://vigilance.aql.fr/arbre/1/8065