Lenovo corrige les vulnérabilités du micrologiciel UEFI affectant des millions d’utilisateurs

Lenovo a corrigé un trio de bugs qui pourraient être abusés pour effectuer des attaques UEFI.

Découvertes par le chercheur d’ESET Martin Smolár, les vulnérabilités, attribuées comme CVE-2021-3970, CVE-2021-3971et CVE-2021-3972pourrait être exploité pour “déployer et exécuter avec succès des logiciels malveillants UEFI sous la forme d’implants flash SPI comme LoJax ou d’implants ESP comme ESPecteurdans le BIOS de l’ordinateur portable Lenovo.

Dans les cyberattaques UEFI, les opérations malveillantes sont chargées sur un appareil compromis à un stade précoce du processus de démarrage. Cela signifie que les logiciels malveillants peuvent altérer les données de configuration, établir la persistance et peuvent être en mesure de contourner les mesures de sécurité qui ne sont chargées qu’au stade du système d’exploitation.

Mardi, ESET dit les vulnérabilités impact “plus d’une centaine de modèles d’ordinateurs portables grand public différents avec des millions d’utilisateurs dans le monde” et ont été causés par des pilotes destinés uniquement à être utilisés pendant la phase de développement du produit de Lenovo.

Les impactés liste de produits comprend les IdeaPads, les appareils de jeu Legion et les ordinateurs portables Flex et Yoga.

La première vulnérabilité, CVE-2021-3970, affecte la fonction de gestionnaire SW SMI. Ce problème de corruption de la mémoire SMM, causé par une mauvaise validation des entrées, permet aux attaquants de lire/écrire dans la SMRAM, ce qui, à son tour, pourrait permettre à un code malveillant avec des privilèges SMM de s’exécuter – et aux implants flash SPI de l’être.

“SMM est un mode d’exécution hautement privilégié des processeurs x86 […]», ont expliqué les chercheurs. « Le code SMM est écrit dans le contexte du micrologiciel du système et est généralement utilisé pour diverses tâches, notamment la gestion avancée de l’alimentation, l’exécution de code propriétaire OEM et les mises à jour sécurisées du micrologiciel. Il fournit un environnement d’exécution indépendant complètement invisible pour le système d’exploitation en cours d’exécution.”

Les deux autres vulnérabilités, CVE-2021-3971 et CVE-2021-3972, concernent des pilotes nommés SecureBackDoor et SecureBackDoorPeim.

Lenovo a décrit la première faille de sécurité comme une “vulnérabilité potentielle d’un pilote utilisé lors d’anciens processus de fabrication sur certains ordinateurs portables Lenovo grand public qui n’étaient inclus que dans l’image du BIOS et qui pourrait permettre à un attaquant disposant de privilèges erronés de modifier [the] région de protection du firmware en modifiant une variable NVRAM.”

Le deuxième problème est une “vulnérabilité potentielle d’un pilote utilisé pendant [the] processus de fabrication sur certains ordinateurs portables Lenovo grand public qui n’ont pas été désactivés par erreur [and] peut permettre à un attaquant avec des privilèges élevés de modifier le paramètre de démarrage sécurisé[s] en modifiant une variable NVRAM.”

Lorsqu’ils sont interrogés par le logiciel Lenovo, les pilotes peuvent être compromis pour désactiver les protections flash et le démarrage sécurisé UEFI. Les attaquants disposant d’un niveau de privilège suffisamment élevé peuvent exploiter CVE-2021-3971 pour modifier les paramètres du micrologiciel UEFI, et CVE-2021-3972 nécessite la falsification des variables NVRAM pour déployer des implants malveillants.

ESET a signalé les trois vulnérabilités à Lenovo le 11 octobre 2021. Les failles de sécurité ont été triées et confirmées en novembre. Des correctifs ont maintenant été publiés, ce qui a conduit à la divulgation publique d’avril.

Il est recommandé aux utilisateurs de patcher leur firmware immédiatement. Lenovo a a publié un avis et d’autres options d’atténuation pour les utilisateurs qui ne peuvent pas accepter les correctifs pour le moment.

Cependant, tous les appareils de la liste ne seront pas mis à jour avec des correctifs en tant que produits hérités. ESET recommande d’utiliser un logiciel de chiffrement de disque complet compatible TPM pour rendre les informations inaccessibles si les configurations de démarrage sécurisé UEFI sont falsifiées lorsqu’il s’agit de périphériques non pris en charge.

“Toutes les menaces UEFI du monde réel découvertes au cours des dernières années – LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy – devaient contourner ou désactiver les mécanismes de sécurité d’une manière ou d’une autre afin d’être exécutées et exécutées”, a commenté Smolár. “Notre découverte démontre que dans certains cas, le déploiement des menaces UEFI peut ne pas être aussi difficile que prévu, et la plus grande quantité de menaces UEFI réelles découvertes ces dernières années suggère que les adversaires en sont conscients.”

Voir également


Vous avez un conseil ? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713 025 499, ou plus à Keybase : charlie0


Leave a Comment