Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET Research découvre des vulnérabilités dans les ordinateurs portables grand public du fabricant Lenovo, exposant les utilisateurs à un risque d’installation de malware UEFI

avril 2022 par ESET

ESET Research découvre des vulnérabilités dans les ordinateurs portables grand public du fabricant Lenovo, exposant les utilisateurs à un risque d’installation de malware UEFI

« Les menaces UEFI peuvent être extrêmement furtives et dangereuses. Elles s’exécutent au début du processus de démarrage de la machine, avant que le système d’exploitation ne prenne le contrôle de celle-ci. Ceci signifie que ces menaces peuvent contourner presque toutes les mesures de sécurité et d’atténuation visant à les empêcher de lancer l’exécution d’autres malwares dans le système d’exploitation, » explique Martin Smolár, le chercheur chez ESET qui a découvert les vulnérabilités. « Notre découverte de ces portes dérobées UEFI démontre que dans certains cas, le déploiement des menaces UEFI n’est pas aussi difficile que l’on pensait, et le nombre croissant de menaces UEFI découvertes ces dernières années suggère que les adversaires en sont conscients, » ajoute-t-il.

Les deux premières vulnérabilités, CVE-2021-3970 et CVE-2021-3971, peuvent être plus précisément appelées des « portes dérobées sécurisées » intégrées au micrologiciel UEFI, car c’est littéralement le nom donné aux pilotes UEFI de Lenovo. Elles mettent en œuvre l’une de ces vulnérabilités et sont nommées (CVE-2021-3971) : SecureBackDoor et SecureBackDoorPeim. Ces portes dérobées intégrées peuvent être utilisées pour désactiver les protections de la mémoire flash SPI (les bits du registre de contrôle du BIOS et les registres de la plage de protection) ou la fonctionnalité de démarrage UEFI sécurisé à partir d’un processus en mode utilisateur privilégié pendant l’exécution du système d’exploitation.

En examinant le code de ces portes dérobées, nous avons découvert une troisième vulnérabilité : Elle permet la corruption de mémoire SMM à l’intérieur de la fonction de gestion SW SMI (CVE-2021-3972). Cette vulnérabilité permet une lecture/écriture arbitraire depuis/vers la SMRAM, ce qui peut conduire à l’exécution de code malveillant avec les privilèges SMM et potentiellement conduire à une implantation dans la mémoire flash SPI.

Les services de démarrage et d’exécution UEFI fournissent les fonctions de base et les structures de données nécessaires aux pilotes et aux applications pour faire leur travail, notamment l’installation de protocoles, la localisation de protocoles existants, l’allocation de mémoire, la manipulation de variables UEFI, etc. Les pilotes de démarrage et les applications UEFI font un usage intensif des protocoles. Les variables UEFI sont un mécanisme de stockage spécial du micrologiciel utilisé par les modules UEFI pour stocker différentes données de configuration, y compris la configuration de démarrage.

SMM, quant à lui, est un mode d’exécution hautement privilégié des processeurs x86. Son code est rédigé dans le contexte du micrologiciel du système et est généralement utilisé pour différentes tâches, par exemple la gestion avancée de l’alimentation, l’exécution du code OEM du fabricant, et les mises à jour sécurisées du micrologiciel.

« Toutes les menaces UEFI découvertes ces dernières années, telles que LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy, ont besoin de contourner ou désactiver les mécanismes de sécurité d’une manière ou d’une autre pour pouvoir être déployées et exécutées, » explique M. Smolár.

ESET Research conseille vivement à tous les possesseurs d’ordinateurs portables Lenovo de consulter la liste des appareils concernés et de mettre à jour leur micrologiciel en en suivant les instructions du fabricant.

Pour ceux qui utilisent des appareils affectés par la vulnérabilité UEFI SecureBootBackdoor (CVE-2021-3970), qui ne sont plus pris en charge et pour lesquels aucun correctif n’est disponible : une protection éventuelle contre une modification non désirée du démarrage sécurisé UEFI consiste à utiliser une solution de chiffrement complet des disques compatible TPM afin de rendre les données inaccessibles lorsque la configuration du démarrage sécurisé UEFI est modifiée.




Voir les articles précédents

    

Voir les articles suivants