Le fournisseur de sécurité ESET émet un avertissement de sécurité : Vulnérabilités UEFI dangereuses découvertes dans les ordinateurs portables Lenovo. Les propriétaires d'ordinateurs portables Lenovo doivent consulter la liste des appareils concernés et mettre à jour leur micrologiciel conformément aux instructions du fabricant.
Des millions d'utilisateurs Lenovo devraient mettre à jour le firmware de leurs appareils dès que possible - c'est la recommandation urgente du fabricant européen de sécurité informatique ESET. Les chercheurs de la société ont découvert trois vulnérabilités dangereuses sur les appareils qui ouvrent les vannes aux attaquants sur les ordinateurs portables. Par exemple, des logiciels malveillants UEFI très dangereux tels que Lojax ou ESPecter pourraient être introduits en contrebande via les fuites de sécurité. L'interface UEFI (Unified Extensible Firmware Interface) est le micrologiciel de la carte mère et est si précieuse pour les cybercriminels car elle leur permet de lire et de manipuler les informations matérielles pendant le fonctionnement. Étant donné que l'UEFI est démarré avant le système d'exploitation, il est possible d'implémenter ici des logiciels malveillants résistants. Dans l'ensemble, la liste des menaces comprend plus de 100 modèles différents du fabricant Lenovo. Une liste de tous les appareils est disponible en ligne sur Lenovo. Il existe, par exemple, de nombreux modèles IdeaPad et Yoga Slim.
Installez les mises à jour immédiatement ou utilisez la solution TPM
Les chercheurs d'ESET conseillent à tous les propriétaires d'ordinateurs portables Lenovo de vérifier la liste des appareils concernés et de mettre à jour leur micrologiciel conformément aux instructions du fabricant. Si les appareils ne reçoivent plus les mises à jour du fabricant et sont affectés par UEFI SecureBootBackdoor (CVE-2021-3970), les experts recommandent d'utiliser une solution Trusted Platform Module pour le chiffrement complet du disque. Ainsi, les données du disque dur sont inaccessibles lorsque la configuration UEFI Secure Boot est modifiée.
"Les logiciels malveillants UEFI peuvent passer inaperçus pendant longtemps et représentent un immense potentiel de menace. Les programmes malveillants sont exécutés au début du processus de démarrage, avant le démarrage du système d'exploitation. Cela signifie qu'ils contournent presque toutes les mesures de sécurité et les limitations de niveau supérieur contre le code malveillant », explique le chercheur d'ESET Martin Smolár, qui a découvert les vulnérabilités. « Notre découverte de ces portes dérobées UEFI montre que dans certains cas, le déploiement de ces menaces spécifiques n'est pas aussi difficile que prévu. Le plus grand nombre de menaces UEFI découvertes ces dernières années suggère que les attaquants sont conscients », ajoute-t-il. "Toutes les menaces UEFI découvertes ces dernières années, telles que LoJax, MasaicRegressor, MoonBounce, ESPecter ou Finspy, ont dû contourner ou désactiver les mécanismes de sécurité d'une manière ou d'une autre."
Les portes dérobées "sécurisées" désactivent la fonctionnalité UEFI Secure Boot
Les deux premières de ces vulnérabilités (CVE-2021-3970, CVE-2021-3971) sont appelées portes dérobées "sécurisées" intégrées au micrologiciel UEFI. La raison de cette désignation est les noms donnés aux pilotes UEFI de Lenovo qui implémentent l'une de ces vulnérabilités (CVE-2021-3971) : SecureBackDoor et SecureBackDoorPeim. Ces portes dérobées intégrées peuvent être activées pour désactiver la protection flash SPI (bits de registre de contrôle du BIOS et registres de plage de protection) ou la fonction de démarrage sécurisé UEFI à partir d'un processus en mode utilisateur privilégié pendant que le système d'exploitation est en cours d'exécution.
De plus, l'examen des binaires des portes dérobées "sûres" a révélé une troisième vulnérabilité (CVE-2021-3972). Cela permet un accès aléatoire en lecture/écriture vers/depuis la RAM de gestion du système (abrégé : SMRAM), ce qui peut conduire à l'exécution de code malveillant avec des privilèges plus élevés.
Qu'est-ce que l'UEFI ?
L'interface UEFI (Unified Extensible Firmware Interface) est le terme désignant le micrologiciel de la carte mère et constitue donc une partie importante de l'interface entre le matériel et le logiciel d'un ordinateur, en particulier lors du démarrage. UEFI a remplacé l'ancien BIOS (Basic Input/Output System) et peut mieux communiquer avec le matériel moderne. Les grands avantages incluent, d'une part, la vitesse nettement plus rapide lors du démarrage du système et, d'autre part, la prise en charge de disques durs de plus grande capacité.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.