ESET Research découvre des vulnérabilités dans les ordinateurs portables Lenovo exposant les utilisateurs au risque d’installation de logiciels malveillants UEFI

ESET Research découvre des vulnérabilités dans les ordinateurs portables Lenovo exposant les utilisateurs au risque d'installation de logiciels malveillants UEFI
Written by admin

Dubaï, EAU, 20 avril 2022 : Les chercheurs d’ESET ont découvert et analysé trois vulnérabilités affectant divers modèles d’ordinateurs portables Lenovo. L’exploitation de ces vulnérabilités permettrait aux attaquants de déployer et d’exécuter avec succès des logiciels malveillants UEFI sous la forme d’implants flash SPI comme LoJax ou d’implants ESP comme notre dernière découverte ESPecter. ESET a signalé toutes les vulnérabilités découvertes à Lenovo en octobre 2021. Au total, la liste des appareils concernés contient plus d’une centaine de modèles d’ordinateurs portables différents avec des millions d’utilisateurs dans le monde.

« Les menaces UEFI peuvent être extrêmement furtives et dangereuses. Ils sont exécutés au début du processus de démarrage, avant de transférer le contrôle au système d’exploitation, ce qui signifie qu’ils peuvent contourner presque toutes les mesures de sécurité et les atténuations plus élevées dans la pile qui pourraient empêcher l’exécution des charges utiles de leur système d’exploitation », explique Martin Smolár, chercheur chez ESET. , qui a découvert les vulnérabilités. “Notre découverte de ces portes dérobées dites “sécurisées” UEFI démontre que dans certains cas, le déploiement des menaces UEFI peut ne pas être aussi difficile que prévu, et la plus grande quantité de menaces UEFI réelles découvertes ces dernières années suggère que les adversaires en sont conscients », ajoute-t-il.

Les deux premières de ces vulnérabilités – CVE-2021-3970, CVE-2021-3971 – sont peut-être plus précisément appelées portes dérobées “sécurisées” intégrées au micrologiciel UEFI car c’est littéralement le nom donné aux pilotes Lenovo UEFI implémentant l’un d’entre eux ( CVE-2021-3971) : SecureBackDoor et SecureBackDoorPeim. Ces portes dérobées intégrées peuvent être activées pour désactiver les protections flash SPI (bits de registre de contrôle du BIOS et registres de plage de protection) ou la fonction de démarrage sécurisé UEFI à partir d’un processus en mode utilisateur privilégié pendant l’exécution du système d’exploitation.

De plus, en enquêtant sur les binaires des portes dérobées « sécurisées », nous avons découvert une troisième vulnérabilité : la corruption de la mémoire SMM dans la fonction de gestion SW SMI (CVE-2021-3972). Cette vulnérabilité permet une lecture/écriture arbitraire depuis/dans la SMRAM, ce qui peut conduire à l’exécution de code malveillant avec les privilèges SMM et potentiellement conduire au déploiement d’un implant flash SPI.

Les services de démarrage et d’exécution UEFI fournissent les fonctions de base et les structures de données nécessaires aux pilotes et aux applications pour faire leur travail, telles que l’installation de protocoles, la localisation de protocoles existants, l’allocation de mémoire, la manipulation de variables UEFI, etc. Les pilotes de démarrage et les applications UEFI utilisent largement les protocoles. . Les variables UEFI sont un mécanisme de stockage de micrologiciel spécial utilisé par les modules UEFI pour stocker diverses données de configuration, y compris la configuration de démarrage.

SMM, d’autre part, est un mode d’exécution hautement privilégié des processeurs x86. Son code est écrit dans le contexte du micrologiciel du système et est généralement utilisé pour diverses tâches, notamment la gestion avancée de l’alimentation, l’exécution de code propriétaire OEM et les mises à jour sécurisées du micrologiciel.

“Toutes les menaces UEFI du monde réel découvertes ces dernières années – LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy – devaient contourner ou désactiver les mécanismes de sécurité d’une manière ou d’une autre pour être déployées et exécutées”, explique Smolár. ESET Research conseille vivement à tous les propriétaires d’ordinateurs portables Lenovo de parcourir la liste des appareils concernés et de mettre à jour leur micrologiciel en suivant les instructions du fabricant.

Pour ceux qui utilisent des appareils de support de fin de développement affectés par UEFI SecureBootBackdoor (CVE-2021-3970), sans aucun correctif disponible : une façon de vous protéger contre les modifications indésirables de l’état de démarrage sécurisé UEFI est

d’utiliser une solution de chiffrement intégral du disque compatible TPM capable de rendre les données du disque inaccessibles si la configuration du démarrage sécurisé UEFI change.

Pour plus d’informations techniques, consultez l’article de blog Quand « sécurisé » n’est pas du tout sécurisé : vulnérabilités UEFI à fort impact découvertes dans les ordinateurs portables grand public Lenovo sur WeLiveSecurity. Assurez-vous de suivre Recherche ESET sur Twitter pour les dernières nouvelles d’ESET Research.

Leave a Comment