Trois vulnérabilités de sécurité à fort impact Unified Extensible Firmware Interface (UEFI) ont été découvertes, affectant divers modèles d’ordinateurs portables grand public Lenovo, permettant à des acteurs malveillants de déployer et d’exécuter des implants de micrologiciel sur les appareils concernés.

Suivis sous les noms CVE-2021-3970, CVE-2021-3971 et CVE-2021-3972, ces deux derniers « affectent les pilotes de micrologiciels destinés à l’origine à être utilisés uniquement pendant le processus de fabrication des ordinateurs portables grand public Lenovo », a déclaré le chercheur d’ESET Martin Smolár dans un rapport publié aujourd’hui.

« Malheureusement, ils ont également été inclus par erreur dans les images du BIOS de production sans être correctement désactivés »,

L’exploitation réussie des failles pourrait permettre à un attaquant de désactiver les protections flash SPI ou Secure Boot, donnant ainsi à l’adversaire la possibilité d’installer des logiciels malveillants persistants qui peuvent survivre aux redémarrages du système.

CVE-2021-3970 concerne quant à lui un cas de corruption de mémoire dans le System Management Mode (SMM) de la firme, conduisant à l’exécution de code malveillant avec les privilèges les plus élevés.

Les trois failles ont été signalées au fabricant de PC le 11 octobre 2021, à la suite de quoi des correctifs ont été publiés le 12 avril 2022. Un résumé des trois failles telles que décrites par Lenovo est ci-dessous –

CVE-2021-3970 – Une vulnérabilité potentielle dans LenovoVariable SMI Handler en raison d’une validation insuffisante dans certains modèles d’ordinateurs portables Lenovo peut permettre à un attaquant disposant d’un accès local et de privilèges élevés d’exécuter du code arbitraire.
CVE-2021-3971 – Une vulnérabilité potentielle d’un pilote utilisé lors d’anciens processus de fabrication sur certains ordinateurs portables Lenovo grand public qui a été inclus par erreur dans l’image du BIOS pourrait permettre à un attaquant disposant de privilèges élevés de modifier la région de protection du micrologiciel en modifiant une variable NVRAM.
CVE-2021-3972 – Une vulnérabilité potentielle d’un pilote utilisé pendant le processus de fabrication sur certains ordinateurs portables Lenovo grand public qui n’a pas été désactivé par erreur peut permettre à un attaquant disposant de privilèges élevés de modifier le paramètre de démarrage sécurisé en modifiant une variable NVRAM.
Les faiblesses, qui impactent Lenovo Flex ; IdeaPads ; Légion; séries V14, V15 et V17 ; et les ordinateurs portables Yoga, s’ajoutent à la divulgation de pas moins de 50 vulnérabilités de micrologiciels dans InsydeH2O, HP UEFI et Dell d’Insyde Software depuis le début de l’année.

« Les menaces UEFI peuvent être extrêmement furtives et dangereuses », »Ils sont exécutés au début du processus de démarrage, avant de transférer le contrôle au système d’exploitation, ce qui signifie qu’ils peuvent contourner presque toutes les mesures de sécurité et les atténuations plus élevées dans la pile qui pourraient empêcher l’exécution de leurs charges utiles du système d’exploitation. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *