Des nouvelles sont apparues sur 23 nouvelles vulnérabilités qui sont particulièrement néfastes car les attaques basées sur UEFI/BIOS contournent les mécanismes de sécurité et persistent après les formats de disque et les réinstallations du système, et les attaquants peuvent exploiter les vulnérabilités à distance. Les experts en sécurité de Binarly ont découvert 23 vulnérabilités à fort impact cachées dans les logiciels BIOS/UEFI d’une multitude de fournisseurs de systèmes, notamment Intel, Microsoft, Lenovo, Dell, Fujitsu, HP, HPE, Siemens et Bull Atos (via Bleeping Computer). Ces vulnérabilités incluent SMM Callout ou Privilege Escalation, SMM Memory Corruption et DXE Memory corruption.
La semaine dernière, des nouvelles ont émergé du malware MoonBounce qui se cache dans votre puce BIOS, mais la divulgation de Binarly indique un large éventail de vulnérabilités UEFI qui peuvent être utilisées comme tremplin pour installer des logiciels malveillants, ou même de nouvelles images de firmware infectées.
L’impact de ces vulnérabilités est grave car elles peuvent être utilisées par des attaquants pour contourner des fonctionnalités de sécurité telles que Secure Boot, Virtualization-Based Security (VBS) et même Trusted Platform Modules (TPM). Les vulnérabilités existent dans l’UEFI mais permettent également aux logiciels malveillants d’être installés sur le système et survivront aux réinstallations du système d’exploitation, ce qui rend les logiciels malveillants presque indétectables et indestructibles.
Binarly a découvert que le problème à l’origine de toutes ces vulnérabilités était associé à InsydeH20, un code de structure de micrologiciel utilisé pour créer les BIOS / UEFI de la carte mère. Tous les fournisseurs appropriés utilisaient le SDK du micrologiciel d’Insyde pour le développement de la carte mère.
L’enquête a commencé lorsque Binarly a découvert plusieurs anomalies reproductibles sur vingt machines d’entreprise différentes, de Fujitsu et de ses ordinateurs portables Lifebook. Cependant, une fois que Binarly a approfondi le problème, il a découvert que beaucoup plus d’OEM rencontraient également les mêmes problèmes.
Après avoir découvert les problèmes, Binarly a immédiatement signalé les problèmes au CERT/CC, une base de données de notes de vulnérabilité qui fournit des détails sur les vulnérabilités logicielles. Ensemble, le CERT/CC et Binarly ont pu contacter les 25 fournisseurs concernés.
Si vous craignez une infection, il y aura un moyen de vérifier et de voir si votre ordinateur est infecté par ces exploits. Binarly a développé un logiciel appelé FwHunt qui peut détecter les modèles de code vulnérables. Mais pour l’instant, les règles restent cachées et seront révélées via GitHub une fois que l’avis de vulnérabilité sera rendu public.
Quant à un vrai correctif, nous n’avons pas de date fixe sur les correctifs officiels du firmware. Cependant, Binarly note que l’utilisation de la plate-forme VINCE pour communiquer avec plusieurs fournisseurs/parties leur permet de réduire le délai de correction de sécurité à 5 mois. Cela signifie que nous pouvons nous attendre à ce que les mises à jour officielles du firmware se produisent vers la seconde moitié de 2022.