Le micrologiciel UEFI de la société de logiciels Insyde comporte 23 failles, dont beaucoup sont critiques et permettraient à des acteurs malveillants de persister dans un appareil cible, d’installer malwarevoler des données sensibles, tout en accédant au point final à distance, ont prévenu les experts.
Les failles ont été découvertes par la société de protection des micrologiciels Binarly, qui affirme que plus de deux douzaines de fabricants de matériel sont concernés, y compris des OEM haut de gamme tels que Fujitsu, Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft et Acer.
UEFI (Unified Extensible Firmware Interface) est une interface logicielle qui sert de pont entre le micrologiciel de l’appareil et le système d’exploitation. Il gère le démarrage, les diagnostics du système, ainsi que certaines fonctionnalités de réparation du système.
Défauts de grande gravité
Sur les 23 failles qui ont été découvertes, la majorité réside dans le mode de gestion du système (SMM), dont les privilèges dépassent ceux de l’OS.
Les 23 failles sont suivies comme suit : CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE -2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021 -43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031, CVE-2022-24069.
Parmi ceux-ci, trois (CVE-2021-45969, CVE-2021-45970 et CVE-2021-45971) ont obtenu une cote de gravité de 9,8 sur 10.
« La cause première du problème a été trouvée dans le code de référence associé au code du cadre du micrologiciel InsydeH2O », a expliqué Binarly.
« Tous les fournisseurs susmentionnés (plus de 25) utilisaient le SDK du micrologiciel basé sur Insyde pour développer leurs morceaux de micrologiciel (UEFI). »
Bien qu’Insyde ait publié des correctifs de micrologiciel pour aider à résoudre le problème, ceux-ci doivent maintenant être acceptés par les OEM et publiés sur les produits concernés, ce qui peut prendre un certain temps. Ce qui rend le problème encore plus compliqué, c’est le fait que certains des appareils concernés ont dépassé leur date de fin de vie et ne sont plus pris en charge.
D’autres peuvent franchir ce seuil avant que les OEM ne proposent un correctif.
BipOrdinateur note que seuls Insyde, Fujitsu et Intel ont confirmé être affectés par les failles. Rockwell, Supermicro et Toshiba ont confirmé ne pas être impactés. Les équipementiers restants enquêtent toujours sur la question.
- Vous pouvez également consulter notre liste des meilleurs pare-feu à l’heure actuelle
Via : BleepingComputer