Plus de deux douzaines de modèles d’ordinateurs portables Lenovo sont vulnérables aux piratages malveillants qui désactivent le processus de démarrage sécurisé UEFI, puis exécutent des applications UEFI non signées ou chargent des chargeurs de démarrage qui détournent en permanence un appareil, ont averti les chercheurs mercredi.
Au même moment où les chercheurs de la firme de sécurité ESET révélé les vulnérabilités, le fabricant d’ordinateurs portables a publié des mises à jour de sécurité pour 25 modèles, dont ThinkPads, Yoga Slims et IdeaPads. Les vulnérabilités qui compromettent le démarrage sécurisé UEFI peuvent être graves car elles permettent aux attaquants d’installer des micrologiciels malveillants qui survivent à plusieurs réinstallations du système d’exploitation.
Pas courant, voire rare
Abréviation de Unified Extensible Firmware Interface, UEFI est le logiciel qui relie le micrologiciel de l’appareil d’un ordinateur à son système d’exploitation. En tant que premier morceau de code à s’exécuter lorsque pratiquement n’importe quelle machine moderne est allumée, c’est le premier maillon de la chaîne de sécurité. Étant donné que l’UEFI réside dans une puce flash sur la carte mère, les infections sont difficiles à détecter et à supprimer. Les mesures typiques telles que l’effacement du disque dur et la réinstallation du système d’exploitation n’ont aucun impact significatif car l’infection UEFI réinfectera simplement l’ordinateur par la suite.
ESET a déclaré que les vulnérabilités – suivies comme CVE-2022-3430, CVE-2022-3431 et CVE-2022-3432 – « permettent de désactiver UEFI Secure Boot ou de restaurer les bases de données Secure Boot par défaut (y compris dbx): tout simplement à partir d’un système d’exploitation .” Le démarrage sécurisé utilise des bases de données pour autoriser et refuser les mécanismes. La base de données DBX, en particulier, stocke les hachages cryptographiques des clés refusées. La désactivation ou la restauration des valeurs par défaut dans les bases de données permet à un attaquant de supprimer les restrictions qui seraient normalement en place.
« Changer des choses dans le firmware du système d’exploitation n’est pas courant, voire rare », a déclaré un chercheur spécialisé dans la sécurité des firmwares, qui a préféré ne pas être nommé, dans une interview. « La plupart des gens veulent dire que pour modifier les paramètres du micrologiciel ou du BIOS, vous devez avoir un accès physique pour écraser le bouton DEL au démarrage pour entrer dans la configuration et y faire des choses. Quand vous pouvez faire certaines des choses à partir du système d’exploitation, c’est un gros problème.
La désactivation du démarrage sécurisé UEFI permet aux attaquants d’exécuter des applications UEFI malveillantes, ce qui n’est normalement pas possible car le démarrage sécurisé nécessite que les applications UEFI soient signées de manière cryptographique. La restauration du DBX par défaut, quant à elle, permet aux attaquants de charger des chargeurs de démarrage vulnérables. En août, des chercheurs de la société de sécurité Eclypsium ont identifié trois pilotes logiciels importants qui pourraient être utilisés pour contourner le démarrage sécurisé lorsqu’un attaquant dispose de privilèges élevés, c’est-à-dire administrateur sous Windows ou root sous Linux.
Les vulnérabilités peuvent être exploitées en altérant les variables de la NVRAM, la RAM non volatile qui stocke diverses options de démarrage. Les vulnérabilités résultent du fait que Lenovo a expédié par erreur des ordinateurs portables avec des pilotes destinés à être utilisés uniquement pendant le processus de fabrication. Les vulnérabilités sont :
- CVE-2022-3430 : une vulnérabilité potentielle dans le pilote de configuration WMI sur certains ordinateurs portables Lenovo grand public peut permettre à un attaquant disposant de privilèges élevés de modifier les paramètres de démarrage sécurisé en modifiant une variable NVRAM.
- CVE-2022-3431 : une vulnérabilité potentielle dans un pilote utilisé pendant le processus de fabrication sur certains appareils portables Lenovo grand public qui n’a pas été désactivé par erreur peut permettre à un attaquant disposant de privilèges élevés de modifier le paramètre de démarrage sécurisé en modifiant une variable NVRAM.
- CVE-2022-3432 : une vulnérabilité potentielle dans un pilote utilisé pendant le processus de fabrication sur l’Ideapad Y700-14ISK qui n’a pas été désactivé par erreur peut permettre à un attaquant disposant de privilèges élevés de modifier le paramètre de démarrage sécurisé en ajustant une variable NVRAM.
Lenovo ne patche que les deux premiers. CVE-2022-3432 ne sera pas corrigé car la société ne prend plus en charge l’Ideapad Y700-14ISK, le modèle d’ordinateur portable en fin de vie qui est affecté. Les personnes utilisant l’un des autres modèles vulnérables doivent installer les correctifs dès que possible.