La division de support de Lenovo a publié un avis qui décrit trois vulnérabilités affectant ses ordinateurs portables. Tous pourraient permettre à un attaquant d’obtenir des privilèges élevés par un moyen ou un autre. Plus de 100 modèles d’ordinateurs portables Lenovo sont affectés par ces vulnérabilités, découvertes pour la première fois par les chercheurs d’ESET. Heureusement, Lenovo affirme avoir des mises à jour du micrologiciel du système prêtes ou en cours pour atténuer ces nouveaux problèmes de sécurité.
Trois codes d’identification et descriptions CVE ont été partagés par Lenovo, indiquant le potentiel de méfait s’il n’est pas corrigé :
|
Identifiant CVE |
La description |
|---|---|
|
CVE-2021-3970 |
Une vulnérabilité potentielle dans LenovoVariable SMI Handler en raison d’une validation insuffisante dans certains modèles d’ordinateurs portables Lenovo peut permettre à un attaquant disposant d’un accès local et de privilèges élevés d’exécuter du code arbitraire. |
|
CVE-2021-3971 |
Une vulnérabilité potentielle d’un pilote utilisé lors d’anciens processus de fabrication sur certains ordinateurs portables Lenovo grand public qui a été inclus par erreur dans l’image du BIOS pourrait permettre à un attaquant disposant de privilèges élevés de modifier la région de protection du micrologiciel en modifiant une variable NVRAM. |
|
CVE-2021-3972 |
Une vulnérabilité potentielle d’un pilote utilisé pendant le processus de fabrication sur certains ordinateurs portables Lenovo grand public qui n’a pas été désactivé par erreur peut permettre à un attaquant disposant de privilèges élevés de modifier le paramètre de démarrage sécurisé en modifiant une variable NVRAM. |
Selon les chercheurs en sécurité d’ESET, CVE-2021-3970 permettrait « la lecture/écriture arbitraire depuis/dans la SMRAM (mémoire protégée par le matériel en mode de gestion du système), ce qui peut conduire à l’exécution de code malveillant », à un niveau hautement privilégié.
Les deux autres vulnérabilités (CVE-2021-3971 et CVE-2021-3972) ont beaucoup en commun. Selon ESET, ils sont présents dans les images UEFI grand public par erreur. L’accès qu’ils fournissent aux attaquants n’est censé être disponible pour les développeurs que pendant le processus de fabrication.
Grâce à ces vulnérabilités, un attaquant pourrait désactiver directement les protections de la mémoire flash UEFI ou la fonctionnalité UEFI Secure Boot. De plus, les attaquants seraient alors en mesure de déployer et d’exécuter ou d’implanter avec succès des logiciels malveillants, difficiles à détecter et à éliminer car ils peuvent se charger avant le système d’exploitation.
Nous découvrons ces vulnérabilités en même temps que Lenovo a commencé à publier des correctifs de micrologiciel pour eux car ESET a coopéré avec Lenovo. ESET a découvert le trio de vulnérabilités en octobre dernier, et Lenovo a confirmé les failles et attribué des CVE en novembre. Depuis lors, nous supposons qu’il y a eu beaucoup de travail pour remédier aux exploits.
Pas de correctifs pour certains appareils plus anciens
Nous avons mentionné précédemment que Lenovo propose des correctifs de micrologiciel pour de nombreux modèles d’ordinateurs portables concernés. Cependant, ESET précise que certaines personnes avec des ordinateurs portables concernés ne seront pas corrigées car l’appareil est trop ancien – elles ont atteint la fin du support de développement (EODS).
Si vous craignez que votre ordinateur portable Lenovo soit affecté, vous pouvez consulter le long tableau situé sous le pli après avoir navigué jusqu’au lien dans le paragraphe d’introduction. Une liste des appareils plus anciens qui sont concernés mais qui ne recevront pas de mises à jour sera partagée ultérieurement par ESET (cette date n’est pas disponible au moment de la rédaction).
La dernière fois que nous avons écrit sur les logiciels malveillants UEFI, c’était lorsque l’histoire inquiétante de MoonBounce Malware a éclaté en janvier de cette année. Ces logiciels malveillants sont particulièrement furtifs et dangereux en raison de leur capacité à s’exécuter avec un niveau de processus en mode utilisateur privilégié pendant l’exécution du système d’exploitation.