LEBIGDATA.FR I.A, Cloud & Cybersécurité
Lenovo déploie une mise à jour pour plus de 100 modèles de laptop affectés par une faille de sécurité. Les hackers pourraient exploiter cette vulnérabilité pour déployer un dangereux malware…
Catastrophe pour le leader mondial du marché des ordinateurs personnels. Lenovo vient de déployer une mise à jour de sécurité d'urgence pour plus de 100 modèles de laptop. L'objectif est de corriger des vulnérabilités critiques pouvant permettre à des hackers d'installer un firmware malveillant et impossible à supprimer ou même à détecter.
Au total, ces vulnérabilités affectent plus d'un million de PC portables. En les exploitant, les hackers peuvent modifier l'UEFI (Unified Extensible Firmware Interface). Il s'agit du logiciel permettant d'établir une passerelle entre le firmware et le système d'exploitation d'un PC.
Présent sur toutes les machines modernes et exécuté dès la mise en marche, ce morceau de logiciel représente le premier maillon de la chaîne de cybersécurité. Et comme il réside dans une puce flash de la carte-mère, les infections sont très difficiles à détecter et presque impossibles à supprimer.
Deux vulnérabilités liées à des drivers laissés par erreur
Deux de ces vulnérabilités, la CVE-2021-3971 et la CVE-2021-3972 résident dans les drivers du firmware UEFI uniquement conçus pour un usage pendant le processus de fabrication des notebooks grand public de Lenovo. Par inadvertance, les ingénieurs Lenovo ont inclus ces pilotes dans les images BIOS de production sans les désactiver correctement.
Les hackers peuvent donc exploiter ces drivers bogués pour désactiver les protections et notamment le boot sécurisé de l'UEFI, les bits de registre de contrôle du BIOS, et les registres protégés intégrés à l'interface périphérique série (SPI) et conçus pour empêcher les changements non-autorisés sur le firmware.
Suite à la découverte et à l'analyse des vulnérabilités, les chercheurs de l'entreprise de sécurité ESET ont découvert une troisième vulnérabilité : CVE-2021-3970. Celle-ci permet aux hackers d'exécuter un firmware malicieux quand une machine est placée en mode de gestion de système : un mode à haut privilège, généralement utilisé par les fabricants de hardware pour la gestion de système de bas niveau.
Un nouveau type de malware extrêmement dangereux
Face à ce nouveau danger, les experts en sécurité recommandent d'utiliser des protections comme BootGuard conçu pour empêcher les personnes non autorisées d'exécuter un malware malveillant pendant le processus de démarrage.
Cependant, par le passé, des chercheurs ont découvert des vulnérabilités permettant de tromper BootGuard. En 2020, Hudson avait notamment trouvé trois failles empêchant la protection de fonctionner quand un ordinateur sortait du mode veille.
Les attaques sur le SPI restent rares, mais sont de plus en plus courantes. En 2020, le malware Trickbot a commencé à incorporer un driver dans sa base de code pour permettre aux hackers d'écrire le firmware dans n'importe quel appareil.
Il n'existe que deux autres cas connus de firmware UEFI malveillant : Lojax, créé par un groupe lié au gouvernement russe appelé Sednit, Fancy Bear ou APT 28, et un malware découvert sur des ordinateurs diplomatique en Asie par Kaspersky.
Les trois vulnérabilités Lenovo découvertes par ESET nécessitent un accès local. Cela signifie que l'attaquant doit déjà avoir le contrôle des machines vulnérables et à tous les privilèges. Par conséquent, il sera a priori nécessaire d'exploiter une ou plusieurs autres vulnérabilités critiques pour en tirer profit.
Néanmoins, ces vulnérabilités représentent un vrai danger potentiel. Pour cause, elles peuvent infecter des centaines de milliers de laptops Lenovo avec un malware bien plus redoutable que les malgiciels classiques…
Si vous utilisez un laptop Lenovo, il est important de vérifier si vous êtes concerné par ces vulnérabilités. Consultez la liste des modèles impactés à cette adresse.
- Partager l'article :
