Lenovo a publié un avis de sécurité sur les vulnérabilités qui affectent son interface UEFI (Unified Extensible Firmware Interface) chargée sur au moins 100 de ses modèles d’ordinateurs portables.
Au total, trois problèmes de sécurité ont été découverts, dont deux permettant à un attaquant de désactiver la protection de la puce de mémoire flash SPI où le micrologiciel UEFI est stocké et de désactiver la fonction UEFI Secure Boot, qui garantit que le système se charge uniquement au démarrage. code approuvé par le fabricant d’équipement d’origine (OEM).
Exploitation réussie d’un troisième, identifié comme CVE-2021-3970pourrait permettre à un attaquant local d’exécuter du code arbitraire avec des privilèges élevés.
Les trois vulnérabilités ont été découvertes par les chercheurs d’ESET et signalées de manière responsable à Lenovo en octobre de l’année dernière. Ils affectent plus de 100 modèles d’ordinateurs portables grand public, y compris IdeaPad 3, Legion 5 Pro-16ACH6 H et Yoga Slim 9-14ITL05, ce qui se traduit probablement par des millions d’utilisateurs avec des appareils vulnérables.
Pilotes ajoutés par erreur
Les chercheurs d’ESET avertissent que les deux vulnérabilités liées à l’UEFI (CVE-2021-3971 et CVE-2021-3972) peut être utilisé par les attaquants pour « déployer et exécuter avec succès des implants SPI flash ou ESP ».
Les deux problèmes de sécurité liés à l’UEFI dans les produits Lenovo résultent de l’introduction en production de deux pilotes de micrologiciel UEFI – bien nommés SecureBackDoor et SecureBackDoorPeim – qui ne sont utilisés que pendant le processus de fabrication. Un avis de sécurité de Lenovo décrit les vulnérabilités comme ceci:
- CVE-2021-3971 : une vulnérabilité potentielle d’un pilote utilisé lors d’anciens processus de fabrication sur certains ordinateurs portables Lenovo grand public qui a été inclus par erreur dans l’image du BIOS pourrait permettre à un attaquant disposant de privilèges élevés de modifier la région de protection du micrologiciel en modifiant une variable NVRAM.
- CVE-2021-3972 : une vulnérabilité potentielle d’un pilote utilisé pendant le processus de fabrication sur certains ordinateurs portables Lenovo grand public qui n’a pas été désactivé par erreur peut permettre à un attaquant disposant de privilèges élevés de modifier le paramètre de démarrage sécurisé en modifiant une variable NVRAM.
Une liste complète des modèles d’ordinateurs portables Lenovo affectés par chacune des trois vulnérabilités est disponible ici.
Les implants UEFI sont difficiles à détecter
ESET a fourni un analyse technique détaillée des trois vulnérabilités découvertes en notant que « les menaces UEFI peuvent être extrêmement furtives et dangereuses » car elles s’exécutent « tôt dans le processus de démarrage, avant de transférer le contrôle au système d’exploitation ».
Cela signifie que la plupart des mesures d’atténuation et des solutions de sécurité actives au niveau du système d’exploitation sont inutiles et que l’exécution de la charge utile est presque inévitable et indétectable.
Les détecter est possible, bien que le processus nécessite des techniques plus avancées telles que les vérifications d’intégrité UEFI, l’analyse du micrologiciel en temps réel ou la surveillance du comportement du micrologiciel et de l’appareil pour détecter toute activité suspecte.
La société de cybersécurité a découvert deux implants de ce type dans le passé, tous deux utilisés à l’état sauvage par des acteurs de la menace :
- Lojax – trouvé en 2018 et utilisé par des acteurs soutenus par l’État russe suivis comme APT28, Fancy Bear, Sednit, Strontium et Sofacy
- ESPecter – identifié en 2021 et actif depuis 2012 (en tant que bootkit pour les systèmes basés sur le BIOS) pour la persistance sur la partition système EFI (ESP)
Ce ne sont cependant pas les seules menaces UEFI découvertes. Kaspersky a publié des rapports sur MosaicRegressor en 2020, sur FinSpy en 2021 et MoonBounce en janvier de cette année.
Pour se protéger contre les attaques résultant des vulnérabilités ci-dessus, Lenovo recommande aux utilisateurs des appareils concernés de mettre à jour la version du micrologiciel du système avec la dernière version disponible.
Cela peut être fait en installant la mise à jour manuellement à partir de la page de support de l’appareil ou à l’aide de utilitaires de mise à jour du système chauffeurs mis à disposition par l’entreprise.