Intel a révélé deux vulnérabilités de haute gravité qui affectent un large éventail de familles de processeurs Intel, permettant aux acteurs malveillants et aux logiciels malveillants d’obtenir des niveaux de privilège plus élevés sur l’appareil.
Les failles ont été découvertes par SentinelOne et sont suivies comme CVE-2021-0157 et CVE-2021-0158, et les deux ont un score CVSS v3 de 8,2 (élevé).
Le premier concerne la gestion insuffisante des flux de contrôle dans le firmware du BIOS pour certains processeurs Intel, tandis que le second repose sur une validation d’entrée incorrecte sur le même composant.
Ces vulnérabilités pourraient conduire à une élévation des privilèges sur la machine, mais uniquement si l’attaquant avait un accès physique aux appareils vulnérables.
Les produits concernés, selon Avis d’Intel, sont les suivants:
- Famille de processeurs Intel® Xeon® E
- Famille de processeurs Intel® Xeon® E3 v6
- Famille de processeurs Intel® Xeon® W
- Processeurs évolutifs Intel® Xeon® de 3e génération
- Processeurs Intel® Core™ de 11e génération
- Processeurs Intel® Core™ de 10e génération
- Processeurs Intel® Core™ de 7e génération
- Processeurs Intel® Core™ série X
- Processeur Intel® Celeron® série N
- Série de processeurs Intel® Pentium® Silver
Intel n’a pas partagé beaucoup de détails techniques autour de ces deux failles, mais il conseille aux utilisateurs de corriger les vulnérabilités en appliquant les mises à jour du BIOS disponibles.
Ceci est particulièrement problématique car les fournisseurs de cartes mères ne publient pas souvent de mises à jour du BIOS et ne prennent pas en charge leurs produits avec des mises à jour de sécurité pendant longtemps.
Étant donné que les processeurs Intel Core de 7e génération sont sortis il y a cinq ans, il est douteux que les fournisseurs de MB publient toujours des mises à jour de sécurité du BIOS pour eux.
En tant que tel, certains utilisateurs n’auront aucun moyen pratique de corriger les défauts ci-dessus. Dans ces cas, nous vous suggérons de configurer un mot de passe fort pour accéder aux paramètres du BIOS.
Une troisième vulnérabilité affecte les voitures
Une troisième faille pour laquelle Intel a publié un avis séparé le même jour est CVE-2021-0146, également une faille d’élévation des privilèges de haute gravité (CVSS 7.2).
« Le matériel permet l’activation de la logique de test ou de débogage au moment de l’exécution pour certains processeurs Intel(R), ce qui peut permettre à un utilisateur non authentifié d’activer potentiellement l’élévation des privilèges via un accès physique. » – Avis d’Intel
Ce bug affecte les produits suivants :
Source : Intel
Intel a publié une mise à jour du micrologiciel pour atténuer cette faille, et les utilisateurs l’obtiendront via les correctifs fournis par le fabricant du système.
Positive Technologies, qui a découvert et signalé le bug à Intel, affirme que la faille pourrait permettre aux acteurs de la menace d’accéder à des informations hautement sensibles.
« Un exemple de menace réelle est la perte ou le vol d’ordinateurs portables contenant des informations confidentielles sous forme cryptée » dit Mark Ermolov.
« Grâce à cette vulnérabilité, un attaquant peut extraire la clé de chiffrement et accéder aux informations contenues dans l’ordinateur portable. Le bug peut également être exploité dans des attaques ciblées tout au long de la chaîne d’approvisionnement. »
« Par exemple, un employé d’un fournisseur d’appareils à processeur Intel pourrait, en théorie, extraire la clé du micrologiciel Intel CSME et déployer des logiciels espions que les logiciels de sécurité ne détecteraient pas. »
Positive Technologies dit que la faille affecte également plusieurs modèles de voitures qui utilisent l’Intel Atom E3900, y compris le Tesla Model 3.
Les utilisateurs doivent appliquer une mise à jour du BIOS du fournisseur de l’appareil pour corriger cette faille, alors consultez régulièrement le site Web de votre fabricant.
N’oubliez pas qu’il est toujours judicieux de sauvegarder vos données sur un système distinct ou sur un support amovible avant d’appliquer l’un de ces correctifs, car il y a toujours un risque que quelque chose se passe mal avec la mise à jour. Ces défauts affectent principalement les systèmes dans les environnements industriels et d’entreprise exposés à accès physique par de nombreuses personnes.
Quant aux voitures, elles ne devraient être exploitables que par les points de service et les garagistes qui accéderont aux intérieurs du véhicule.