Getty Images
Lenovo a publié des mises à jour de sécurité pour plus de 100 modèles d’ordinateurs portables afin de corriger les vulnérabilités critiques qui permettent aux pirates informatiques avancés d’installer subrepticement des micrologiciels malveillants qui peuvent être presque impossibles à supprimer ou, dans certains cas, à détecter.
Trois vulnérabilités affectant plus d’un million d’ordinateurs portables peuvent donner aux pirates la possibilité de modifier l’UEFI d’un ordinateur. Abréviation de Unified Extensible Firmware Interface, l’UEFI est le logiciel qui relie le micrologiciel de l’appareil d’un ordinateur à son système d’exploitation. En tant que premier logiciel à s’exécuter lorsque pratiquement n’importe quelle machine moderne est allumée, c’est le premier maillon de la chaîne de sécurité. Étant donné que l’UEFI réside dans une puce flash sur la carte mère, les infections sont difficiles à détecter et encore plus difficiles à supprimer.
Oh non
Deux des vulnérabilités, identifiées comme CVE-2021-3971 et CVE-2021-3972, résident dans les pilotes de micrologiciel UEFI destinés à être utilisés uniquement pendant le processus de fabrication des ordinateurs portables grand public Lenovo. Les ingénieurs de Lenovo ont inclus par inadvertance les pilotes dans les images du BIOS de production sans les avoir correctement désactivés. Les pirates peuvent exploiter ces pilotes bogués pour désactiver les protections, y compris le démarrage sécurisé UEFI, les bits de registre de contrôle du BIOS et le registre de plage protégée, qui sont intégrés à l’interface périphérique série (SPI) et conçus pour empêcher les modifications non autorisées du micrologiciel qu’il exécute.
Après avoir découvert et analysé les vulnérabilités, les chercheurs de la société de sécurité ESET ont découvert une troisième vulnérabilité, CVE-2021-3970. Il permet aux pirates d’exécuter des micrologiciels malveillants lorsqu’une machine est mise en mode de gestion du système, un mode de fonctionnement à privilèges élevés généralement utilisé par les fabricants de matériel pour la gestion du système de bas niveau.
Publicité
“Sur la base de la description, ce sont toutes des sortes d’attaques assez” oh non “pour des attaquants suffisamment avancés”, a déclaré à Ars Trammel Hudson, chercheur en sécurité spécialisé dans les hacks de micrologiciels. “Contourner les autorisations flash SPI est assez mauvais.”
Il a déclaré que la gravité peut être atténuée par des protections telles que BootGuard, qui est conçu pour empêcher les personnes non autorisées d’exécuter des micrologiciels malveillants pendant le processus de démarrage. Là encore, les chercheurs du passé ont découvert des vulnérabilités critiques qui subvertissent BootGuard. Ils incluent un trio de failles découvertes par Hudson en 2020 qui empêchaient la protection de fonctionner lorsqu’un ordinateur sortait du mode veille.
Se glisser dans le courant dominant
Bien qu’ils soient encore rares, les implants dits SPI sont de plus en plus courants. L’une des plus grandes menaces d’Internet – un logiciel malveillant connu sous le nom de Trickbot – a commencé en 2020 à incorporer un pilote dans sa base de code qui permet aux utilisateurs d’écrire un micrologiciel sur pratiquement n’importe quel appareil. Les deux seuls autres cas documentés de micrologiciels UEFI malveillants utilisés dans la nature sont LoJax, qui a été écrit par le groupe de hackers d’État russe connu sous plusieurs noms, notamment Sednit, Fancy Bear ou APT 28. Le deuxième cas était un logiciel malveillant UEFI qui découverte par la firme Kaspersky sur les ordinateurs de personnalités diplomatiques en Asie.
Les trois vulnérabilités Lenovo découvertes par ESET nécessitent un accès local, ce qui signifie que l’attaquant doit déjà avoir le contrôle de la machine vulnérable avec des privilèges illimités. La barre pour ce type d’accès est élevée et nécessiterait probablement l’exploitation d’une ou plusieurs autres vulnérabilités critiques ailleurs qui mettraient déjà un utilisateur en danger considérable.
Pourtant, les vulnérabilités sont graves car elles peuvent infecter les ordinateurs portables vulnérables avec des logiciels malveillants qui vont bien au-delà de ce qui est normalement possible avec des logiciels malveillants plus conventionnels. Lenovo a ici une liste de plus de 100 modèles concernés.