Découverte des vulnérabilités dans les ordinateurs portables Lenovo

Les chercheurs d’ESET ont découvert et analysé trois vulnérabilités affectant différents modèles d’ordinateurs portables Lenovo. L’exploitation de ces vulnérabilités permettrait à des attaquants de déployer et d’exécuter des malwares UEFI, tels que LoJax, qui s’implante dans la mémoire flash SPI, ou ESPecter qui s’implante dans la partition système EFI. ESET a signalé toutes les vulnérabilités découvertes à Lenovo en octobre 2021. Au total, la liste des appareils concernés comprend plus d’une centaine de modèles d’ordinateurs portables différents, utilisés par des millions de personnes dans le monde.

« Les menaces UEFI peuvent être extrêmement furtives et dangereuses. Elles s’exécutent au début du processus de démarrage de la machine, avant que le système d’exploitation ne prenne le contrôle de celle-ci. Ceci signifie que ces menaces peuvent contourner presque toutes les mesures de sécurité et d’atténuation visant à les empêcher de lancer l’exécution d’autres malwares dans le système d’exploitation, » explique Martin Smolár, le chercheur chez ESET qui a découvert les vulnérabilités. « Notre découverte de ces portes dérobées UEFI démontre que dans certains cas, le déploiement des menaces UEFI n’est pas aussi difficile que l’on pensait, et le nombre croissant de menaces UEFI découvertes ces dernières années suggère que les adversaires en sont conscients » ajoute-t-il.

Les deux premières vulnérabilités, CVE-2021-3970 et CVE-2021-3971, peuvent être plus précisément appelées des « portes dérobées sécurisées » intégrées au micrologiciel UEFI, car c’est littéralement le nom donné aux pilotes UEFI de Lenovo. Elles mettent en œuvre l’une de ces vulnérabilités et sont nommées (CVE-2021-3971) : SecureBackDoor et SecureBackDoorPeim. Ces portes dérobées intégrées peuvent être utilisées pour désactiver les protections de la mémoire flash SPI (les bits du registre de contrôle du BIOS et les registres de la plage de protection) ou la fonctionnalité de démarrage UEFI sécurisé à partir d’un processus en mode utilisateur privilégié pendant l’exécution du système d’exploitation.

En examinant le code de ces portes dérobées, ESET a découvert une troisième vulnérabilité : elle permet la corruption de mémoire SMM à l’intérieur de la fonction de gestion SW SMI (CVE-2021-3972). Cette vulnérabilité permet une lecture/écriture arbitraire depuis/vers la SMRAM, ce qui peut conduire à l’exécution de code malveillant avec les privilèges SMM et potentiellement conduire à une implantation dans la mémoire flash SPI.

Les services de démarrage et d’exécution UEFI fournissent les fonctions de base et les structures de données nécessaires aux pilotes et aux applications pour faire leur travail, notamment l’installation de protocoles, la localisation de protocoles existants, l’allocation de mémoire, la manipulation de variables UEFI, etc. Les pilotes de démarrage et les applications UEFI font un usage intensif des protocoles. Les variables UEFI sont un mécanisme de stockage spécial du micrologiciel utilisé par les modules UEFI pour stocker différentes données de configuration, y compris la configuration de démarrage.

SMM, quant à lui, est un mode d’exécution hautement privilégié des processeurs x86. Son code est rédigé dans le contexte du micrologiciel du système et est généralement utilisé pour différentes tâches, par exemple la gestion avancée de l’alimentation, l’exécution du code OEM du fabricant, et les mises à jour sécurisées du micrologiciel.

« Toutes les menaces UEFI découvertes ces dernières années, telles que LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy ont besoin de contourner ou désactiver les mécanismes de sécurité d’une manière ou d’une autre pour pouvoir être déployées et exécutées » explique M. Smolár.

ESET Research conseille vivement à tous les possesseurs d’ordinateurs portables Lenovo de consulter la liste des appareils concernés et de mettre à jour leur micrologiciel en suivant les instructions du fabricant.

Pour ceux qui utilisent des appareils affectés par la vulnérabilité UEFI SecureBootBackdoor (CVE-2021-3970), qui ne sont plus pris en charge et pour lesquels aucun correctif n’est disponible : une protection éventuelle contre une modification non désirée du démarrage sécurisé UEFI consiste à utiliser une solution de chiffrement complet des disques compatible TPM afin de rendre les données inaccessibles lorsque la configuration du démarrage sécurisé UEFI est modifiée.


Source : ESET