Découverte des vulnérabilités dans les ordinateurs portables Lenovo
Les chercheurs d’ESET ont découvert et analysé trois vulnérabilités affectant différents modèles d’ordinateurs portables Lenovo. L’exploitation de ces vulnérabilités permettrait à des attaquants de déployer et d’exécuter des malwares UEFI, tels que LoJax, qui s’implante dans la mémoire flash SPI, ou ESPecter qui s’implante dans la partition système EFI. ESET a signalé toutes les vulnérabilités découvertes à Lenovo en octobre 2021. Au total, la liste des appareils concernés comprend plus d’une centaine de modèles d’ordinateurs portables différents, utilisés par des millions de personnes dans le monde.
« Les menaces UEFI peuvent être extrêmement furtives et dangereuses. Elles s’exécutent au début du processus de démarrage de la machine, avant que le système d’exploitation ne prenne le contrôle de celle-ci. Ceci signifie que ces menaces peuvent contourner presque toutes les mesures de sécurité et d’atténuation visant à les empêcher de lancer l’exécution d’autres malwares dans le système d’exploitation, » explique Martin Smolár, le chercheur chez ESET qui a découvert les vulnérabilités. « Notre découverte de ces portes dérobées UEFI démontre que dans certains cas, le déploiement des menaces UEFI n’est pas aussi difficile que l’on pensait, et le nombre croissant de menaces UEFI découvertes ces dernières années suggère que les adversaires en sont conscients » ajoute-t-il.
Les deux premières vulnérabilités, CVE-2021-3970 et CVE-2021-3971, peuvent être plus précisément appelées des « portes dérobées sécurisées » intégrées au micrologiciel UEFI, car c’est littéralement le nom donné aux pilotes UEFI de Lenovo. Elles mettent en œuvre l’une de ces vulnérabilités et sont nommées (CVE-2021-3971) : SecureBackDoor et SecureBackDoorPeim. Ces portes dérobées intégrées peuvent être utilisées pour désactiver les protections de la mémoire flash SPI (les bits du registre de contrôle du BIOS et les registres de la plage de protection) ou la fonctionnalité de démarrage UEFI sécurisé à partir d’un processus en mode utilisateur privilégié pendant l’exécution du système d’exploitation.
En examinant le code de ces portes dérobées, ESET a découvert une troisième vulnérabilité : elle permet la corruption de mémoire SMM à l’intérieur de la fonction de gestion SW SMI (CVE-2021-3972). Cette vulnérabilité permet une lecture/écriture arbitraire depuis/vers la SMRAM, ce qui peut conduire à l’exécution de code malveillant avec les privilèges SMM et potentiellement conduire à une implantation dans la mémoire flash SPI.
Les services de démarrage et d’exécution UEFI fournissent les fonctions de base et les structures de données nécessaires aux pilotes et aux applications pour faire leur travail, notamment l’installation de protocoles, la localisation de protocoles existants, l’allocation de mémoire, la manipulation de variables UEFI, etc. Les pilotes de démarrage et les applications UEFI font un usage intensif des protocoles. Les variables UEFI sont un mécanisme de stockage spécial du micrologiciel utilisé par les modules UEFI pour stocker différentes données de configuration, y compris la configuration de démarrage.
SMM, quant à lui, est un mode d’exécution hautement privilégié des processeurs x86. Son code est rédigé dans le contexte du micrologiciel du système et est généralement utilisé pour différentes tâches, par exemple la gestion avancée de l’alimentation, l’exécution du code OEM du fabricant, et les mises à jour sécurisées du micrologiciel.
« Toutes les menaces UEFI découvertes ces dernières années, telles que LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy ont besoin de contourner ou désactiver les mécanismes de sécurité d’une manière ou d’une autre pour pouvoir être déployées et exécutées » explique M. Smolár.
ESET Research conseille vivement à tous les possesseurs d’ordinateurs portables Lenovo de consulter la liste des appareils concernés et de mettre à jour leur micrologiciel en suivant les instructions du fabricant.
Pour ceux qui utilisent des appareils affectés par la vulnérabilité UEFI SecureBootBackdoor (CVE-2021-3970), qui ne sont plus pris en charge et pour lesquels aucun correctif n’est disponible : une protection éventuelle contre une modification non désirée du démarrage sécurisé UEFI consiste à utiliser une solution de chiffrement complet des disques compatible TPM afin de rendre les données inaccessibles lorsque la configuration du démarrage sécurisé UEFI est modifiée.
Source : ESET
This is a critically important disclosure from ESET. Thank you for the detailed and clear explanation of these UEFI vulnerabilities. The fact that they are essentially “secure backdoors” embedded by the manufacturer is deeply concerning and highlights a terrifying truth: if the firmware foundation of a system is compromised, no layer of security software running in the operating system can be fully trusted.
Martin Smolár’s point is paramount: “UEFI threats can be extremely stealthy and dangerous” because they operate at a level below the OS. This fundamentally breaks the chain of trust for the entire machine.
This revelation about the system’s lowest-level firmware integrity naturally leads one to consider the security posture at other foundational layers of modern computing, particularly in the data center. This is where a processor like the Xeon 32 Core 3.1GHz with 16GT/s UPI https://serverorbit.com/cpus-and-processors/xeon-32-core/3-1ghz-16gt-upi becomes relevant, not for its performance, but for the security and reliability features inherent in its architecture.
While the Lenovo laptop vulnerability is a flaw in software/firmware, the Xeon platform is often chosen for environments where hardware-rooted security is non-negotiable. The comparison lies in the scope and implementation of trust:
The UEFI Vulnerability (CVE-2021-3970/71): Represents a catastrophic failure of software-based trust. A privileged component, meant to be secure, was subverted from within, allowing attackers to disable hardware protections like SPI flash memory security. The “root of trust” was poisoned.
Xeon & Platform Security: In contrast, platforms built around such high-end server processors are increasingly designed with a hardware-rooted chain of trust. This can include features like:
Hardware-based Verified Boot: Ensuring that every piece of firmware and software, from the UEFI itself up to the hypervisor, is cryptographically verified before execution, making a “silent” UEFI implant much harder to achieve.
Hardware-level Isolation: Technologies like Intel’s SGX or TME can create encrypted memory enclaves, protecting sensitive data even from privileged code running on the same system, including a compromised kernel or hypervisor.
SMM Hardening: The very SMM (System Management Mode) that was corrupted in CVE-2021-3972 is a major focus for security hardening in server platforms to prevent the exact kind of privilege escalation described.
The lesson here is universal: security is a chain, and it’s only as strong as its weakest link. For the affected Lenovo laptops, that weak link was a vulnerable UEFI driver. For critical infrastructure and data centers relying on Xeon-based systems, the entire architecture—from the UEFI and the CPU’s security extensions to the high-speed UPI interconnect—is engineered to minimize such weak links and establish a verifiable chain of trust from the hardware up.
This disclosure is a stark reminder for all manufacturers and users about the absolute necessity of securing the firmware layer, the very bedrock upon which all other software runs.