Lenovo
Lenovo a publié des mises à jour de sécurité pour plus de 100 modèles d’ordinateurs portables afin de corriger les vulnérabilités critiques qui permettent aux pirates avancés d’installer subrepticement des micrologiciels malveillants qui, dans certains cas, peuvent être impossibles à supprimer ou à détecter.
Trois vulnérabilités affectant plus d’un million d’ordinateurs portables peuvent donner aux pirates la possibilité de modifier l’UEFI de l’ordinateur. court pour Interface logicielle étendue unifiéeUEFI est le logiciel qui connecte le firmware d’un ordinateur à son système d’exploitation. En tant que premier logiciel qui s’exécute lorsque vous allumez presque n’importe quel appareil moderne, c’est le premier maillon de la chaîne de sécurité. Étant donné que l’UEFI est intégré dans une puce flash sur la carte mère, l’infection est difficile à détecter et même difficile à supprimer.
Oh non
Deux vulnérabilités – tracées comme CVE-2021-3971 et CVE-2021-3972 – existent dans les pilotes de micrologiciel UEFI qui sont destinés à être utilisés uniquement pendant le processus de fabrication des ordinateurs portables grand public Lenovo. Les ingénieurs de Lenovo ont inclus par inadvertance des pilotes dans les images du BIOS de production sans les désactiver correctement. Les pirates peuvent exploiter des pilotes bogués pour désactiver les protections, y compris UEFI Secure Boot, les bits de registre de contrôle du BIOS et le registre Protected Range, qui sont stockés dans interface de terminal série (SPI) et conçu pour empêcher les modifications non autorisées du micrologiciel qu’il exécute.
Après avoir découvert et analysé les vulnérabilités, les chercheurs de la société de sécurité ESET ont découvert une troisième vulnérabilité, CVE-2021-3970. Il permet aux pirates d’exécuter des micrologiciels malveillants lorsque l’appareil est mis en mode d’administration système, un mode de fonctionnement hautement privilégié généralement utilisé par les fabricants de matériel pour la gestion système de bas niveau.
« Sur la base de la description, ce sont tous de bons types d’attaques pour des attaquants suffisamment avancés », a déclaré à Ars Tramell Hudson, un chercheur en sécurité spécialisé dans le piratage de micrologiciels. « Contourner les autorisations Flash SPI est une très mauvaise chose. »
Il a déclaré que le risque pourrait être réduit par des protections telles que BootGuard, conçues pour empêcher les personnes non autorisées d’exécuter des micrologiciels malveillants pendant le processus de démarrage. Là encore, les chercheurs ont découvert dans le passé des vulnérabilités critiques qui compromettent BootGuard. ils incluent triples défauts Il a été découvert par Hudson en 2020 qui empêchait la protection de fonctionner lorsque l’ordinateur sortait du mode veille.
Ramper dans le courant dominant
Bien qu’encore rares, les implants dits SPI deviennent de plus en plus courants. L’une des plus grandes menaces d’Internet – un logiciel malveillant connu sous le nom de Trickbot – a commencé en 2020 en incorporant un pilote dans sa base de code qui permet aux utilisateurs de Écrivez le micrologiciel dans presque tous les appareils. Les deux seuls autres cas documentés de micrologiciels UEFI malveillants utilisés dans la nature sont LOJAXqui a été écrit par un groupe de hackers du gouvernement russe connu sous divers noms, dont Sednit, Fancy Bear ou APT 28. Le deuxième cas était un logiciel malveillant UEFI utilisé par la société de sécurité Découvrez Kaspersky sur les ordinateurs des personnalités diplomatiques en Asie.
Les trois vulnérabilités Lenovo découvertes par ESET nécessitent un accès local, ce qui signifie que l’attaquant doit déjà avoir le contrôle de l’appareil vulnérable avec des privilèges illimités. La barrière à ce type d’accès est élevée et nécessiterait probablement l’exploitation d’une ou plusieurs autres vulnérabilités critiques ailleurs qui mettraient déjà l’utilisateur en grand danger.
Cependant, les vulnérabilités sont dangereuses car elles peuvent infecter les ordinateurs portables vulnérables avec des logiciels malveillants qui dépassent de loin ce qui est généralement possible avec les logiciels malveillants traditionnels. Lenovo a une liste ici Parmi plus de 100 modèles concernés.
