Des vulnérabilités dans les laptops Lenovo donnent un accès direct à la carte mère
Eset a découvert pas moins de trois vulnérabilités dans les ordinateurs portables de Lenovo. Ces failles permettent à un attaquant de manipuler le firmware de la carte mère et de contourner ainsi presque toutes les mesures de sécurité de haut niveau.
Le fournisseur slovaque de sécurité informatique Eset, en collaboration avec Lenovo, met en garde contre les ordinateurs portables grand public du fabricant. Au total, plus de 100 modèles sont concernés: des appareils bon marché comme l'Ideapad-3 aux nouveaux produits Yoga-Slim, en passant par les bolides de jeu comme le Legion 7.
Les chercheurs en sécurité d'Eset ont découvert pas moins de trois vulnérabilités qui «ouvrent la porte aux attaquants sur les ordinateurs portables», explique l'éditeur de sécurité. Les deux premières failles concernent les pilotes UEFI (Unified Extensible Firmware Interface). Ce module fait partie du micrologiciel de la carte mère et sert entre autres à des fonctions de sécurité telles que le démarrage de l'ordinateur dans un mode sécurisé (Secure Boot).
Des pirates pourraient ainsi introduire des malware sur les ordinateurs portables au niveau de la carte mère. «Les logiciels malveillants UEFI peuvent passer inaperçus pendant longtemps et représentent un immense potentiel de menace, explique Martin Smolár, le chercheur d'Eset qui a découvert les failles. Les programmes malveillants sont exécutés tôt dans le processus de démarrage, avant que le système d'exploitation ne démarre». Ainsi, ils contourneraient presque toutes les mesures de sécurité déployées contre les malware aux niveaux supérieurs.
Pour les deux premières failles (CVE-2021-3970, CVE-2021-3971), il s'agit en fait de portes dérobées «sûres», intégrées dans le micrologiciel UEFI, et censées ne pouvoir être utilisées que pendant le processus de fabrication des laptops. Elles n'ont cependant pas été correctement désactivées dans les modèles livrés. Les cybercriminels pourraient désormais s’en servir pour désactiver la protection de flash SPI (BIOS Control Register bits et Protected Range registers) ou la fonction de démarrage sécurisé de l'UEFI via un mode utilisateur privilégié pendant l’opération du système d'exploitation.
Mettre à jour ou chiffrer
Selon Eset, un examen plus approfondi des fichiers binaires de ces portes dérobées a révélé la troisième faille de sécurité (CVE-2021-3972). Celle-ci permet des accès arbitraires en lecture et en écriture à la mémoire vive de gestion du système. Les attaquants pourraient ainsi exécuter du code malveillant avec des privilèges plus élevés.
Eset recommande aux clients de Lenovo de consulter la liste des appareils concernés et de mettre à jour leur firmware conformément aux instructions du fabricant. La liste a été publiée par Lenovo ici.
Par ailleurs, certains appareils sont concernés par la faille UEFI SecureBootBackdoor (CVE-2021-3970), mais ne reçoivent plus de mises à jour du fabricant. Les détenteurs de ces équipements doivent donc se tourner vers une solution Trusted Platform Module. Celle-ci chiffre les disques durs et rend les données inaccessibles aux cybercriminels.
