Les chercheurs ont averti mercredi que plus de deux douzaines de modèles d’ordinateurs portables Lenovo sont vulnérables aux piratages malveillants qui désactivent le processus de démarrage sécurisé UEFI, puis exécutent des applications UEFI non signées ou montent en permanence un chargeur de démarrage qui compromet l’appareil.
Dans le même temps, des chercheurs de la société de sécurité ESET . Détecter les faiblessesfabricant d’ordinateurs portables Publier des mises à jour de sécurité 25 modèles, dont ThinkPads, Yoga Slims et IdeaPads. Les vulnérabilités qui minent UEFI Secure Boot peuvent être dangereuses car elles permettent aux attaquants d’installer des micrologiciels malveillants qui survivent à plusieurs réinstallations du système d’exploitation.
Pas commun, mais rare
Abréviation de Unified Extensible Firmware Interface, UEFI est le logiciel qui connecte le micrologiciel d’un ordinateur à son système d’exploitation. En tant que premier morceau de code qui s’exécute lorsque vous allumez presque n’importe quel appareil moderne, c’est le premier maillon de la chaîne de sécurité. Étant donné que l’UEFI est situé dans une puce flash sur la carte mère, il est difficile de détecter et de supprimer l’infection. Les actions typiques telles que l’effacement du disque dur et la réinstallation du système d’exploitation n’ont aucun effet appréciable car l’infection UEFI réinfectera alors l’ordinateur.
ESET a déclaré que les vulnérabilités – suivies comme CVE-2022-3430, CVE-2022-3431 et CVE-2022-3432 – « permettent à UEFI Secure Boot d’être désactivé ou de restaurer les bases de données Secure Boot par défaut (y compris dbx): Tout simplement à partir d’un système d’exploitation. » Secure Boot utilise des bases de données pour autoriser et refuser des mécanismes. Une base de données DBX, en particulier, stocke les hachages cryptographiques des clés rejetées. La désactivation ou la restauration des valeurs par défaut dans les bases de données permet à un attaquant de supprimer les restrictions qui seraient normalement en vigueur.
« Changer des choses dans le firmware du système d’exploitation n’est pas courant, mais plutôt rare », a déclaré un chercheur spécialisé dans la sécurité des firmwares, qui a préféré ne pas être nommé, dans une interview. « La plupart des gens veulent dire que pour modifier les paramètres du micrologiciel ou du BIOS, vous devez avoir un accès physique pour écraser le bouton DEL au démarrage pour entrer dans la configuration et y faire des choses. Lorsque vous pouvez faire quelques choses à partir du système d’exploitation, c’est un peu le gros problème.
La désactivation du démarrage sécurisé UEFI permet aux attaquants d’exécuter des applications UEFI malveillantes, ce qui n’est généralement pas possible car le démarrage sécurisé nécessite une signature cryptographique des applications UEFI. Pendant ce temps, la restauration du DBX par défaut permet aux attaquants de charger un bootloader vulnérable. En août, des chercheurs de la société de sécurité Eclypsium J’ai identifié trois pilotes importants Ils peuvent être utilisés pour contourner le démarrage sécurisé lorsque l’attaquant a des privilèges élevés, c’est-à-dire admin sous Windows ou root sous Linux.
Les vulnérabilités peuvent être exploitées en altérant les variables de la NVRAM, la RAM non volatile qui stocke diverses options de démarrage. Les vulnérabilités sont causées par le fait que Lenovo expédie accidentellement des ordinateurs portables avec des pilotes conçus uniquement pour être utilisés pendant le processus de fabrication. Les points faibles sont :
- CVE-2022-3430 : une vulnérabilité potentielle dans le pilote de configuration WMI sur certains ordinateurs portables Lenovo grand public pourrait permettre à un attaquant élevé de modifier les paramètres de démarrage sécurisé en modifiant la variable NVRAM.
- CVE-2022-3431 : une vulnérabilité potentielle dans un pilote utilisé pendant le processus de fabrication sur certains ordinateurs portables Lenovo grand public qui n’a pas été désactivé accidentellement pourrait permettre à un attaquant disposant de privilèges élevés de modifier le paramètre de démarrage sécurisé en modifiant la variable NVRAM.
- CVE-2022-3432 : une vulnérabilité potentielle dans un pilote utilisé pendant le processus de fabrication sur l’Ideapad Y700-14ISK qui n’a pas été désactivé accidentellement pourrait permettre à un attaquant disposant de privilèges élevés de modifier le paramètre de démarrage sécurisé en définissant la variable NVRAM.
Lenovo ne corrige que les deux premiers. CVE-2022-3432 ne sera pas corrigé car la société ne prend plus en charge l’Ideapad Y700-14ISK, le modèle d’ordinateur portable en fin de vie qui a été affecté. Les personnes utilisant l’un des autres modèles vulnérables doivent installer les correctifs dès que possible.
« Évangéliste des médias sociaux. Baconaholic. Lecteur dévoué. Chercheur de Twitter. Pionnier avide du café. »
More Stories
Apple annonce l’expansion de Vision Pro dans deux pays supplémentaires
Nintendo lance une application musicale avec des thèmes de Mario et Zelda et, plus important encore, une chaîne Wii Shop
C’est le journal que personne n’a lu avant d’annoncer la disparition de la cryptographie moderne.