• L’exploitation de ces vulnérabilités permettrait à des attaquants de déployer et d’exécuter des malwares UEFI tels que LoJax et ESPecter.
• Les menaces UEFI sont extrêmement furtives et dangereuses.
• Les vulnérabilités découvertes sont CVE-2021-3970, CVE-2021-3971 et CVE-2021-3972.
• ESET Research conseille vivement à tous les possesseurs d’ordinateurs portables Lenovo de consulter la liste des appareils concernés et de mettre à jour leur micrologiciel.
Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert et analysé trois vulnérabilités affectant différents modèles d’ordinateurs portables Lenovo. L’exploitation de ces vulnérabilités permettrait à des attaquants de déployer et d’exécuter des malwares UEFI, tels que LoJax, qui s’implante dans la mémoire flash SPI, ou ESPecter, notre dernière découverte, qui s’implante dans la partition système EFI. ESET a signalé toutes les vulnérabilités découvertes à Lenovo en octobre 2021. Au total, la liste des appareils concernés comprend plus d’une centaine de modèles d’ordinateurs portables différents, utilisés par des millions de personnes dans le monde.
« Les menaces UEFI peuvent être extrêmement furtives et dangereuses. Elles s’exécutent au début du processus de démarrage de la machine, avant que le système d’exploitation ne prenne le contrôle de celle-ci. Ceci signifie que ces menaces peuvent contourner presque toutes les mesures de sécurité et d’atténuation visant à les empêcher de lancer l’exécution d’autres malwares dans le système d’exploitation, » explique Martin Smolár, le chercheur chez ESET qui a découvert les vulnérabilités. « Notre découverte de ces portes dérobées UEFI démontre que dans certains cas, le déploiement des menaces UEFI n’est pas aussi difficile que l’on pensait, et le nombre croissant de menaces UEFI découvertes ces dernières années suggère que les adversaires en sont conscients, » ajoute-t-il.
Les deux premières vulnérabilités, CVE-2021-3970 et CVE-2021-3971, peuvent être plus précisément appelées des « portes dérobées sécurisées » intégrées au micrologiciel UEFI, car c’est littéralement le nom donné aux pilotes UEFI de Lenovo. Elles mettent en œuvre l’une de ces vulnérabilités et sont nommées (CVE-2021-3971) : SecureBackDoor et SecureBackDoorPeim. Ces portes dérobées intégrées peuvent être utilisées pour désactiver les protections de la mémoire flash SPI (les bits du registre de contrôle du BIOS et les registres de la plage de protection) ou la fonctionnalité de démarrage UEFI sécurisé à partir d’un processus en mode utilisateur privilégié pendant l’exécution du système d’exploitation.
En examinant le code de ces portes dérobées, nous avons découvert une troisième vulnérabilité : Elle permet la corruption de mémoire SMM à l’intérieur de la fonction de gestion SW SMI (CVE-2021-3972). Cette vulnérabilité permet une lecture/écriture arbitraire depuis/vers la SMRAM, ce qui peut conduire à l’exécution de code malveillant avec les privilèges SMM et potentiellement conduire à une implantation dans la mémoire flash SPI.
Les services de démarrage et d’exécution UEFI fournissent les fonctions de base et les structures de données nécessaires aux pilotes et aux applications pour faire leur travail, notamment l’installation de protocoles, la localisation de protocoles existants, l’allocation de mémoire, la manipulation de variables UEFI, etc. Les pilotes de démarrage et les applications UEFI font un usage intensif des protocoles. Les variables UEFI sont un mécanisme de stockage spécial du micrologiciel utilisé par les modules UEFI pour stocker différentes données de configuration, y compris la configuration de démarrage.
SMM, quant à lui, est un mode d’exécution hautement privilégié des processeurs x86. Son code est rédigé dans le contexte du micrologiciel du système et est généralement utilisé pour différentes tâches, par exemple la gestion avancée de l’alimentation, l’exécution du code OEM du fabricant, et les mises à jour sécurisées du micrologiciel.
« Toutes les menaces UEFI découvertes ces dernières années, telles que LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy, ont besoin de contourner ou désactiver les mécanismes de sécurité d’une manière ou d’une autre pour pouvoir être déployées et exécutées, » explique M. Smolár.
ESET Research conseille vivement à tous les possesseurs d’ordinateurs portables Lenovo de consulter la liste des appareils concernés et de mettre à jour leur micrologiciel enen suivant les instructions du fabricant.
Pour ceux qui utilisent des appareils affectés par la vulnérabilité UEFI SecureBootBackdoor (CVE-2021-3970), qui ne sont plus pris en charge et pour lesquels aucun correctif n’est disponible : une protection éventuelle contre une modification non désirée du démarrage sécurisé UEFI consiste à utiliser une solution de chiffrement complet des disques compatible TPM afin de rendre les données inaccessibles lorsque la configuration du démarrage sécurisé UEFI est modifiée.
Pour des informations plus techniques, consultez l’article « UEFI "secure" backdoors : Secure ways to get compromised » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - +33 01 55 89 08 88 - darina.j@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.