Risque de sécurité lié à une erreur de pilote chez Lenovo

Les pirates peuvent installer des logiciels malveillants directement sur le microprogramme de 25 modèles grâce à cette vulnérabilité.

Une faille de sécurité permet aux pirates de désactiver le démarrage sécurisé UEFI directement sur le micrologiciel de l’appareil. Le pirate peut alors installer des malwares ou d’autres logiciels potentiellement dangereux directement à la source. Le malware garde une porte dérobée ouverte, pour ainsi dire, afin de pouvoir se réinstaller à chaque fois, même lorsque l’utilisateur réinstalle son appareil.

Pratique peu utilisée

C’est la société de sécurité ESET qui a annoncé la nouvelle en divulguant les vulnérabilités (voir le tweet). Dans le même temps, Lenovo a publié des mises à jour de sécurité pour 25 modèles, dont les ThinkPads, Yoga Slims et IdeaPads. Les vulnérabilités qui compromettent le démarrage sécurisé UEFI peuvent être potentiellement dangereuses car elles comblent le fossé entre le périphérique et le système d’exploitation.

Selon une source d’ArsTechnica la subversion du démarrage sécurisé UEFI est une pratique rarement utilisée. Pourtant, elle peut être particulièrement dangereuse car elle concerne le premier élément de code qui entre en vigueur sur pratiquement toutes les machines modernes. Il constitue donc le premier maillon de la chaîne de sécurité. Comme l’UEFI réside dans une puce flash sur la carte mère, les infections sont difficiles à détecter et à supprimer. Même un effacement complet du disque dur ne suffit pas, car l’infection UEFI réinfecte simplement l’ordinateur par la suite.

Trois vulnérabilités

ESET a découvert trois vulnérabilités (CVE-2022-3430, CVE-2022-3431 et CVE-2022-3432) qui permettent de désactiver le démarrage sécurisé UEFI ou de restaurer les bases de données par défaut. Et tout cela peut se faire depuis le système d’exploitation, car le démarrage sécurisé utilise des bases de données pour autoriser ou refuser les mécanismes. La base de données DBX, en particulier, stocke les détails des clés refusées. La désactivation ou la restauration de cette base de données donne au pirate une chance de supprimer toute restriction.

Les problèmes sont apparus après que Lenovo a expédié des ordinateurs portables avec des pilotes destinés à être utilisés pendant le processus de fabrication. Lenovo ne corrige que les deux premières vulnérabilités. CVE-2022-3532 tombe car l’entreprise ne prend plus en charge l’IdeaPad Y700-14ISK. Les utilisateurs de tous les autres modèles potentiellement concernés sont invités à installer les correctifs dès que possible.

newsletter

Abonnez-vous gratuitement à ITdaily !

Category(Required)
This field is for validation purposes and should be left unchanged.
retour à la maison