Le fabricant de PC Lenovo a corrigé un autre ensemble de trois lacunes dans le micrologiciel UEFI (Unified Extensible Firmware Interface) affectant plusieurs appareils Yoga, IdeaPad et ThinkBook.
« Les vulnérabilités permettent de désactiver UEFI Secure Boot ou de restaurer les bases de données Secure Boot par défaut (y compris dbx) : tout simplement à partir d’un système d’exploitation », a déclaré la société slovaque de cybersécurité ESET. expliqué dans une série de tweets.
UEFI fait référence à un logiciel qui agit comme une interface entre le système d’exploitation et le micrologiciel intégré au matériel de l’appareil. Étant donné que l’UEFI est responsable du lancement du système d’exploitation lorsqu’un appareil est sous tension, cela a fait de cette technologie une option attrayante pour les acteurs de la menace qui cherchent à éliminer les logiciels malveillants difficiles à détecter et à supprimer.
Vu sous cet angle, les failles, suivies comme CVE-2022-3430, CVE-2022-3431 et CVE-2022-3432, pourraient être exploitées par un adversaire pour désactiver Secure Boot, un mécanisme de sécurité conçu pour empêcher les programmes malveillants. du chargement pendant le processus de démarrage.
Avis de Lenovo décrit les vulnérabilités comme suit –
- CVE-2022-3430 : Une vulnérabilité potentielle dans le pilote de configuration WMI sur certains ordinateurs portables Lenovo grand public peut permettre à un attaquant disposant de privilèges élevés de modifier le paramètre de démarrage sécurisé en modifiant une variable NVRAM.
- CVE-2022-3431 : Une vulnérabilité potentielle dans un pilote utilisé pendant le processus de fabrication sur certains ordinateurs portables Lenovo grand public qui n’a pas été désactivé par erreur peut permettre à un attaquant disposant de privilèges élevés de modifier le paramètre Secure Boot en modifiant une variable NVRAM.
- CVE-2022-3432 : Une vulnérabilité potentielle dans un pilote utilisé pendant le processus de fabrication sur l’IdeaPad Y700-14ISK qui n’a pas été désactivé par erreur peut permettre à un attaquant disposant de privilèges élevés de modifier le paramètre Secure Boot en modifiant une variable NVRAM.
En d’autres termes, la désactivation du démarrage sécurisé UEFI permet aux acteurs de la menace d’exécuter des chargeurs de démarrage malveillants, accordant aux attaquants un accès privilégié aux hôtes compromis.
ESET a déclaré que les vulnérabilités n’étaient pas des failles dans le code source en soi, mais plutôt parce que « les pilotes étaient destinés à être utilisés uniquement pendant le processus de fabrication mais ont été inclus par erreur dans la production ».
La dernière mise à jour marque la troisième fois que Lenovo corrige les failles de son micrologiciel UEFI depuis le début de l’année, qui ont toutes été découvertes et signalées par le chercheur d’ESET, Martin Smolár.
Alors que le premier ensemble de problèmes (CVE-2021-3970, CVE-2021-3971 et CVE-2021-3972) aurait pu permettre à des acteurs malveillants de déployer et d’exécuter des implants de micrologiciel sur les appareils concernés, le deuxième lot (CVE-2022- 1890, CVE-2022-1891 et CVE-2022-1892) pourraient être militarisés pour permettre l’exécution de code arbitraire et désactiver les fonctionnalités de sécurité.
Lenovo a déclaré qu’il n’avait pas l’intention de publier des correctifs pour CVE-2022-3432 en raison du fait que le modèle en question a atteint la fin de vie (EoL). Il est recommandé aux utilisateurs des autres appareils concernés de mettre à jour leur micrologiciel vers la dernière version.