Cinq nouvelles faiblesses de sécurité ont été révélées dans le BIOS Dell qui, si elles sont exploitées avec succès, pourraient conduire à l’exécution de code sur des systèmes vulnérables, rejoignant les vulnérabilités du micrologiciel récemment découvertes dans InsydeH2O d’Insyde Software et HP Unified Extensible Firmware Interface (UEFI).
Suivies comme CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 et CVE-2022-24421, les vulnérabilités à gravité élevée sont notées 8,2 sur 10 sur le système de notation CVSS.
« L’exploitation active de toutes les vulnérabilités découvertes ne peut pas être détectée par les systèmes de surveillance de l’intégrité du micrologiciel en raison des limitations de la mesure du module de plateforme sécurisée (TPM) », a déclaré la société de sécurité du micrologiciel Binarly, qui a découvert les trois dernières failles, mentionné dans un écrit.
« Les solutions d’attestation de santé des appareils à distance ne détecteront pas les systèmes concernés en raison des limites de conception en matière de visibilité de l’exécution du micrologiciel. »
Toutes les failles sont liées à des vulnérabilités de validation d’entrée incorrecte affectant le mode de gestion du système (SMM) du micrologiciel, permettant effectivement à un attaquant local authentifié de tirer parti de l’interruption de gestion du système (SMI) pour réaliser une exécution de code arbitraire.
Le mode de gestion du système fait référence à un mode CPU à usage spécial dans microcontrôleurs x86 qui est conçu pour gérer des fonctions à l’échelle du système telles que la gestion de l’alimentation, le contrôle du matériel système, la surveillance thermique et d’autres codes propriétaires développés par le fabricant.
Chaque fois qu’une de ces opérations est demandée, une interruption non masquable (SMI) est appelée au moment de l’exécution, qui exécute le code SMM installé par le BIOS. Étant donné que le code SMM s’exécute au niveau de privilège le plus élevé et est invisible pour le système d’exploitation sous-jacent, la méthode le rend propice aux abus pour déployer des implants de micrologiciel persistants.
Un certain nombre de produits Dell, notamment les gammes Alienware, Inspiron, Vostro et Edge Gateway série 3000, sont concernés, le fabricant de PC basé au Texas recommandant aux clients de mettre à niveau leur BIOS à la « première opportunité. »
« La découverte en cours de ces vulnérabilités démontre ce que nous décrivons comme des » échecs répétitifs « en raison du manque d’assainissement des entrées ou, en général, de pratiques de codage non sécurisées », ont déclaré les chercheurs de Binarly.
« Ces échecs sont une conséquence directe de la complexité de la base de code ou de la prise en charge des composants hérités qui reçoivent moins d’attention en matière de sécurité, mais qui sont encore largement déployés sur le terrain. Dans de nombreux cas, la même vulnérabilité peut être corrigée sur plusieurs itérations, et encore, la complexité de la surface d’attaque laisse des lacunes ouvertes à l’exploitation malveillante. »