Trois vulnérabilités de sécurité à fort impact Unified Extensible Firmware Interface (UEFI) ont été découvertes, affectant divers modèles d’ordinateurs portables grand public Lenovo, permettant à des acteurs malveillants de déployer et d’exécuter des implants de micrologiciel sur les appareils concernés.
Suivis sous les noms CVE-2021-3970, CVE-2021-3971 et CVE-2021-3972, ces deux derniers « affectent les pilotes de micrologiciels destinés à l’origine à être utilisés uniquement pendant le processus de fabrication des ordinateurs portables grand public Lenovo », a déclaré Martin Smolár, chercheur chez ESET. mentionné dans un rapport publié aujourd’hui.
« Malheureusement, ils ont également été inclus par erreur dans les images du BIOS de production sans être correctement désactivés », a ajouté Smolár.
L’exploitation réussie des failles pourrait permettre à un attaquant de désactiver les protections flash SPI ou Secure Boot, donnant ainsi à l’adversaire la possibilité d’installer des logiciels malveillants persistants qui peuvent survivre aux redémarrages du système.
CVE-2021-3970, d’autre part, concerne un cas de corruption de la mémoire dans le mode de gestion du système (SMM) de la firme, conduisant à l’exécution de code malveillant avec les privilèges les plus élevés.
Les trois failles ont été signalées au fabricant de PC le 11 octobre 2021, à la suite de quoi correctifs ont été publiés le 12 avril 2022. Un résumé des trois défauts décrits par Lenovo est ci-dessous –
- CVE-2021-3970 – Une vulnérabilité potentielle dans LenovoVariable SMI Handler en raison d’une validation insuffisante dans certains modèles d’ordinateurs portables Lenovo peut permettre à un attaquant disposant d’un accès local et de privilèges élevés d’exécuter du code arbitraire.
- CVE-2021-3971 – Une vulnérabilité potentielle d’un pilote utilisé lors d’anciens processus de fabrication sur certains ordinateurs portables Lenovo grand public qui a été inclus par erreur dans l’image du BIOS pourrait permettre à un attaquant disposant de privilèges élevés de modifier la région de protection du micrologiciel en modifiant une variable NVRAM.
- CVE-2021-3972 – Une vulnérabilité potentielle d’un pilote utilisé pendant le processus de fabrication sur certains ordinateurs portables Lenovo grand public qui n’a pas été désactivé par erreur peut permettre à un attaquant disposant de privilèges élevés de modifier le paramètre de démarrage sécurisé en modifiant une variable NVRAM.
Les faiblesses, qui impactent Lenovo Flex ; IdeaPads ; Légion; séries V14, V15 et V17 ; et les ordinateurs portables Yoga, s’ajoutent à la divulgation de pas moins de 50 vulnérabilités de micrologiciels dans InsydeH2O d’Insyde Software, HP UEFIet Dell depuis le début de l’année.
« Les menaces UEFI peuvent être extrêmement furtives et dangereuses », a déclaré Smolár. « Ils sont exécutés au début du processus de démarrage, avant de transférer le contrôle au système d’exploitation, ce qui signifie qu’ils peuvent contourner presque toutes les mesures de sécurité et les atténuations plus élevées dans la pile qui pourraient empêcher l’exécution de leurs charges utiles du système d’exploitation. »