Lenovo corrige la vulnérabilité de démarrage sécurisé ThinkPad, Yoga, IdeaPad UEFI

Lenovo a publié des correctifs pour corriger deux vulnérabilités qui auraient pu permettre aux cybercriminels d’exécuter du code malveillant en désactivant UEFI Secure Boot.

Les chercheurs d’ESET ont d’abord découvert les vulnérabilités, suivies sous les noms CVE-2022-3430 et CVE-2022-3431, qui, si elles sont exploitées, pourraient conduire les acteurs de la menace à contourner les principales fonctions de sécurité du système d’exploitation (OS) d’une victime. Ces bogues ont un indice de gravité « élevé ».

Les vulnérabilités affectent 25 appareils des gammes ThinkBook, Yoga et IdeaPad, bien que tous ces appareils ne soient pas affectés par les mêmes vulnérabilités. Étant donné que ces appareils sont souvent utilisés dans des environnements professionnels, les employés pourraient être affectés par la faille et potentiellement endommager les données sensibles.

La faille, contenue dans un pilote des appareils concernés, permet aux attaquants de modifier une variable dans la mémoire vive non volatile (NVRAM) pour modifier le paramètre de démarrage sécurisé d’un appareil. Cela n’est pas dû à une erreur dans le code des pilotes concernés, mais plutôt au fait que les appareils concernés ont été équipés par erreur de pilotes destinés à être utilisés uniquement pendant la fabrication, avec un contrôle détendu sur les paramètres sécurisés de démarrage depuis le système d’exploitation.

Les failles UEFI sont graves, car elles permettent aux pirates de modifier les processus critiques des appareils et potentiellement d’installer des logiciels malveillants sur la mémoire flash de la victime. Par exemple, les acteurs de la menace peuvent utiliser une telle faille pour installer un rootkit, qui peut effectuer une activité malveillante tout en restant très difficile à détecter, et peut même survivre à une réinstallation du système d’exploitation.

“Le démarrage sécurisé est construit sur une hiérarchie de confiance qui est généralement enracinée dans les technologies intégrées au matériel d’un appareil”, a déclaré le professeur John Goodacre, directeur du défi Digital Security by Design de l’UKRI et professeur d’architecture informatique à l’Université de Manchester.

« De tels systèmes sont utilisés pour s’assurer que malgré toute exploitation d’une vulnérabilité pendant le fonctionnement normal d’un système, elle peut être récupérée en redémarrant. Il est donc important que, de par sa conception, le démarrage sécurisé d’un système ne puisse pas être modifié pendant le fonctionnement normal. Malheureusement, tous les logiciels doivent être considérés comme contenant des vulnérabilités, et il est donc important qu’en fonctionnement normal, aucun mécanisme ne puisse éviter le démarrage sécurisé.

“Bien que le passage à l’utilisation de la sécurité numérique par la conception d’implémentation logicielle réduise considérablement les possibilités d’exploiter les vulnérabilités, tout mécanisme par lequel les exploits dans les opérations normales peuvent contrôler le démarrage sécurisé signifie qu’ils sont ouverts aux ransomwares et autres attaques par déni de service et souligne le besoin pour avoir confiance dans les différents composants du démarrage sécurisé.”

L’Ideapad Y700-14ISK est affecté par une troisième vulnérabilité, identifiée comme CVE-2022-3432, qui consiste en une autre faille de pilote qui entraîne une modification similaire de la sueur de démarrage sécurisée. Cependant, Lenovo ne publiera pas de correctif pour cela car l’appareil a dépassé son cycle de vie de support pour les développeurs.

Ce n’est pas la première fois que Lenovo doit publier un tel correctif. En avril, les chercheurs d’ESET ont découvert plus de 100 modèles Lenovo vulnérables aux attaques de logiciels malveillants UEFI, également en raison de pilotes de fabrication laissés par erreur sur les appareils.

Des préoccupations similaires ont été citées dans le passé, avec des vulnérabilités du BIOS Dell découvertes en 2021 permettant aux acteurs de la menace d’exécuter du code malveillant au niveau UEFI sur environ 30 millions d’appareils, et des chercheurs d’Advanced Intelligence et d’Eclypsium ont trouvé une variante du malware Trickbot qui pourrait briquer des appareils au niveau UEFI en 2020.

ESET recommande aux utilisateurs des appareils concernés de mettre immédiatement à jour leur version du micrologiciel.

Ressources en vedette

Le rapport des tendances 3D

Présenter l’une des frontières les plus excitantes de la culture visuelle

Téléchargement Gratuit

Le guide de sécurité des services financiers

Comment l’incertitude et les perturbations obligent les services financiers à changer

Téléchargement Gratuit

Développer une meilleure stratégie de mot de passe pour votre entreprise

Explorer les techniques et les exploits que les pirates utilisent pour contourner les mesures de sécurité des mots de passe

Téléchargement Gratuit

Guide du marché pour l’analyse de l’expérience Web, des produits et de l’expérience numérique

Analyser le comportement des clients et des utilisateurs, les performances des produits numériques et les modèles d’utilisation pour améliorer l’expérience client numérique

Jetez un oeil maintenant

Leave a Reply

Your email address will not be published. Required fields are marked *