Ces trois vulnérabilités affectent plus de 100 modèles de PC Lenovo

Le fabricant Lenovo a mis en ligne un bulletin de sécurité dans lequel il mentionne des failles de sécurité qui touchent le firmware UEFI d'une centaine de modèles d'ordinateurs portables.

Les chercheurs en sécurité de chez ESET ont découvert trois failles de sécurité au sein du firmware UEFI utilisé par des machines Lenovo, et ils ont alerté le fabricant le 11 octobre 2021. Ces vulnérabilités affectent une centaine de modèles, notamment les modèles IdeaPad 3, Legion 5 Pro ou encore Yoga Slim 9. Concrètement, cela représente plusieurs millions d'appareils vulnérables dans le monde entier. Ces vulnérabilités sont associées aux références CVE suivantes : CVE-2021-3970, CVE-2021-3971 et CVE-2021-3972.

Tout d'abord, en exploitant la vulnérabilité CVE-2021-3970, un attaquant en local peut exécuter du code arbitraire avec des privilèges élevés sur la machine. Mais, les chercheurs en sécurité attirent l'attention plutôt sur les deux autres vulnérabilités puisqu'un attaquant pourrait déployer et exécuter du code malveillant au niveau de la mémoire flash SPI. En effet, ces deux failles permettent de désactiver la protection de la puce mémoire flash SPI (CVE-2021-3971), là où est stocké le firmware UEFI, mais aussi de désactiver la fonction "Secure Boot" de l'UEFI (CVE-2021-3972). Avec cette fonction désactivée, il n'y a plus la garantie qu'au démarrage, le système charge uniquement le code approuvé par le fabricant, en l'occurrence ici Lenovo.

En complément, ESET a fourni une analyse technique détaillée des trois vulnérabilités découvertes, où il est précisé que "les menaces UEFI peuvent être extrêmement furtives et dangereuses" notamment parce qu'elles sont exécutées "au début du processus de démarrage, avant de transférer le contrôle au système d'exploitation.". Autrement dit, le logiciel malveillant est déjà chargé et actif avant même que la solution de sécurité installée sur le système d'exploitation soit active à son tour.

En cause : des pilotes inclus par erreur dans le firmware ?

A en croire le descriptif du bulletin de sécurité Lenovo, les deux failles de sécurité UEFI seraient liées à des pilotes inclus par erreur dans différents firmwares UEFI. En fait, il s'agirait de pilotes utiles uniquement pendant le processus de fabrication des machines, et qui n'ont pas lieu d'être mis en service avec les machines. D'ailleurs, les noms de ces deux pilotes sont assez surprenants : SecureBackDoor et SecureBackDoorPeim. On peut lire "Secure backdoor" comme "porte dérobée sécurisée" ? 🙂

Ces trois vulnérabilités affectent plus de 100 modèles de PC Lenovo
Aperçu de la liste des machines touchées

Pour finir, voici la liste des modèles est disponible au sein du bulletin de sécurité Lenovo, disponible ici.

Note : attention si vous effectuez les mises à jour firmware avec Lenovo Vantage, car visiblement il y a eu des soucis dernièrement.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5499.Voir tous les posts

One thought on “Ces trois vulnérabilités affectent plus de 100 modèles de PC Lenovo

  • Salut j’ai justement un Lenovo Ideapad 3
    15IIL05
    Donc le bios a sûrement un problème
    Il bloque sur la fenetre de démarrage lenovo
    même lorsque je veux lancer un système en live
    Y a t il une possibilité de réinstaller le bios de ce modele ?

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.