HP corrige 2 vulnérabilités dans le BIOS d’une centaine de modèles !
Le fabricant HP a mis en ligne de nouveaux BIOS pour de nombreux modèles de PC et PC portables afin de corriger deux failles de sécurité importantes. En exploitant ces vulnérabilités, un attaquant peut exécuter du code malveillant avec les privilèges du noyau Windows. Néanmoins, vous allez voir que c'est une attaque difficile à mener.
Associées aux références CVE-2021-3808 et CVE-2021-3809, ces deux failles de sécurité héritent d'un score CVSS 3.1 de 8,8 sur 10, ce qui montre qu'il s'agit de problèmes de sécurité sérieux. Afin de protéger ses utilisateurs, HP a mis en ligne de nouveaux firmwares (BIOS/UEFI) pour les machines concernées, et il faut dire que la liste est longue ! Nous retrouvons une bonne centaine de modèles, de différentes gammes et de plusieurs générations, notamment :
- HP Elite X2
- HP EliteBook (exemple : HP EliteBook 735 G6)
- HP ProBook (exemple : HP ProBook 450 G6)
- HP Zbook (exemple : HP ZBook Studio x360 G5)
- HP ZHAN
- HP EliteDesk
- HP Elite Slice
- HP EliteOne
- HP ProDesk
- HP ProOne
- HP Z1
- HP Z2
- Etc...
La liste complète est disponible sur le site de HP. À chaque fois, HP a mis le lien vers la nouvelle version du BIOS mais on peut rapidement constater que toutes les références ne sont pas encore traitées. En effet, la mise à jour n'est pas disponible pour certains modèles, donc il faudra se montrer patient dans certains cas.
Des vulnérabilités difficiles à exploiter ?
C'est le chercheur en sécurité Nicholas Starke qui a fait la découverte de ces deux vulnérabilités en novembre 2021, reportées dans la foulée à HP. Contrairement à HP qui n'a pas communiqué d'informations techniques sur le sujet, il a mis en ligne un article où il donne des détails techniques sur ces deux failles de sécurité (voir ici).
C'est intéressant, car on apprend que pour exploiter ces vulnérabilités, il faut déjà bénéficier des autorisations "SYSTEM" sur la machine Windows, ce qui est déjà un niveau de privilèges très élevé. Finalement, le but n'est pas de compromettre la machine, car à cet instant, c'est probablement déjà fait.
L'objectif ultime d'une telle attaque serait d'écraser le firmware UEFI (BIOS) de la machine avec une image BIOS spécifique et contrôlée par l'attaquant. Cela signifie qu'un attaquant pourrait implanter des logiciels malveillants persistants qui ne peuvent pas être supprimés par les antivirus, ni même avec des réinstallations du système d'exploitation.
En complément, certaines machines HP sont équipées de HP Sure Start, ce qui complexifie encore un peu plus l'exploitation des deux vulnérabilités.
Finalement, nous sommes face à deux vulnérabilités importantes, mais qui sont vraiment en bout de chaîne puisqu'il faut déjà que la machine de la victime soit compromise.
