Le fabricant Lenovo publie des correctifs de sécurité afin de combler des vulnérabilités CVE-2021-3970, CVE-2021-3971 et CVE-2021-3972. Elles affectent le firmware UEFI (Unified Extensible Firmware Interface) pour plus d’une centaine de modèles d’ordinateurs portables différents et grand public. Parmi ceux-ci, IdeaPad 3, Legion 5 Pro et Yoga Slim 7 Pro.
Les vulnérabilités ont été découvertes et signalées par ESET à Lenovo en octobre dernier. Selon l’éditeur de solutions de sécurité, une exploitation peut permettre à des attaquants de déployer et d’exécuter des malwares UEFI tels que LoJax ou ESPecter.
Avec CVE-2021-3971, ESET parle de portes dérobées sécurisées intégrées au micrologiciel UEFI et la possibilité de désactiver les protections de la mémoire flash SPI en créant une variable NVRAM. Pour CVE-2021-3971 et toujours en créant une variable NVRAM, c’est la possibilité de modifier le paramétrage du démarrage UEFI sécurisé.
La vulnérabilité CVE-2021-3970 a été identifiée avec l’analyse des deux autres. En lien avec le SW SMI (Software System Management Interrupt), elle peut permettre à un attaquant local d’exécuter du code arbitraire avec des privilèges élevés.
Découverte en octobre, publication en avril
ESET consacre un billet de blog technique à ses trouvailles. Elles ont fait l’objet d’une divulgation responsable jusqu’à la mise à disposition de mises à jour idoines par Lenovo.
» Les menaces UEFI peuvent être extrêmement furtives et dangereuses. Elles s’exécutent au début du processus de démarrage de la machine, avant que le système d’exploitation ne prenne le contrôle de celle-ci. Elles peuvent contourner presque toutes les mesures de sécurité et d’atténuation visant à les empêcher de lancer l’exécution d’autres malwares dans le système d’exploitation « , écrit Martin Smolár de ESET.