Le fabricant Lenovo a mis en ligne un bulletin de sécurité dans lequel il mentionne des failles de sécurité qui touchent le firmware UEFI d’une centaine de modèles d’ordinateurs portables.
Les chercheurs en sécurité de chez ESET ont découvert trois failles de sécurité au sein du firmware UEFI utilisé par des machines Lenovo, et ils ont alerté le fabricant le 11 octobre 2021. Ces vulnérabilités affectent une centaine de modèles, notamment les modèles IdeaPad 3, Legion 5 Pro ou encore Yoga Slim 9. Concrètement, cela représente plusieurs millions d’appareils vulnérables dans le monde entier. Ces vulnérabilités sont associées aux références CVE suivantes : CVE-2021-3970, CVE-2021-3971 et CVE-2021-3972.
Tout d’abord, en exploitant la vulnérabilité CVE-2021-3970, un attaquant en local peut exécuter du code arbitraire avec des privilèges élevés sur la machine. Mais, les chercheurs en sécurité attirent l’attention plutôt sur les deux autres vulnérabilités puisqu’un attaquant pourrait déployer et exécuter du code malveillant au niveau de la mémoire flash SPI. En effet, ces deux failles permettent de désactiver la protection de la puce mémoire flash SPI (CVE-2021-3971), là où est stocké le firmware UEFI, mais aussi de désactiver la fonction « Secure Boot » de l’UEFI (CVE-2021-3972). Avec cette fonction désactivée, il n’y a plus la garantie qu’au démarrage, le système charge uniquement le code approuvé par le fabricant, en l’occurrence ici Lenovo.
En complément, ESET a fourni une analyse technique détaillée des trois vulnérabilités découvertes, où il est précisé que « les menaces UEFI peuvent être extrêmement furtives et dangereuses » notamment parce qu’elles sont exécutées « au début du processus de démarrage, avant de transférer le contrôle au système d’exploitation.« . Autrement dit, le logiciel malveillant est déjà chargé et actif avant même que la solution de sécurité installée sur le système d’exploitation soit active à son tour.
En cause : des pilotes inclus par erreur dans le firmware ?
A en croire le descriptif du bulletin de sécurité Lenovo, les deux failles de sécurité UEFI seraient liées à des pilotes inclus par erreur dans différents firmwares UEFI. En fait, il s’agirait de pilotes utiles uniquement pendant le processus de fabrication des machines, et qui n’ont pas lieu d’être mis en service avec les machines. D’ailleurs, les noms de ces deux pilotes sont assez surprenants : SecureBackDoor et SecureBackDoorPeim. On peut lire « Secure backdoor » comme « porte dérobée sécurisée » ? 
Pour finir, voici la liste des modèles est disponible au sein du bulletin de sécurité Lenovo, disponible ici.
Note : attention si vous effectuez les mises à jour firmware avec Lenovo Vantage, car visiblement il y a eu des soucis dernièrement.
The post Ces trois vulnérabilités affectent plus de 100 modèles de PC Lenovo first appeared on IT-Connect.