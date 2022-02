Une société de sécurité avertit que ces failles de sécurité majeures du BIOS UEFI affectent des millions d'appareils.



Une équipe de Binarly, une société spécialisée dans la protection des microprogrammes, a récemment découvert plusieurs anomalies répétables sur vingt machines d'entreprise différentes au cours d'un travail pour une entreprise de taille moyenne. Après avoir examiné de plus près ces anomalies et creusé jusqu'au code de désassemblage, l'équipe a trouvé 23 vulnérabilités UEFI (Unified Extensible Firmware Interface) critiques, prêtes à être exploitées.







L'origine de ces vulnérabilités a été retracée dans le code cadre du microprogramme UEFI InsydeH2O d'Insyde Software. Plus de 25 fournisseurs ont utilisé ce code-cadre dans le cadre d'un kit de développement de micrologiciels basé sur Insyde pour développer des micrologiciels. La liste des fournisseurs comprend Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel et Bull Atos.







Toutes les vulnérabilités, sauf une, concernent le mode de gestion du système (SMM), la seule exception étant une vulnérabilité de corruption de mémoire dans l'environnement d'exécution des pilotes (DXE) d'InsydeH2O. Toutes les vulnérabilités SMM peuvent conduire à une forme particulièrement dangereuse d'escalade des privilèges, étant donné que les privilèges SMM dépassent ceux de l'utilisateur root ou de l'administrateur, puisque le SMM fonctionne sous le niveau du système d'exploitation.



Par conséquent, les attaquants qui exploitent ces vulnérabilités pour obtenir une escalade des privilèges SMM pourraient contourner les fonctions de sécurité du démarrage et implanter des logiciels malveillants persistants. Nous avons récemment fait état d'un tel malware persistant, baptisé MoonBounce. MoonBounce est un rootkit qui peut être intégré là où le micrologiciel réside dans la mémoire flash, ce qui permet au malware de survivre à une réinstallation du système d'exploitation, à un formatage du disque ou même à un remplacement du disque.



Compte tenu de la menace sérieuse que représente l'escalade des privilèges du SMM et de la possibilité d'un malware persistant, difficile à détecter et à supprimer, ces vulnérabilités ont un degré de gravité élevé. Elles ont toutes un score de 7,5 ou 8,2 dans la version 2.0 du Common Vulnerability Scoring System (CVSS), mais trois d'entre elles sont répertoriées dans la National Vulnerability Database (NVD) comme des vulnérabilités critiques avec un score de 9,8 dans la version 3.x du CVSS.



Heureusement, l'équipe Binarly a divulgué ces vulnérabilités en privé en septembre 2021, et Insyde Software a déjà publié des mises à jour de firmware qui corrigent les 23 vulnérabilités. Cela dit, il faudra un certain temps pour que les fournisseurs concernés adoptent ces mises à jour et les diffusent dans les mises à jour de sécurité pour les utilisateurs finaux, et certains produits pourraient ne jamais recevoir ces mises à jour.



Binarly a publié les règles FwHunt pour détecter les vulnérabilités sur GitHub, et vous pouvez en savoir plus sur les vulnérabilités dans le billet détaillé de Binarly.



HOTHARDWARE