Pourquoi est-ce important: Les chercheurs en sécurité ont découvert que le même ensemble de vulnérabilités de micrologiciel qu’ils ont découvertes dans les systèmes Fujitsu Lifebook affecte en fait beaucoup plus d’appareils de plusieurs fournisseurs. Les failles sont graves car elles permettent aux attaquants de contourner les fonctionnalités de sécurité matérielle ainsi que les solutions de sécurité traditionnelles des terminaux.
Les chercheurs de la société de sécurité d’entreprise Binarly ont découvert pas moins de 23 vulnérabilités à fort impact dans le micrologiciel BIOS/UEFI utilisé par plusieurs fournisseurs d’ordinateurs comme Intel, AMD, Lenovo, Dell, HP, Asus, Microsoft, Fujitsu, Juniper Networks, Acer, Bull Atos et Siemens.
Plus précisément, les vulnérabilités affectent le micrologiciel UEFI basé sur InsydeH2O et nombre d’entre elles sont présentes dans le mode de gestion du système (SMM), qui est chargé de fournir des fonctionnalités de gestion de l’alimentation et de contrôle du matériel à l’échelle du système. La plupart des failles sont de la variété SMM Memory Corruption, ainsi que SMM Callout (Privilege Escalation) et DXE Memory Corruption.
Les failles ont été évaluées comme graves en raison du fait qu’elles accordent aux attaquants des privilèges plus élevés que ceux du noyau du système d’exploitation dans les systèmes affectés. En d’autres termes, les logiciels malveillants peuvent être écrits pour tirer parti de ces vulnérabilités qui survivront facilement à la réinstallation du système d’exploitation et échapperont aux solutions de sécurité des terminaux traditionnelles telles que les logiciels antivirus et la détection et la réponse aux terminaux (EDR).
De plus, ils autorisent les attaques locales et distantes qui peuvent contourner ou invalider les fonctions de sécurité matérielles telles que Secure Boot, Intel BootGuard et la sécurité basée sur la virtualisation. Les logiciels malveillants qui exploitent les 23 vulnérabilités sont essentiellement invisibles pour le système d’exploitation et également pour les systèmes de surveillance de l’intégrité du micrologiciel en raison des limites du module de plateforme sécurisée (TPM).
La bonne nouvelle est qu’Insyde a publié des correctifs de micrologiciel, et Binarly ainsi que le CERT/CC ont pu contacter les 25 fournisseurs concernés par les problèmes qu’ils ont découverts. Les correctifs officiels du micrologiciel devraient être déployés dans les mois à venir, mais ils arriveront très probablement au cours du second semestre de cette année.
