Plus d’une centaine de modèles grand public contenaient des portes dérobées permettant d’implémenter des malwares particulièrement persistants directement dans le firmware UEFI.
C’est un oubli qui fait plutôt mauvais genre. Les chercheurs en sécurité d’Eset viennent de révéler la présence de backdoors dans plus d’une centaine de modèles de PC portables grand public de Lenovo. Parmi les gammes affectées figurent IdeaPad, Legion, Slim et Yoga. Au total, le nombre d’appareils affectés doit se chiffrer en millions. Visiblement, il ne s’agissait pas d’un coup fourré. Implémentées sous forme de drivers UEFI, les portes dérobées portaient les noms de « SecureBackDoor », « SecureBackDoorPeim », « ChgBootDxeHook » ou « ChgBootSmm », ce qui est assez explicite, et donc pas très furtif !
D’après la note de sécurité de Lenovo, ces backdoors étaient utilisées durant le processus de fabrication des PC portables pour des raisons pratiques. Malheureusement, Lenovo a oublié de les supprimer. Les chercheurs d’Eset ont montré qu’elles permettaient deux types d’actions. Avec « SecureBackDoor » et « SecureBackDoorPeim », il était possible de désactiver les protections en écriture de la mémoire SPI Flash sur lequel est stocké l’UEFI et, par conséquent, d’en modifier le code (CVE-2021-3971). Avec « ChgBootDxeHook » et « ChgBootSmm », un pirate pouvait court-circuiter l’UEFI Secure Boot, un mécanisme qui permet de garantir l’authenticité et l’intégrité du firmware de démarrage (CVE-2021-3972).
En analysant ces drivers, les chercheurs ont découvert une troisième faille (CVE-2021-3970) qui permettait d’accéder à la mémoire SMRAM et de modifier le code exécuté dans le cadre du « System Management Mode ». Il s’agit là d’un mode très sécurisé pour, par exemple, gérer des fonctions d’alimentation avancée, exécuter des fonctions OEM propriétaires ou réaliser des mises à jour de firmware. La faille en question permettait, le cas échéant, d’installer un malware directement dans le SPI Flash.
Pour être exploitées, toutes ces vulnérabilités nécessitent d’avoir le privilège administrateur, ce qui n’est pas rien. Mais l’effort en vaut la chandelle, car « infecter l’UEFI, c’est un peu le Saint Graal dans le piratage d’ordinateurs », nous précise Benoît Grunemwald, expert cybersécurité chez Eset. Un malware niché dans l’UEFI est particulièrement persistant. Il reste même si l’on réinstalle le système d’exploitation ou si l’on change de disque dur.
Ce type de logiciel malveillant est surtout utilisé pour des attaques ciblées. En 2018, les chercheurs d’Eset étaient d’ailleurs les premiers à détecter un exemplaire de malware UEFI. Baptisé LoJax, il était l’œuvre du groupe de hackers russes APT28.
Des patchs disponibles depuis novembre dernier
Concernant les failles trouvées dans les portables Lenovo, personne ne sait si elles ont réellement été utilisées par des pirates. Mais comme elles n’étaient pas très difficiles à trouver, il est probable que d’autres hackers connaissaient leur existence. Alerté en octobre 2021 par Eset, Lenovo a confirmé le problème le mois suivant. Un patch est désormais disponible pour tous les modèles qui sont encore supportés. Pour se protéger de la faille CVE-2021-3972, il est également possible de chiffrer le disque à l’aide du TPM, ce qui permettrait « de rendre les données inaccessibles si la configuration de l’UEFI Secure Boot changeait », comme le précise la note de blog d’Eset.
source : 01net