« Les menaces UEFI peuvent être extrêmement furtives et dangereuses. Elles sont exécutées au début du processus de démarrage, avant de transférer le contrôle au système d'exploitation. Cela signifie qu'elles peuvent contourner presque toutes les mesures de sécurité et les atténuations plus élevées qui peuvent empêcher l'exécution des charges utiles de leur système d'exploitation », explique Martin Smolár, chercheur chez ESET ayant découvert ces vulnérabilités. « Ces portes UEFI dérobées dites "sécurisées" démontre que, dans certains cas, le déploiement des menaces UEFI n’est pas aussi difficile que prévu. La grande quantité de menaces UEFI découvertes ces dernières années suggère que les pirates le savent», ajoute-t-il.

Les deux premières vulnérabilités - CVE-2021-3970 et CVE-2021-3971 - sont appelées portes dérobées "sécurisées" intégrées au micro logiciel UEFI car c'est le nom des pilotes Lenovo UEFI implémentant l'un d'entre eux ( CVE-2021-3971) : SecureBackDoor et SecureBackDoorPeim. Ces portes dérobées intégrées peuvent être activées pour désactiver les protections flash SPI (bits de registre de contrôle du BIOS et registres de plage de protection) ou la fonction de démarrage sécurisé UEFI à partir d'un processus en mode utilisateur privilégié lors de l'exécution du système d'exploitation.

En enquêtant sur les binaires des portes dérobées « sécurisées », ESET a découvert une troisième vulnérabilité : la corruption de la mémoire SMM dans la fonction de gestion SW SMI (CVE-2021-3972). Cette vulnérabilité permet une lecture/écriture arbitraire depuis/dans la SMRAM, ce qui peut conduire à l'exécution de code malveillant avec les privilèges SMM et au déploiement d'un implant flash SPI.

Les services de démarrage et d'exécution UEFI fournissent les fonctions de base et les structures de données nécessaires aux pilotes et aux applications pour faire leur travail : installation de protocoles, localisation de protocoles existants, allocation de mémoire, manipulation de variables UEFI, etc. Les pilotes de démarrage UEFI et les applications utilisent largement les protocoles. Les variables UEFI sont un mécanisme de stockage de micro logiciel spécial, utilisé par les modules UEFI pour stocker diverses données de configuration, y compris celle de démarrage.

SMM est un mode d'exécution hautement privilégié pour processeurs x86. Son code est écrit dans le contexte du micro logiciel système et est généralement utilisé pour diverses tâches dont la gestion avancée de l'alimentation, l'exécution de code propriétaire OEM et les mises à jour sécurisées du micro logiciel.

"Toutes les menaces UEFI du monde réel découvertes ces dernières années - LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy - doivent contourner ou désactiver les mécanismes de sécurité d'une manière ou d'une autre afin d'être déployées et exécutées", explique Smolár.

ESET Research recommande à tous les propriétaires de laptops Lenovo de consulter la liste des appareils concernés et de mettre leur firmware à jour en suivant les instructions du fabricant.

Les utilisateurs d’appareils de support de fin de développement affectés par UEFI SecureBootBackdoor (CVE-2021-3970), sans aucun correctif disponible, peuvent se protéger contre les modifications indésirables du démarrage sécurisé UEFI par l’utilisation d’une solution de chiffrement du disque rendant les données contenues inaccessibles si la configuration de l'UEFI Secure Boot change.

Pour plus d'informations techniques, consultez le blog ‘UEFI “secure” backdoors: Secure ways to get compromised’ (Portes dérobées « sécurisées » UEFI : des moyens sécurisés d'être compromis) sur www.welivesecurity.com . Pour les dernières nouvelles d'ESET Research suivez le sur Twitter.



Mise à jour de Lenovo

Lenovo thanks ESET for bringing to our attention an issue in drivers used in the manufacturing of some consumer notebooks. The drivers have been fixed, and customers who update as described in the Lenovo advisory are protected. Lenovo welcomes collaboration with BIOS researchers as we increase our investments in BIOS security to ensure our products continue to meet or exceed industry standards.