Une vulnérabilité jour zéro découverte dans le BIOS de Lenovo, et probablement d’autres fabricants de PC

La vulnérabilité jour zéro

Dmytro Oleksiuk, un hacker aussi connu sous le pseudonyme Cr4sh, a dévoilé une vulnérabilité jour zéro dans le BIOS Lenovo.

Malheureusement, contrairement à l’éthique commune au secteur, il n’a pas informé Lenovo en toute confidentialité en avance, et ne lui a pas laissé de temps pour travailler sur un correctif de sécurité. Il se présente d’ailleurs sur Twitter comme un pirate immoral. Des millions d’ordinateurs portables sont donc potentiellement en danger.

Dans son premier bulletin de sécurité reconnaissant la faille, Lenovo affirme qu’elle a cherché à contacter Oleksiuk, sans succès.

La vulnérabilité affecte le BIOS UEFI. Il s’agit d’un bogue qui permet une élévation des privilèges dans la routine SystemSmmRuntimeRt de l’UEFI.

Elle permet de désactiver le démarrage sécurisé, ou secure boot, une fonctionnalité qui permet de limiter les systèmes d’exploitations utilisés à des systèmes signés dans lesquels on a confiance.

La vulnérabilité permet aussi de désactiver la protection en écriture du micrologiciel, et donc de le remplacer par un micrologiciel infecté.

Enfin, elle permet d’ignorer les systèmes de sécurité utilisant le mode Virtual Secure Mode, un mode de Windows qui s’appuie sur les extensions de virtualisation des processeurs, comme Credential Guard de Windows 10.

 

Une portée considérable

D’après l’auteur, la vulnérabilité affecte tous les ordinateurs portables Lenovo.

Lenovo affirme avoir utilisé le BIOS d’un vendeur de BIOS indépendant.

Ce fournisseur a copié verbatim le code de référence d’Intel affecté par le bogue. Intel aurait corrigé le bogue dans d’autres versions depuis la mi 2014, sans en avertir personne, et il se peut que l’entreprise californienne l’ait corrigé sans s’en rendre compte.

Il est donc fort probable que la vulnérabilité ne soit pas limitée à Lenovo, et qu’elle affecte les ordinateurs à base de chipset Intel d’autres fabricants.

D’après Alex James, un lecteur d’Oleksiuk, la vulnérabilité affecte aussi un HP dv7 4087cl de 2010.

Certains pensent qu’il ne s’agit pas d’un bogue, mais une porte dérobée implantée par Intel. Mais dans ce cas, pourquoi l’entreprise aurait-elle supprimé la porte dérobée de versions ultérieures ?

Dans l’immédiat, on doit se contenter d’attendre un correctif de sécurité auquel travaille Lenovo, qui demande l’aide d’Intel et des vendeurs de BIOS indépendants.