Vous vous souvenez de BlackLotus ? Une nouvelle vulnérabilité similaire est apparue et pourrait constituer le prochain gros casse-tête pour les appareils basés sur Intel, y compris ceux basés sur la dernière plate-forme Raptor Lake. Cela affecte le firmware UEFI, offrant potentiellement aux attaquants une porte dérobée pour faire des ravages sur les PC vulnérables.
La faille (CVE-2024-0762 avec un CVSS signalé de 7,5) a été découverte dans le firmware Phoenix SecureCore UEFI par la société de cybersécurité Eclypsium, qui l’a identifiée sur les appareils Lenovo ThinkPad X1 Carbon 7e génération et X1 Yoga 4e génération. Une enquête plus approfondie a révélé que la vulnérabilité affecte le firmware SecureCore pour une large gamme de processeurs Intel, notamment Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake et Tiger Lake.
Il s’agit de tous les « Lake » publiés jusqu’à présent, ce qui signifie que des centaines de modèles de grands fabricants tels que Lenovo, Dell, Acer et HP pourraient être concernés.
La vulnérabilité est essentiellement un bug de dépassement de tampon trouvé dans la configuration du module de plateforme sécurisée (TPM) du firmware, qui permet aux attaquants d’élever leurs privilèges et d’obtenir l’exécution de code dans le firmware UEFI pendant l’exécution. En écrasant la mémoire adjacente par des données soigneusement conçues, les attaquants peuvent élever leurs privilèges et acquérir des capacités d’exécution de code au sein du firmware, leur permettant ainsi d’installer des logiciels malveillants de bootkit.
« Pour être clair, cette vulnérabilité réside dans la configuration du TPM de gestion du code UEFI – en d’autres termes, peu importe que vous disposiez d’une puce de sécurité comme un TPM si le code sous-jacent est défectueux », précise Eclypsium.
De tels exploits de bas niveau sont de plus en plus courants dans la nature, offrant aux acteurs malveillants un accès persistant aux appareils et les moyens de contourner les mesures de sécurité de niveau supérieur dans les couches du système d’exploitation et des logiciels.
Le firmware UEFI est généralement considéré comme plus sécurisé en raison du démarrage sécurisé, une fonctionnalité prise en charge par les systèmes d’exploitation modernes tels que Windows, macOS et Linux. Mais la découverte de cette vulnérabilité met en évidence la tendance croissante à cibler les bugs UEFI pour créer des bootkits malveillants. Ces kits de démarrage, tels que BlackLotus, CosmicStrand et MosaicAggressor, se chargent tôt dans le processus de démarrage UEFI, accordant aux attaquants un accès de bas niveau au système. Cela rend la détection incroyablement difficile.
En réponse à cette découverte, Eclypsium s’est coordonnée avec Phoenix et Lenovo pour remédier à la faille. Lenovo a déjà publié des mises à jour du firmware pour les appareils concernés, et il est conseillé aux clients de se référer à leurs fournisseurs respectifs pour obtenir les dernières mises à jour du firmware. Cependant, il est important de noter que tous les modèles ne disposent pas de mises à jour du firmware au moment de la rédaction de cet article, et que beaucoup d’entre elles sont prévues pour plus tard cette année.
Si vous êtes un utilisateur Intel, il est crucial de mettre à jour votre BIOS dès que possible. Mais avant de vous lancer tête première, assurez-vous de sauvegarder vos fichiers importants et le BIOS d’origine, juste au cas où les choses tourneraient mal pendant le processus de mise à jour.
Pendant ce temps, Phoenix Technologies a révélé la vulnérabilité en mai, annonçant que des mesures d’atténuation avaient été publiées dès avril. « Phoenix Technologies recommande fortement à ses clients de mettre à jour leur firmware avec la dernière version et de contacter leur fournisseur de hardware dès que possible afin d’éviter toute exploitation potentielle de cette faille », indique le communiqué.
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
