Une vulnérabilité critique, découverte récemment dans le bios des PC portables ThinkPad de Lenovo, a été retrouvée dans les produits d'autres fournisseurs, notamment dans le microcode d'un laptop HP et dans plusieurs cartes mères de Gigabyte Technology. Un exploit tirant profit de la vulnérabilité a été publié la semaine dernière. Il peut être utilisé pour exécuter du code malveillant dans le mode de gestion de système (System Management Mode - SMM) de la CPU.
Ce niveau d'accès peut permettre d’installer un rootkit furtif à l'intérieur de l’Unified Extensible Firmware Interface (UEFI) de l'ordinateur - l’équivalent du BIOS - ou de désactiver les fonctions de sécurité de Windows comme le Secure Boot, le Virtual Secure Mode et le Credential Guard, protégées par le verrouillage du firmware. L’exploit surnommé ThinkPwn a été livré la semaine dernière par le chercheur en sécurité Dmytro Oleksiuk alors que celui-ci ne l’avait pas transmis préalablement à Lenovo. Mais depuis, le chercheur a identifié le même code vulnérable dans un ancien firmware open source utilisé avec certaines cartes mères Intel. Dans un avis de sécurité, Lenovo a déclaré que le code vulnérable provenait d’un package UEFI fourni au fabricant par un de ses fournisseurs de BIOS indépendants (IBVS). Ces fournisseurs modifient l'implémentation de référence UEFI, puis vendent leur pack aux fabricants de PC.
Une faille diffusée en série
Parce que cette vulnérabilité se trouve dans le pack UEFI d'un fournisseur de BIOS indépendant, il est probable que d'autres fabricants ont utilisé le même microcode dans leurs produits. C’est ce qu’a confirmé un chercheur nommé Alex James le week-end dernier. Celui-ci a déclaré sur Twitter qu’il avait retrouvé le code vulnérable dans le firmware d'un ordinateur portable HP Pavilion dv7-4087cl fourni par un sous-traitant taïwanais, Insyde Software. Plus tard, Alex James a ajouté que le code vulnérable existait aussi dans le firmware de plusieurs cartes mères vendues par le fabricant taïwanais de matériel informatique Gigabyte Technology. Les modèles vulnérables de Gigabyte portent les références Z77X-UD5H, Z68-UD3H, Z87MX-D3H et Z97-D3H. Intel, HP et Gigabyte n'ont pas immédiatement répondu à une demande de commentaire.
Dmytro Oleksiuk pense que la vulnérabilité se trouve à l’origine dans le code de référence des chipsets séries-8 d’Intel, corrigé mi-2014. Mais, étant donné qu'il n'y a eu aucun avis public à ce sujet, les IBVS et les fabricants de PC n’ont pas été informés de la disponibilité du correctif et ont continué à utiliser une ancienne version du code de référence pour leur UEFI. Malheureusement, les produits de Lenovo, HP et Gigabyte Technology ne sont probablement que la partie visible de l'iceberg et il faudra beaucoup de temps avant que tous les fournisseurs vérifient leur firmware et livrent des correctifs. Mais, comme souvent, même quand les patchs seront disponibles, il est probable que peu d’utilisateurs appliqueront les mises à jour du BIOS/UEFI, de sorte que de nombreux systèmes seront toujours vulnérables dans les années à venir.