HP a corrigé deux vulnérabilités BIOS très graves dans bon nombre de ses produits pour PC et ordinateurs portables. les vulnérabilités, suivi comme CVE-2021-3808 et CVE-2021-3809, pourrait permettre aux pirates d'exécuter du code avec les privilèges du noyau. Ce type d'attaque peut être décrit comme l'une des menaces les plus dangereuses pour Windows, car il permet aux pirates d'exécuter n'importe quelle commande au niveau du noyau.
Selon l'avis officiel de HP, "des failles de sécurité potentielles ont été identifiées dans le BIOS, ou UEFI (Unified Extensible Firmware Interface) firmware, pour certains produits HP PC, qui pourrait permettre l'exécution de code arbitraire.
Quels produits HP sont concernés par CVE-2021-3808 et CVE-2021-3809?
Ordinateurs portables professionnels tels que Zbook Studio, ZHANPro, ProBook, et EliteDragonfly qui sont concernés, ainsi que des ordinateurs de bureau professionnels tels que EliteDesk et ProDesk. Machines de point de vente au détail, comme Engage sont également sujets aux problèmes, ainsi que des postes de travail dont Z1 et Z2. La liste complète des appareils concernés est disponible dans l'avis officiel.
Il est à noter que les vulnérabilités ont été découvertes en novembre 2021 par le chercheur en sécurité Nicholas Starke. Dans sa propre rédaction technique, il a déclaré que "cette vulnérabilité pourrait permettre à un attaquant de s'exécuter avec des privilèges au niveau du noyau (CPL == 0) pour élever les privilèges au mode de gestion du système (SMM). L'exécution dans SMM donne à un attaquant tous les privilèges sur l'hôte pour mener à bien des attaques.
"Dans le HP ProBook G4 650 modèle d'ordinateurs portables exécutant la version du micrologiciel 1.17.0, il existe un gestionnaire SMI qui appelle depuis SMM,” Étincelle ajoutée.
Comment les attaquants peuvent-ils exploiter les vulnérabilités?
Pour exploiter la faiblesse, les pirates doivent localiser l'adresse mémoire de la fonction LocateProtocol, puis l'écraser avec du code malveillant. Cela leur permettrait de déclencher l'exécution du code en disant au gestionnaire SMI d'exécuter. Pour réussir à exploiter la faille, les acteurs de la menace doivent avoir des privilèges de niveau root/SYSTEM et doivent exécuter du code en mode de gestion du système (SMM).
Le but de l'attaque serait d'écraser l'implémentation UEFI (BIOS) de l'appareil ciblé avec des images BIOS contrôlées par des pirates. Cela pourrait leur permettre de déposer des logiciels malveillants persistants sur les appareils concernés qui ne peuvent pas être supprimés de manière « classique » (i.e. par des outils anti-malware ou la réinstallation du système d'exploitation).
Plus tôt cette année, en février, au moins 23 vulnérabilités ont été découverts dans diverses implémentations du micrologiciel UEFI mis en œuvre par plusieurs fournisseurs, comme HP, Lenovo, Réseaux Juniper, et Fujitsu. Les failles étaient localisées dans le firmware InsydeH2O UEFI d'Insyde Software, avec la plupart des défauts provenant du mode SMM (la gestion du système).
Savais-tu?
Unified Extensible Firmware Interface (UEFI) est une technologie qui connecte le micrologiciel d’un ordinateur à son système d’exploitation. Le but de l'UEFI est de remplacer à terme le BIOS hérité. La technologie est installée lors de la fabrication. C'est également le premier programme en cours d'exécution lorsqu'un ordinateur est démarré.