Vous avez un PC Lenovo ? Attention à cette vulnérabilité constructeur très répandue

23 avril 2022 à 18h35
11
lenovo_legion5
© Lenovo

Les PC portables Lenovo ont récemment reçu une mise à jour de sécurité comblant trois failles exploitant des vulnérabilités du firmware. Les attaques qu'elles permettaient sont qualifiées de dangereuses par un expert à l'origine de leur découverte.

Des millions d'ordinateurs portables des gammes Flex, IdeaPad, Legion, V14, V15, V17 et Yoga du constructeur Lenovo étaient vulnérables à trois failles de sécurité pouvant permettre à des pirates de diffuser et d'exécuter du code malveillant sur les machines.

Des vulnérabilités au niveau du micrologiciel

Les trois vulnérabilités sont liées à l'UEFI (Unified Extensible Firmware Interface). Selon le chercheur en sécurité Martin Smolár, de la société ESET, les menaces de ce type sont « extrêmement furtives et dangereuses ».

Il explique qu'elles sont exécutées au début du processus de démarrage, avant même que le système d'exploitation prenne la main. Elles peuvent donc contourner presque toutes les mesures de sécurité, et sont à la fois difficiles à repérer et à supprimer.

La première faille, CVE-2021-3970, est relative à une corruption de la mémoire dans le System Management Mode (SMM) du firmware, pouvant entraîner l'exécution de code malveillant avec les privilèges les plus élevés.

Des correctifs ont été déployés

Les deux autres vulnérabilités, CVE-2021-3971 et CVE-2021-3972, affectent des pilotes du micrologiciel qui étaient initialement destinés à être utilisés uniquement pendant le processus de fabrication des PC portables de Lenovo, apprend-on. D'après Martin Smolár, ces pilotes ont été inclus par erreur dans les images du BIOS des unités commercialisées et sont restés actifs.

Ces deux failles de sécurité peuvent permettre à un pirate de désactiver des protections SPI ou le Secure Boot de l'UEFI dans le but d'installer des malwares survivant au redémarrage du système.

Lenovo a été mis au courant de l'existence de ces trois vulnérabilités le 11 octobre 2021. Le fabricant a publié des patchs correctifs le 12 avril 2022. Si vous avez conservé les services Lenovo préinstallés sur votre PC portable, vous devriez avoir reçu la mise à jour sans intervention. Dans le cas contraire, nous vous conseillons d'installer le correctif manuellement ou de télécharger l'utilitaire System Update de Lenovo.

Source : WeliveSecurity

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
11
10
tux.le.vrai
des failles propres à Lenovo ?<br /> si je monte mon PC, en achetant carte mère, processeurs, … Je suis le constructeur.<br /> En fait, la sécurité dépend donc du bios de la carte mère ?
Sampro
Déjà fait
juju251
tux.le.vrai:<br /> En fait, la sécurité dépend donc du bios de la carte mère ?<br /> Pour certaines choses, oui.
Yannick2k
Etant donné que tu ne construis rien, mais que tu ne fais que assembler des composants, tu es dépendant du constructeur des composants… donc oui, et pas que seulement le BIOS de la carte mère… bios de carte graphique, les drivers, l’OS etc…
Peggy10Huitres
Lenovo a été mis au courant de l’existence de ces trois vulnérabilités le 11 octobre 2021. Le fabricant a publié des patchs correctifs le 12 avril 2022.<br /> 6 Mois en Sous-Marin …<br /> Et donc là, y’en a combien en cours dont ils sont au courant ? ou pas
gothax
Lenovo est une petite PME ahaha
flateric_oyzo
sauf qu’on ne sait pas par quel biais les pirates déploient leur attaques sur les machines de particuliers dans la vraie vie. comment ils peuvent savoir si y’a un lenovo portable derrière telle ou telle adresse IP? Bonne chance aux pirates pour tomber pile poil sur une machine « compatible ».
tux.le.vrai
Est-ce des failles laissées volontairement par un constructeur de PC chinois qui exporte dans le monde entier pour pouvoir les exploiter ?<br /> Pas celles là ? d’autres peut-être ?
Popoulo
@flateric oyzo : Ce ne sont pas les particuliers les plus visés dans ce genre d’attaques, ça leur sert à rien.<br /> Bon, encore des « failles » qui demandent des conditions assez lolesques :<br /> « may allow an attacker with local access and elevated privileges to execute arbitrary code. »<br /> Et on constatera le « may allow ». Alignement des planètes toussa.
Peggy10Huitres
6 mois pour patcher des failles profonde dans l’UEFI, ça reste pas fou mais c’es correct quand même <br /> Oui, par « en Sous-Marin » je voulais juste dire « qu’ils avaient gardé l’information en interne »
Voir tous les messages sur le forum

Lectures liées

Pourquoi vos données sur Doctolib ne sont pas totalement sécurisées
VPN : améliorez votre cyberconfidentialité grâce à cette offre hallucinante !
Un chercheur en cybersécurité montre comment pirater une Tesla via une faille Bluetooth
Piratage : le site de téléchargement Tirexo n'est pas mort et devient PapaFlix
Le spyware Predator a infecté des smartphones Android en exploitant une faille 0-day
3 bons plans VPN pour assurer votre sécurité en ligne
Ces deux failles critiques ont été exploitées par des hackers d'État
Pwn2Own : Windows 11 et Microsoft Teams hackés, plusieurs fois
Google dépose le bilan en Russie
Ce nouveau hack permet de récupérer vos informations bancaires
Haut de page