Trois failles de l'UEFI sur différents modèles de PC portables Yoga, IdeaPad et ThinkBook de Lenovo ont récemment été détectées.
Celles-ci permettraient de désactiver la fonction Secure Boot ou la restauration de la base de données du démarrage sécurité à son état d'usine, et ce, simplement depuis n'importe quel système d'exploitation.
L'UEFI de Lenovo vulnérable
Le fabricant rencontre décidément de nombreux problèmes de sécurité autour de son UEFI, le logiciel faisant le lien entre le firmware de ses appareils et le système d'exploitation. Il s'agirait depuis le début de l'année de la troisième série de failles repérées par Martin Smolar
, chercheur au sein de la firme de cybersécurité ESET.
Cette fois, les failles signalées s'attaqueraient à la fonctionnalité Secure Boot de l'UEFI d'appareils Lenovo tels que Yoga, IdeaPad et ThinkBook. Il s'agit pour rappel d'un mécanisme visant à empêcher des programmes malicieux d'être chargés durant le processus de démarrage.
Puisque l'UEFI a pour fonction de lancer le système d'exploitation lorsqu'un appareil est allumé, nombre de hackers y ont vu une cible de choix pour injecter des malwares difficiles à détecter et supprimer. Tel est malheureusement le cas pour Lenovo.
Trois nouvelles failles au compteur pour Lenovo
Lenovo répertorie et décrit les trois nouvelles failles de la manière suivante :
- CVE-2022-3430 : une potentielle vulnérabilité dans le pilote d'installation WMI sur les appareils Lenovo Notebook, permettant à un pirate de modifier le paramètre de Secure Boot en changeant la variable NVRAM ;
- CVE-2022-3431 : une potentielle vulnérabilité dans un pilote utilisé durant le processus de fabrication pour les appareils Lenovo Notebook, qui n'a pas été désactivé par erreur et permettant à un pirate de modifier encore Secure Boot via le même changement de variable ;
- CVE-2022-3432 : une potentielle vulnérabilité sur un pilote utilisé durant le processus de fabrication sur le modèle IdeaPad Y700-14ISK, qui n'a pas été désactivé par inadvertance, avec le même résultat que les précédentes failles.
Lenovo s'échine donc à combler les deux premières failles citées, mais ne prévoit pas de correctif pour la dernière. Le modèle affecté par celle-ci aurait en effet atteint sa fin de vie. La marque recommande ainsi très sérieusement aux utilisateurs d'appareils potentiellement affectés d'installer la dernière mise à jour en date du firmware.
Sources : ESET Research via Twitter, Lenovo
Fan absolu de tech, de films/séries, d'heroic-fantasy/SF et de jeux vidéos type RPG, FPS et hack&slash qui se shoote à coups de lore sur Star Wars, The Witcher, Cyberpunk, Game of Thrones et Donjons & Dragons/Baldur's Gate 3.
Lire d'autres articles
