[INFO] Les ordinateurs portables Lenovo et HP affectés par une faille dans l’UEFI

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur la publication d’une faille affectant les ordinateurs Lenovo et HP, et plus particulière l’UEFI.

Description :

Une faille initialement découverte sur les ordinateurs Lenovo de la gamme ThinkPad affecte le BIOS UEFI. Celle-ci permet de désactiver la protection en écriture de l’UEFI et du SMM (« System Mode Management », un mode d’exécution privilégiée sur les processeurs des PC).

Un attaquant est ainsi en mesure d’infecter le firmware de la machine tout en désactivant la protection Secure Boot (protection vérifiant que le chargeur de démarrage est signé avec une clé chiffrée autorisée par une base de données contenue dans le firmware) et d’accéder au système Windows.

Un code d’exploitation, baptisé ThinkPwn, a été publié sur GitHub à l’adresse suivante : https://github.com/Cr4sh/ThinkPwn.

Certains chercheurs évoquent une porte dérobée volontairement implémentée par les fabricants. En effet, Lenovo n’a pas eu bonne presse en 2015 avec deux failles importantes concernant le processus LSCTaskService et le certificat Superfish (cf. CXN-2015-3168 et CXA-2015-0592).

Lenovo a réagi en affirmant que l’origine de cette vulnérabilité provient de son fabricant de BIOS, lequel aurait réutilisé du code qu’Intel a corrigé en 2014.

La vulnérabilité affecte également certains ordinateurs HP de la gamme Pavillon.

Références :

• http://news.softpedia.com/news/uefi-firmware-thinkpwn-zero-day-puts-several-laptop-oems-at-risk-505968.shtml
• http://securityaffairs.co/wordpress/49000/hacking/thinkpwn-zero-day.html
• http://www.tomsguide.fr/actualite/faille-lenovo-firmware-uefi-windows,52165.html
• https://leportail.xmco.fr/watch/advisory/CXN-2015-3168
• https://leportail.xmco.fr/watch/advisory/CXA-2015-0592

Référence CERT-XMCO :
CXN-2016-1845