Actus

Acer corrige des bogues UEFI qui peuvent être utilisés pour désactiver Secure Boot

Par Philippe Ternision , le 29 novembre 2022 , mis à jour le 29 novembre 2022 - 3 minutes de lecture
acer
5/5 - (1 vote)

Plusieurs modèles d’ordinateurs portables ont été affectés par une vulnérabilité de haute gravité corrigée par Acer qui pourrait avoir permis à des attaquants locaux de désactiver l’amorçage sécurisé UEFI sur les appareils vulnérables.

Sur les ordinateurs équipés d’une puce TPM (Trusted Platform Module) et d’un micrologiciel UEFI (Unified Extensible Firmware Interface), la fonction de sécurité Secure Boot désactive les chargeurs de démarrage des systèmes d’exploitation non fiables afin d’empêcher les logiciels malveillants tels que les rootkits et les bootkits de se charger lors du démarrage.

La faille de sécurité (CVE-2022-4020) a été découverte dans le pilote HQSwSmiDxe DXE sur certains ordinateurs portables Acer grand public, selon Martin Smolar, chercheur en logiciels malveillants chez ESET.

Les attaquants disposant de privilèges élevés peuvent l’utiliser pour désactiver Secure Boot en modifiant la variable NVRAM BootOrderSecureBootDisable. Cela permet des attaques peu complexes qui ne nécessitent pas d’intervention de l’utilisateur.

Selon Acer, des chercheurs ont découvert une faille qui pourrait permettre aux utilisateurs de modifier les paramètres de Secure Boot en configurant des variables NVRAM (la valeur exacte de la variable n’est pas pertinente ; les pilotes de micrologiciels concernés vérifient simplement son existence).

Les acteurs de la menace peuvent détourner le processus de chargement du système d’exploitation, charger des chargeurs de démarrage non signés pour contourner ou désactiver les protections, puis installer des charges utiles malveillantes avec des droits système après avoir exploité la vulnérabilité sur les ordinateurs portables Acer concernés et désactivé Secure Boot.

Les modèles d’ordinateurs portables Acer Aspire A315-22, A115-21, A315-22G, Extensa EX215-21 et EX215-21G figurent tous sur la liste des modèles affectés.

Mise à jour du BIOS disponible, mise à jour de Windows en cours

“Pour résoudre ce problème, Acer conseille de mettre à jour votre BIOS à la version la plus récente. Cette mise à jour sera ajoutée à la liste des mises à jour essentielles de Windows”, ajoute l’entreprise.

Les clients peuvent également installer manuellement la mise à jour du BIOS sur les PC concernés en la téléchargeant sur la page d’assistance de l’entreprise.

Des failles similaires, qui auraient pu permettre à des pirates de désactiver l’amorçage sécurisé UEFI, ont été corrigées au début du mois par Lenovo dans un certain nombre de modèles d’ordinateurs portables ThinkBook, IdeaPad et Yoga.

Les acteurs de la menace risquent de déployer des logiciels malveillants capables de survivre aux réinstallations du système d’exploitation et de contourner les défenses anti-malware des solutions de sécurité s’ils ont la possibilité de lancer un code non signé et nuisible avant le démarrage du système d’exploitation.

Dans le cas de Lenovo, le problème est dû au fait que les développeurs de la société ont incorporé dans les pilotes de production un pilote de développement précoce qui pouvait modifier les paramètres de démarrage sécurisé du système d’exploitation.

Trois autres faiblesses du firmware UEFI ont été découvertes par ESET en janvier, qui pourraient permettre aux pirates de contrôler le processus de démarrage sur plus de 70 modèles d’appareils Lenovo fonctionnant sous Windows.

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.