AccueilActualités informatiqueDes mises à jour sont nécessaires : Des failles de sécurité dans...

Des mises à jour sont nécessaires : Des failles de sécurité dans le BIOS de l’UEFI facilitent l’ancrage des rootkits

Pour de nombreux ordinateurs portables, ordinateurs de bureau, stations de travail, serveurs et systèmes embarqués, les mises à jour du BIOS sont fortement recommandées, car 19 vulnérabilités à « haut » risque ont été découvertes dans le code du BIOS UEFI de la société taïwanaise Insyde. Le framework de micrologiciel InsydeH2O est utilisé entre autres par les fabricants Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel et Bull Atos pour leurs versions de BIOS UEFI.

Les failles de sécurité concernent en particulier le mode de gestion du système (SMM), qui s’est déjà souvent distingué par des vulnérabilités graves, et peuvent être exploitées pour ancrer des micrologiciels manipulés dans le système, par exemple sous la forme de rootkits du BIOS. Il faut toutefois être connecté au système pour pouvoir lancer une attaque. Une fois que c’est le cas, le code malveillant est résistant et reste donc efficace même après un redémarrage. De plus, les mécanismes de sécurité courants ne fonctionnent pas, comme les procédures de sécurité des points finaux, le démarrage sécurisé et l’isolation de la sécurité basée sur la virtualisation.

Insyde répertorie les 19 vulnérabilités sur sa propre page web de sécurité. Elles ont toutes des scores CVSS de 7,5 à 8,2, ce qui signifie qu’elles sont classées avec un risque de sécurité « élevé » :

  • CVE-2020-5953
  • CVE-2021-33625
  • CVE-2021-33626
  • CVE-2021-33627
  • CVE-2021-41837
  • CVE-2021-41838
  • CVE-2021-41839
  • CVE-2021-41840
  • CVE-2021-41841
  • CVE-2021-42059
  • CVE-2021-42060
  • CVE-2021-42113
  • CVE-2021-42554
  • CVE-2021-43323
  • CVE-2021-43522
  • CVE-2021-43615
  • CVE-2022-24030
  • CVE-2022-24031
  • CVE-2022-24069

Lire aussi

Les mises à jour du firmware d’Insyde sont déjà disponibles pour les fabricants concernés, mais ils doivent encore développer et distribuer leurs propres mises à jour du BIOS. Fujitsu a déjà commencé à le faire.

L’entreprise de sécurité Binarly a initialement découvert les failles de sécurité dans les PC Fujitsu, mais les a également détectées plus tard chez d’autres fabricants. Binarly a alors lancé le processus de divulgation – le billet de blog fait l’éloge de la collaboration, notamment avec Binarly et Fujitsu. Dans une liste séparée, on trouve les ID de 23 failles de sécurité, dont quatre proviennent d’annonces antérieures.

Plus d'articles