Bug ou porte dérobée ? Dmytro Oleksiuk s’interroge.
Ce chercheur en sécurité a mis le doigt sur une faille qui pourrait toucher d’autant plus de PC qu’elle se trouve au niveau de l’UEFI, l’interface qui s’est progressivement substituée au BIOS ces dernières années pour faire le pont entre firmware et système d’exploitation.
La vulnérabilité en question a été découverte sur un ordinateur portable ThinkPad T450s de Lenovo. Elle permet d’exécuter, dans le System Mode Management (SMM ; mode d’exécution privilégiée sur les processeurs x86), du code arbitraire qui peut entraîner la désactivation de la protection en écriture du firmware.
Un tiers qui parviendrait à s’engouffrer dans la brèche pourrait notamment couper la fonction Secure Boot (vérification de l’authenticité du chargeur d’amorçage) et passer outre l’outil Credential Guard (dispositif de virtualisation sous Windows 10 pour éviter la fuite de données).
Habitué à mettre les mains dans le SMM, Dmytro Oleksiuk – qui se fait connaître sous le pseudo Cr4sh – a fait part de sa découverte le 28 juin dernier. Il n’évoquait alors que les machines Lenovo, non sans exclure que d’autres marques soient affectées, surtout au regard de l’interdépendance du firmware et du SMM dans l’architecture actuelle des puces x86.
Premier concerné dans ce dossier, Lenovo a réagi le 30 juin. Regrettant qu’Oleksiuk « [n’ait] pas pris contact » avant de dévoiler la faille et de la baptiser « ThinkPwn », le groupe chinois assure que ses équipes ne sont pas à l’origine de la faille. Le problème viendrait d’en haut ; en l’occurrence, d’un des trois fournisseurs d’UEFI que Lenovo sollicite.
Ledit fournisseur (IBV, pour « Independent BIOS Vendor ») aurait réutilisé du code connu comme étant vulnérable, mais qu’Intel a corrigé en 2014, au niveau de la fonction SmmRuntimeManagementCallback()…
Alex James, autre chercheur en sécurité, est allé plus loin. Grâce au logiciel Insyde EFI, il a déterminé que ThinkPwn touchait aussi un certain nombre de PC portables de marque HP.
Depuis lors, la liste s’allonge et touche au monde du desktop. Aux dernières nouvelles de ce mardi 5 juillet, plusieurs références de cartes mères Gigabyte sont concernées.
Crédit photo : bestfoto77 – Shutterstock.com
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…