La chasse aux vulnérabilités ne connaitra certainement jamais de fin, c'est maintenant au tour de Lenovo d'en faire les frais (enfin, d'en bénéficier, les trouver est toujours une bonne chose, même si l'on aurait préféré que ces failles n'existent pas pour commencer), puisque plusieurs vulnérabilités ont été détectées dans son matériel par les experts en sécurité d'ESET, dont voici le rapport très détaillé.

 

Comme le veut la tradition, Lenovo avait été prévenu de l'existence des failles bien avant leur publication. Il en avait été informé en octobre 2021 pour commencer à effectuer le travail nécessaire et c'est maintenant que les premiers correctifs sont disponibles que le fabricant communique ouvertement à ce sujet. Précisons tout de même que la publication "automatique" des informations sur les failles était initialement planifiée par les chercheurs pour le 8 février 2022, mais celle-ci fut retardée sur demande du constructeur, qui avait apparemment besoin d'un peu plus de temps. Ce genre de délais n'est toutefois pas très ordinaire ni le fait que la requête fut acceptée. 

 

Spécifiques à Lenovo et ses firmwares, les failles sont au nombre de trois, elles se nomment CVE-2021-3970, CVE-2021-3971 et CVE-2021-3972, leur sévérité est classée de « moyenne » et elles ont la capacité de permettre une escalade des privilèges et ainsi de laisser les malwares s'en prendre au firmware. Dans les trois cas, l'origine de la faille est un pilote, dont un qui n'aurait normalement jamais dû être présent dans l'image du BIOS et un autre qui aurait dû être désactivé... Ça respire le travail sérieux tout ça, non ?

 

CVE-2021-3970 : A potential vulnerability in the LenovoVariable SMI Handler could allow an attacker with local access and elevated privileges to execute arbitrary code due to insufficient validation in some Lenovo notebook models.

 

CVE-2021-3971 : A potential vulnerability from a driver used during older manufacturing processes on some Lenovo consumer notebook devices and incorrectly included in the BIOS image could allow an elevated attacker to change the firmware protection area by modifying an NVRAM variable.

 

CVE-2021-3972 : A potential vulnerability from a driver used during the manufacturing process on some Lenovo consumer notebook devices that has not been correctly disabled could allow an elevated attacker to modify secure boot settings by modifying an NVRAM variable.

 

Environ une centaine de modèles du fabricant est impactée, dont des références des séries mainstream relativement populaires comme Yoga, IdeaPad et Legion. Pour savoir si votre modèle est concerné, le plus simple sera d'aller voir la liste complète publiée par le fabricant sur sa page de support. Cette page détaille précise aussi quelles failles affectent quelle machine, le nom/numéro de la mise à jour de l'UEFI/BIOS correspondante à installer soi-même si celle-ci est déjà disponible, et dans le cas contraire, indique une date prévisionelle de publication. Pour une bonne partie des machines, le correctif adapté est déjà disponible, pour les autres, il faudra attendre le début du mois prochain. Bien entendu, si vous êtes équipé Lenovo, on ne pourra que chaudement vous recommander de vérifier la susceptibilité de votre machine à ces vulnérabilités et le cas échéant, de faire la mise à jour adaptée au plus vite. 

 

uefi secure lenovo laptops vulnerabilities


Un poil avant ?

Framework Laptop : les plans sont disponibles !

Un peu plus tard ...

AMD officialise la RX 6400, un secret de polichinelle

Les 3 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !