4 vulnérabilités pour BIOSConnect de Dell, 30 millions d'appareils concernés

Une fois n'est pas coutume, un bout de code bogué et mal conçu a laissé des portes grandes ouvertures aux hackers. Direction chez Dell, où 4 bugs « rudimentaires » de la solution de mise à jour BIOSConnect pour le firmware des machines se sont révélés être des vulnérabilités pouvant être exploitées pour obtenir un accès complet aux appareils ciblés ! Ce genre d'outil est souvent une cible privilégiée par les pirates, puisque c'est un excellent intermédiaire pour distribuer du logiciel malveillant.

La trouvaille a été réalisée par une entreprise spécialisée en cybersécurité, Eclypsium. 128 modèles récents de chez Dell sont a priori concernés, une liste qui comprend PC desktop, laptops et tablettes, et il a été estimé qu'un total de 30 millions de ces appareils sont exposés aux vulnérabilités. De surcroit, les exploits fonctionnent même sur les machines intégrant la protection Secured-Core PC de Microsoft, un système censé réduire la vulnérabilité des firmwares. Selon les chercheurs, la difficulté d'exploitation des bugs de BIOSConnect est digne des années 90, c'est-à-dire très facile. Eclypsium critique le manque de bonnes pratiques dans l'industrie pour les fonctionnalités de sécurité des nouveaux micrologiciels et l'existence de ce genre de bugs relativement basiques, capables de saper la fondation de l'ensemble d'un système.

BIOSConnect fait partie du système de mise à jour et de gestion à distance du système de SupportAssist, une fonctionnalité qui avait d'ailleurs également déjà fait l'objet de plusieurs vulnérabilités problématiques par le passé. Comme son nom le sous-entend, le rôle de BIOSConnect est de permettre à l'utilisateur de télécharger et d'installer facilement les mises à jour du firmware. Hélas, ses vulnérabilités permettent de cibler individuellement un appareil et d'obtenir facilement un accès à distance à son BIOS, et par ce biais le contrôle total de la machine. Toutefois, il faut noter que l'attaque n'est pas réalisable directement depuis internet, mais nécessite d'avoir déjà un accès au réseau local de la victime, ce qui ne change rien à la sévérité des vulnérabilités selon Eclypsium, estimant que la nature des failles, leur facilité d'exploitation et le manque de monitoring du firmware en font tout de même un angle d'attaque potentiel très attractif, exploitable sur le long terme sans risque de détection.

Comme de coutume, la publication des failles — partagées avec Dell le 3 mars — est accompagnée des mises à jour de sécurité correspondantes chez Dell. Elles devraient être installées automatiquement si l'option est activée dans le logiciel sur votre machine, mais elles peuvent aussi être récupérées manuellement sur le site du fabricant, et c'est d'ailleurs l'option recommandée par Eclypsium, par précaution. Si vous avez une machine Dell, vous savez donc ce qu'il vous reste à faire ! (Source)