5 vulnérabilités sévères identifiées dans les BIOS/UEFI chez Dell

L'existence de faiblesse de sécurité chez Dell, ce n'est certainement pas nouveau. En effet, le constructeur n'est pas plus à l'abri qu'un autre et fait lui aussi relativement régulièrement les frais de failles plus ou moins graves, comme celle-ci qui impliqua pas moins de 380 modèles du fabricant, celle-là qui affecta l'utilitaire Dell SupportAssist, ou encore les 4 vulnérabilités qui furent détectés dans BIOSConnect...

En 2022, Dell voit cette fois-ci ses systèmes être impactés par 5 nouvelles failles classées directement liées aux BIOS/UEFI ! Sont ainsi concernés des millions de produits commercialisés via les nombreuses marques du fabricant, comme Inspiron, Latitude, Wyse, Vostro, XPS, Edge Gateway 3000 et Alienware ! Les 5 vulnérabilités sont classées comme étant très sévères et facilement exploitables, avec une note de 8,2/10 de l'échelle de notation CVSS. 

En bref, toutes les failles découlent des validations d'entrées incorrectes affectant le System Management Mode (SMM, un mode CPU des microcontrôleurs x86 conçu pour gérer bon nombre de fonctions pour l'ensemble d'un système, comme la gestion de l'alimentation, le monitoring, etc.) du micrologiciel, qui permettent à un attaquant (devant être identifié localement, certes) d'exploiter la System Management Interrupt (SMI) pour exécuter du code arbitrairement. En pratique, pour chaque opération de l'une de ces fonctions, une SMI est appelée et exécute ensuite le code SMM installé par le BIOS, code lancé au niveau de privilège le plus élevé, donc invisible à toute détection par l'OS et indétectable par les systèmes de monitoring d'intégrité du micrologiciel à cause des limitations du TPM, un manque de visibilité facilitant ainsi l'implémentation de microprogrammes persistants. 

Dell ne dit pas exactement combien de machines sont potentiellement affectées et a simplement recommandé aux utilisateurs de mettre à jour leur BIOS/UEFI dès que possible. Avec la publication des failles, les mises à jour doivent en principe déjà être disponibles si le constructeur a bien fait son travail. 

Pour les chercheurs de Binarly (ayant découverts 3 des failles), ces failles sont des « défaillances reproductibles » découlant d'un manque d'assainissement des entrées et de manière générale de mauvaises pratiques de codage. Pour eux, c'est aussi une conséquence directe de la complexité de la base de code ou du support pour des composants dits « legacy », aujourd'hui toujours largement présents dans les parcs, mais qui reçoivent effectivement beaucoup moins d'attention en matière de sécurité... 

Pour les plus curieux d'entre vous, les failles sont suivies sous les identifiants CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 et CVE-2022-24421. Et si vous avez une machine Dell, vous savez maintenant ce qu'il vous reste à faire. (Source)