Posté le juin 24, 2021 à 9:10
DES MILLIONS D’APPAREILS DELL SONT EXPOSÉS À DES FAILLES D’EXÉCUTION DU CODE BIOSCONNECT
Le code de base des microprogrammes informatiques comporte des failles depuis des années, car il est difficile de le mettre à jour avec des correctifs.
Et les attaquants du monde réel ont de plus en plus ciblé ces failles pour exploiter les utilisateurs. Récemment, quatre vulnérabilités de base ont été découvertes dans des appareils Dell, qui pourraient être facilement exploitées par des acteurs malveillants.
Le cabinet d’études Eclypsium a récemment découvert que les nouveaux bugs impactent 128 modèles récents d’ordinateurs Dell, notamment des tablettes, des ordinateurs portables et des ordinateurs de bureau. Selon les chercheurs, les vulnérabilités ont mis plus de 30 millions d’appareils en danger d’exploitation. De plus, les exploits peuvent être utilisés sur les modèles qui utilisent les protections Secured-core PC de Microsoft.
Le système a été conçu pour réduire la vulnérabilité du logiciel. Toutefois, Dell indique qu’il publiera des mises à jour et des correctifs pour la vulnérabilité le 24 juin.
Selon le rapport des chercheurs en sécurité, les vulnérabilités permettent aux acteurs malveillants d’exécuter du code à distance pendant le prédémarrage.
Le rapport est intitulé « BIOS Disconnect » et il fournit des détails sur la faille dans l’outil de Dell dans SupportAssist, qui est préinstallé dans les tablettes et les ordinateurs Dell.
BIOSConnect TLS accepte n’importe quel certificat wildcard
La principale vulnérabilité est une connexion TLS non sécurisée entre BIOS et Dell. Cela donne à l’attaquant l’accès pour se faire passer pour Dell et envoyer du contenu contrôlé par l’attaquant à l’appareil ciblé.
Le rapport de sécurité note que le TLS de BIOSConnect accepte tout certificat wildcard valide.
Jesse Michael, chercheur principal chez Eclypsium, a déclaré que l’équipe de sécurité a utilisé un certificat pour démontrer le scénario d’attaque et que cela coûte à l’entreprise environ 70 à 80 euros.
Les trois autres bugs sont des vulnérabilités de débordement qui se révèlent par une connexion TLC non sécurisée.
Ces bugs, lorsqu’ils sont exploités, permettent l’exécution de code arbitraire au niveau du BIOS/de l’interface micrologicielle extensible unifiée (UEFL).
Les chercheurs ont également déclaré qu’il existe des situations où ces vulnérabilités supplémentaires ne sont pas nécessaires pour exécuter des codes sur les appareils ciblés.
Scott Scheferman, cyber-stratège principal chez Eclypsium, a déclaré que certains des appareils Dell peuvent être exploités sans les vulnérabilités supplémentaires, donnant un exemple lorsque Secure Boot est désactivé.
« Si vous avez désactivé Secure Boot, par exemple, vous n’avez pas besoin des trois débordements de mémoire tampon », a-t-il déclaré.
Les failles sont faciles à exploiter
Les chercheurs ont également décrit les vulnérabilités comme étant très faciles à exploiter. Michael a déclaré que l’ensemble du scénario rappelle la facilité avec laquelle il était possible d’exploiter les dispositifs dans les années 90.
Si le secteur s’est considérablement développé en matière de sécurité, il n’est pas pour autant suivi des meilleures pratiques, a-t-il déclaré.
Selon lui, les organisations et les particuliers n’appliquent pas les meilleures pratiques très médiatisées des nouvelles fonctions de sécurité des micrologiciels pour protéger les appareils.
Les quatre bugs découverts dans le BIOSConnect par les chercheurs ne permettront pas aux acteurs malveillants de diffuser des mises à jour malveillantes du micrologiciel Dell à tous les utilisateurs en même temps. Mais ils peuvent toujours être exploités pour obtenir un accès à distance au micrologiciel.
Les bugs ne peuvent pas être exploités directement sur internet
Lorsque le microprogramme d’un appareil est compromis, les acteurs malveillants peuvent prendre le contrôle total de l’appareil. En effet, le micrologiciel d’un appareil contrôle le logiciel et l’appareil, et fonctionne comme un précurseur des applications et du système d’exploitation de l’appareil.
Les chercheurs ont également noté que les acteurs malveillants ne peuvent pas exploiter les quatre vulnérabilités de BIOSConnect directement depuis le réseau Internet ouvert. En effet, elles nécessitent une entrée dans le réseau interne des appareils ciblés.
Cependant, les bugs restent attrayants pour les attaquants en raison de leur manque de surveillance et de leur facilité d’exploitation.
Lorsque les acteurs malveillants parviennent à compromettre le microprogramme, ils peuvent rester cachés dans l’appareil pendant une longue période.
Des correctifs sont disponibles
Les chercheurs d’Eclypsium indiquent que le bug a été communiqué à Dell en mars et qu’ils présenteront leurs conclusions en août lors de la conférence de sécurité Defcon à Las Vegas.
Après la notification, Dell a fourni plusieurs correctifs pour supprimer les vulnérabilités pour Dell BIOSConnect, bien que cela ne soit pas disponible sur toutes les plateformes clientes Dell.
Dell indique que les fonctions seront mises à jour automatiquement dans certains systèmes si leurs utilisateurs activent les fonctions de mise à jour automatique. Mais les chercheurs d’Eclypsium ont averti qu’il est plus sûr de télécharger la mise à jour manuellement plutôt que de la laisser s’exécuter automatiquement.
