ADSL-BC

Lenovo a laissé traîner des backdoors dans des millions de PC portables
Plus d’une centaine de modèles grand public contenaient des portes dérobées permettant d’implémenter des malwares particulièrement persistants directement dans le firmware UEFI.
C’est un oubli qui fait plutôt mauvais genre. Les chercheurs en sécurité d’Eset viennent de révéler la présence de backdoors dans plus d’une centaine de modèles de PC portables grand public de Lenovo. Parmi les gammes affectées figurent IdeaPad, Legion, Slim et Yoga. Au total, le nombre d'appareils affectés doit se chiffrer en millions. Visiblement, il ne s’agissait pas d’un coup fourré. Implémentées sous forme de drivers UEFI, les portes dérobées portaient les noms de « SecureBackDoor », « SecureBackDoorPeim », « ChgBootDxeHook » ou « ChgBootSmm », ce qui est assez explicite, et donc pas très furtif !

D’après la note de sécurité de Lenovo, ces backdoors étaient utilisées durant le processus de fabrication des PC portables pour des raisons pratiques. Malheureusement, Lenovo a oublié de les supprimer. Les chercheurs d’Eset ont montré qu’elles permettaient deux types d’actions. Avec « SecureBackDoor » et « SecureBackDoorPeim », il était possible de désactiver les protections en écriture de la mémoire SPI Flash sur lequel est stocké l’UEFI et, par conséquent, d’en modifier le code (CVE-2021-3971). Avec « ChgBootDxeHook » et « ChgBootSmm », un pirate pouvait court-circuiter l’UEFI Secure Boot, un mécanisme qui permet de garantir l’authenticité et l’intégrité du firmware de démarrage (CVE-2021-3972).