Les chercheurs ont connu pendant des années sur les problèmes de sécurité avec le code informatique fondamental connu sous le nom de micrologiciel. Il est souvent criblé de vulnérabilités, il est difficile à mettre à jour avec des correctifs et il est de plus en plus la cible d’attaques dans le monde réel. Désormais, un mécanisme bien intentionné pour mettre à jour facilement le firmware des ordinateurs Dell est lui-même vulnérable à la suite de quatre bogues rudimentaires. Et ces vulnérabilités pourraient être exploitées pour obtenir un accès complet aux appareils cibles.
Les nouvelles découvertes des chercheurs de la société de sécurité Eclypsium ont un impact sur 128 modèles récents d’ordinateurs Dell, notamment des ordinateurs de bureau, des ordinateurs portables et des tablettes. Les chercheurs estiment que les vulnérabilités exposent 30 millions d’appareils au total, et les exploits fonctionnent même dans des modèles qui intègrent les protections PC sécurisées de Microsoft, un système spécialement conçu pour réduire la vulnérabilité du micrologiciel. Dell publie des correctifs pour les défauts aujourd’hui.
« Ces vulnérabilités sont en mode facile à exploiter. C’est essentiellement comme voyager dans le temps, c’est presque comme les années 90 à nouveau », explique Jesse Michael, analyste principal chez Eclypsium. « L’industrie a atteint toute cette maturité des fonctionnalités de sécurité dans le code au niveau des applications et du système d’exploitation, mais elle ne suit pas les meilleures pratiques dans les nouvelles fonctionnalités de sécurité du micrologiciel.
Les vulnérabilités apparaissent dans une fonctionnalité Dell appelée BIOSConnect, qui permet aux utilisateurs de télécharger facilement, et même automatiquement, les mises à jour du micrologiciel. BIOSConnect fait partie d’une fonction plus large de mise à jour Dell et de gestion du système d’exploitation à distance appelée SupportAssist, qui a eu sa propre part de vulnérabilités potentiellement problématiques. Les mécanismes de mise à jour sont des cibles précieuses pour les attaquants, car ils peuvent être corrompus pour distribuer des logiciels malveillants.
Les quatre vulnérabilités découvertes par les chercheurs dans BIOSConnect ne permettraient pas aux pirates de diffuser des mises à jour malveillantes du micrologiciel Dell à tous les utilisateurs à la fois. Ils pourraient cependant être exploités pour cibler individuellement les appareils des victimes et obtenir facilement le contrôle à distance du micrologiciel. Compromettre le micrologiciel d’un périphérique peut donner aux attaquants un contrôle total de la machine, car le micrologiciel coordonne le matériel et les logiciels et s’exécute comme un précurseur du système d’exploitation et des applications de l’ordinateur.
“Il s’agit d’une attaque qui permet à un attaquant d’accéder directement au BIOS”, le micrologiciel fondamental utilisé dans le processus de démarrage, explique le chercheur d’Eclypsium Scott Scheferman. « Avant même que le système d’exploitation ne démarre et soit au courant de ce qui se passe, l’attaque a déjà eu lieu. C’est un ensemble de vulnérabilités évasif, puissant et souhaitable pour un attaquant qui veut de la persistance.
Une mise en garde importante est que les attaquants ne pourraient pas exploiter directement les quatre bogues BIOSConnect à partir de l’Internet ouvert. Ils doivent avoir un point d’ancrage dans le réseau interne des appareils victimes. Mais les chercheurs soulignent que la facilité d’exploitation et le manque de surveillance ou de journalisation au niveau du micrologiciel rendraient ces vulnérabilités attrayantes pour les pirates. Une fois qu’un attaquant a compromis le micrologiciel, il peut probablement rester non détecté à long terme dans les réseaux d’une cible.
Les chercheurs d’Eclypsium ont révélé les vulnérabilités à Dell le 3 mars. Ils présenteront les résultats lors de la conférence sur la sécurité Defcon à Las Vegas début août.
“Dell a corrigé plusieurs vulnérabilités pour les fonctionnalités Dell BIOSConnect et HTTPS Boot disponibles avec certaines plates-formes clientes Dell”, a déclaré la société dans un communiqué. “Les fonctionnalités seront automatiquement mises à jour si les clients ont activé les mises à jour automatiques Dell.” Si ce n’est pas le cas, l’entreprise indique que les clients doivent installer manuellement les correctifs “le plus tôt possible”.
Les chercheurs d’Eclypsium avertissent cependant qu’il s’agit d’une mise à jour que vous ne voudrez peut-être pas télécharger automatiquement. Étant donné que BIOSConnect lui-même est le mécanisme vulnérable, le moyen le plus sûr d’obtenir les mises à jour est de naviguer vers le site Web de pilotes et de téléchargements de Dell et de télécharger et d’installer manuellement les mises à jour à partir de là. Pour l’utilisateur moyen, cependant, la meilleure approche consiste simplement à mettre à jour votre Dell aussi rapidement que possible.
.
